La Commission européenne travaille actuellement sur un projet de règlement européen sur les données, le Data Act, qui va notamment intégrer des dispositions sur leur sécurité, en particulier dans le cloud. Le Cigref et son homologue allemand Voice ont écrit un courrier commun au commissaire européen Thierry Breton, avec copie à diverses autorités européennes, afin de militer en faveur d'un niveau d'exigence élevé en matière de certification du cloud. Cette certification devrait être sous l'égide de l'Agence européenne chargée de la sécurité des réseaux et de l'information (Enisa). Le point le plus problématique mis en avant par les deux associations est celui de l'accès des données sensibles des entreprises placées dans le cloud par des autorités étrangères grâce à des législations à effet extraterritorial. Comme les deux associations le relèvent, l'arrêt du 16 juillet 2020 de la Cour de justice de l'Union européenne, pris dans le cadre de l'affaire dite « Schrems II », a invalidé l'accord d'adéquation entre l'Union Européenne et les Etats-Unis, dit « Privacy Shield », précisément sur cette question.
« La situation mise en exergue par la Cour de justice de l'Union européenne pour les données à caractère personnel est également pertinente pour les données sensibles non personnelles des organisations publiques et privées européennes » observent ainsi les deux associations dans leur courrier commun. Les entreprises doivent pouvoir faire aisément circuler les données au sein de l'Union européenne pour contribuer à la prospérité continentale mais la situation actuelle oblige beaucoup d'entreprises à renoncer aux facilités du Cloud et à stocker leurs données on premise. Dans la foulée des diverses réglementations existantes, le Cigref et Voice militent donc pour un schéma européen de certification pour les services de cloud (EUCS) particulièrement rigoureux afin de garantir l'immunité des données d'entreprises vis-à-vis des Etats extérieurs. Le courrier au commissaire européen pointe notamment : « le niveau 3 des labels de Gaia-X prévoit explicitement l'immunité aux législations non européennes à portée extraterritoriale ». Très explicitement, dans le viseur des deux associations, il y a les grands fournisseurs de cloud d'origine américaine qui occupent une position dominante sur le marché.