Au nom de la souveraineté numérique, un rapport veut durcir les obligations cloud des collectivités
La Commission supérieure du numérique et des postes (CSNP) demande d'étendre les obligations d'hébergement de données sensibles dans un cloud souverain aux collectivités, hôpitaux et universités. Des obligations "cohérentes" avec la directive NIS2 dont le contrôle serait confié aux préfets. Le rapport plaide aussi pour une aide aux petites collectivités.
La place centrale accordée aux collectivités territoriales dans l'avis du 12 septembre 2023 de la Commission supérieure du numérique et des postes (CSNP) sur la souveraineté numérique ne doit rien au hasard. Il est signé de la députée du Morbihan (Horizons), Anne Le Hénanff, ancienne adjointe au maire de Vannes et enseignante en cybersécurité à l'université de Rennes. Il n'est donc pas étonnant que l'avis soit largement centré sur les territoires. Sa recommandation n°1 demande en effet que "les données sensibles détenues et gérées par les administrations et établissements des collectivités territoriales, les établissements de santé et les universités soient bien hébergées dans un cloud souverain".
Se concentrer sur la souveraineté des données
Une exigence qui découle selon la CSNP de la nécessité pour l'État de "conserver un accès autonome à son espace numérique et aux services numériques" et de "sécuriser l'accès aux contenus et données qu'il a définis comme stratégiques". L'avis estime cependant qu'il faut découpler la souveraineté technologique de la souveraineté sur les données, les deux facettes de la souveraineté numérique. Car si la première est largement un leurre – aucun pays ne maîtrise la totalité de la chaîne de valeur, des terres rares aux terminaux en passant par les câbles sous-marins, souligne l'avis – la souveraineté des données est plus facile à envisager. Elle implique cependant de mieux définir les données concernées car si le RGPD protège depuis 2008 les données personnelles des Européens, il est insuffisant. "Les données non personnelles mais stratégiques et sensibles des collectivités locales, des hôpitaux, etc. ne sont protégées par aucun dispositif réglementaire" souligne la parlementaire.
Usage de solutions labellisées SecNumCloud
En pratique, il s'agirait d'imposer aux administrations au sens large du terme d'héberger leurs données sensibles chez un fournisseur de cloud, de préférence français ou européen, et dans tous les cas non soumis à des législations extraterritoriales telles que le Cloud Act américain. En clair, il s'agirait d'éviter les trois fournisseurs américains ("Amazon Web Services", "Microsoft Azure" et "Google Cloud") qui trustent les trois quarts du marché mondial de l'informatique en nuage et d'imposer aux administrations le recours aux solutions labellisées SecNumCloud par l'Anssi (liste consultable ici), un label renouvelable tous les trois ans, destiné à rassurer les utilisateurs et à faciliter leur mise en conformité avec la réglementation.
Cartographier les données concernées
Celle-ci ne cible cependant aujourd'hui que quelques catégories d'acteurs comme les opérateurs d'importance vitale (OIV), les hébergeurs de données de santé ou l'État. La circulaire du 31 mai 2023 a précisé pour ce dernier le périmètre des données "sensibles" concernées (voir notre article du 5 juin 2023). Sont notamment citées les données protégées par des secrets (médical, militaire, commercial…) ou servant à l'exercice des missions essentielles de l'État. Les collectivités territoriales ne sont cependant pas mentionnées expressément par la circulaire alors même que, relève la CSNP, "elles sont amenées à gérer quotidiennement des données personnelles telles que l'état civil, les affaires scolaires, les données médicales, ou des données sur la sécurité des personnes". Afin de clarifier la réglementation, la commission demande donc que les données sensibles des collectivités, hôpitaux et universités soient précisément cartographiées afin de les soumettre aux obligations SecNumCloud.
Accompagnement des communes
Bien placée pour connaître les difficultés des petites collectivités à appréhender la cybersécurité, l'ancienne élue de Vannes - qui a dû gérer une attaque par rançongiciel dans sa commune en 2016 - propose plusieurs mesures "en cohérence" avec la mise en œuvre prochaine de la directive NIS2 (voir notre article du 16 mai 2023) ou du prochain Data Act européen. Elle propose ainsi que les plans communaux de sauvegarde incorporent systématiquement un volet numérique/data et que les préfets soient chargés de veiller à la mise en œuvre de ces nouvelles obligations.
Elle appelle aussi à la mise en place d'un accompagnement pour les petites collectivités ne disposant ni des compétences et ni des moyens financiers nécessaires. La commission propose enfin de renforcer les contraintes de souveraineté numérique dans les marchés publics et incite le nouveau comité stratégique de filière (CSF) numérique de confiance à faire des propositions allant dans ce sens.
Doter la France d'une stratégie de souveraineté numérique
Au-delà ces mesures applicables à la sphère administrative, la CSNP appelle l'État à se doter d'une véritable "stratégie de souveraineté numérique" afin de fixer un cap au acteurs économiques et académiques mais aussi de mieux anticiper les risques que font peser les Gafam américains et autres Batx, les géants de l'internet chinois. Elle estime que la souveraineté numérique, dont le portage est aujourd'hui éclaté entre le ministère de l'Économie (volet industriel) et l'Anssi (volet sécurité) doit être défini au plus haut niveau de l'État. Elle suggère la création d'un Conseil de défense de la stratégie numérique présidé par le président de la République et la formulation d'une stratégie politique en début de quinquennat. Avec à la clef, l'élaboration d'une feuille de route qui pourrait être discutée et évaluée chaque année à l'occasion de la loi de finances ou dans le cadre des débats annuels du "Printemps de l'évaluation".