Le Conseil européen de la fabrication solaire (ESMC) a été informé d’une fuite d’une lettre dans Politico, dans laquelle plus de trente membres du Parlement européen demandent à la Commission européenne de prendre des mesures immédiates pour restreindre l’accès des onduleurs chinois au réseau électrique européen. Et que croyez-vous qu’il est advenu ? L’ESMC a souscrit pleinement à ce texte envoyé à messieurs le Vice-Président Exécutif et le Commissaire Jørgensen ! On vous explique ce qu’il en est…
Une trentaine de membre du parlement européen viennent de prendre la plume pour marquer leur profonde inquiétude quant à l’approche de la Commission pour faire face aux risques découlant des fournisseurs à haut risque, en particulier dans le domaine des onduleurs solaires (PV). Ces parlementaires exhortent à proposer des mesures immédiates et contraignantes pour restreindre l’accès des fournisseurs à haut risque sur les infrastructures critiques. Volontairement, ou pas, la lettre a fuité révélatrice d’une inquiétude sourde de certains élus européens.
Dans un premier temps, cette missive envoyée à la Commission dresse un constat sans appel. « Huawei, désigné comme fournisseur à haut risque par la Commission, représentait plus de 115 GW du marché européen des onduleurs solaires jusqu’en 2023. C’est l’un des six fournisseurs chinois qui contrôlent collectivement plus des deux tiers du marché (219 GW) en Europe. [1] Et notre dépendance s’approfondit : en 2024, 80 % de toutes les nouvelles capacités d’onduleurs photovoltaïques installées en Europe provenaient de Chine. [2] »
On y apprend que la Lituanie a déjà interdit à la Chine l’accès à distance aux appareils solaires et éoliens. [3] Plus récemment, les agences nationales de cybersécurité tchèque et allemande NUKIB et BSI ont également mis en garde contre les risques posés par les technologies liées à la Chine dans les secteurs critiques, soulignant que les onduleurs photovoltaïques chinois constituent une technologie à haut risque pour les attaques de la chaîne d’approvisionnement sur notre réseau, et exhortant à l’utilisation de facteurs de risque non techniques pour faire face à ces risques. [4] Les autorités chinoises reconnaissent ces risques, ce qui signifie que les onduleurs européens ne sont de facto pas autorisés à entrer dans leur réseau, pour des raisons de cybersécurité. L’Europe devrait adopter une approche similaire.
Depuis quelques années, la Commission a consacré des efforts considérables à l’évaluation des risques, mettant en évidence les risques posés par les fournisseurs à haut risque au sein des infrastructures critiques. Le pli épistolaire le reconnaît mais regrette les pratiques dilatoires inhérentes à la gestion de l’Europe : « Cependant, des propositions concrètes ne se sont pas encore concrétisées. [5] Lorsque les études en cours sont terminées et qu’un projet de loi potentiel est déposé, il se peut que deux ans se soient écoulés. D’ici là, l’Europe risque d’avoir perdu ses derniers fabricants d’onduleurs photovoltaïques. Les entreprises occidentales perdent drastiquement des parts de marché en Europe, bien qu’elles conservent encore aujourd’hui la capacité de répondre à la demande européenne. Si l’un d’entre eux succombe à la concurrence déloyale de la Chine, l’Union pourrait bientôt se retrouver sans aucune alternative non chinoise. » L’ESMC ne peut qu’abonder dans ce sens et reprendre à son compte les propos des parlementaires. Christoph Podewils,
Secrétaire général ESMC, les encouragent à poursuivre cette action.
C’est un fait. Il est aujourd’hui très urgent d’adopter une loi contraignante pour restreindre l’accès aux fournisseurs à risque dans les infrastructures essentielles européennes, que ce soit par le biais de la révision du CSA (Cybersecurity Act) ou ailleurs. La vice-présidente finlandaise Henna Virkkunen a déjà fait part de son mécontentement face à la mise en œuvre médiocre de la boîte à outils volontaire 5G, appelant à des mesures plus fortes et à l’examen d’une législation contraignante. Par rapport aux télécommunications, la gestion sécurisée du réseau électrique européen est un problème inhérent à l’ensemble de l’Union : la défaillance d’une seule liaison est susceptible de déclencher des perturbations en cascade sur tout le continent.
« Jusqu’à ce qu’une loi contraignante soit en place, un cadre temporaire devrait être établi pour restreindre l’accès de nos infrastructures énergétiques aux fournisseurs à risque. De nombreux précédents existent déjà, comme la boîte à outils 5G qui peut inclure des facteurs de risque non techniques, tels que les critères de cybersécurité de la NZIA. L’association allemande de l’énergie BDEW a également proposé de mettre sur liste noire ou blanche des entreprises (non) dignes de confiance. En l’absence d’une action immédiate et contraignante de l’UE, l’Europe risque non seulement sa sécurité énergétique, mais aussi la viabilité de tous les fabricants européens restants dans ce secteur. Nous attendons avec impatience votre réponse urgente et un calendrier clair pour l’action législative » conclut la lettre.
Encadré
Les signataires
Bart Groothuis, Miriam Lexmann, Christian Ehler, Engin Eroglu, Nathalie Loiseau, Anna Cavazzini, Christophe Grudler, Markéta Gregorová, Andreas Glück, Michael Bloss, Malik Azmani, João Cotrim de Figueiredo, Jeanette Baljeu, Sofie Wilmès, Anouk van Brug, Ivars Iljabs, Stine Bosse, Alice Teodorescu Måwe, Ondřej Krutílek, Tomáš Zdechovský, Anna Stürgkh, Bruno Tobback, Maria Zacharia, Dan Barna, Giorgio Gori, Aura Salla, Ľubica Karvašová, Alexandr Vondra, Mariusz Kamiński, Kosma Złotowski, Sebastian Tynkkynen
1 Solar Power Europe, solutions pour les cyber-risques photovoltaïques pour la stabilité du réseau.
2 S&P, Global Commodity Insights.
3 Reuters, Des dispositifs de communication malveillants trouvés dans les onduleurs solaires chinois.
4 NUKIB, Mise en garde contre le transfert des données vers la République populaire de Chine et l’administration à distance à partir de celle-ci ; BSI, Positionspapier : Cybersicherheit im Energiesektor Deutschlands.
5 Commission européenne, Rapport d’évaluation des risques sur la cyberrésilience dans les secteurs des télécommunications et de l’électricité de l’UE (juillet 2024) et une autre évaluation des risques annoncée par pour l’industrie solaire en réponse à des questions écrites.
6 Euractiv, le commissaire à la technologie Virkkunen privilégie la réglementation plutôt que la directive pour la révision de la législation européenne sur les télécommunications.
7 Les critères de préqualification en matière de cybersécurité de la NZIA évaluent si un fabricant est soumis à une juridiction exigeant la divulgation des vulnérabilités logicielles aux autorités publiques avant qu’elles ne soient connues pour être exploitées ; et s’il est basé dans une juridiction à partir de laquelle des cyberactivités malveillantes ont été menées à l’encontre de l’Union ou de ses États membres [article 5 du règlement d'exécution (UE) 2025/1176 de la Commission].
