Administration numérique - Cloud souverain : rappels pour la gestion des archives numériques dans les collectivités
Début juin, une "note d'information relative à l'informatique en nuage" datée du 5 avril venait rappeler un ensemble de règles et de bonnes pratiques en matière de cloud computing pour les acteurs publics. Publiée pour répondre aux interrogations des collectivités et les sensibiliser sur le sujet, cette circulaire a jeté le trouble sur l'utilisation des services cloud de Google, Microsoft ou encore Amazon. Dans les faits, cette note cosignée par la direction générale des collectivités locales (ministère de l'Intérieur) ainsi que le service ministériel des archives de France (direction générale des patrimoines, ministère de la Culture) est surtout venue rappeler un ensemble de points déjà explicités dans le référentiel général de gestion des archives. Qui excluait déjà implicitement ces solutions.
L'archive numérique, un "trésor national"
Comme le rappelle la note, "les documents et données numériques produits par les collectivités territoriales relèvent du régime juridique des archives publiques dès leur création". Autrement dit, tant les documents numérisés que les "documents bureautiques", les emails ou le contenu d'une base de données sont considérés comme des archives publiques. A ce titre, ils sont considérés, à l'instar de l'ensemble des archives publiques, comme des "trésors nationaux". Statut qui impose, comme le précise la note, "un régime de circulation contraignant" : elles ne peuvent quitter le territoire douanier qu'à titre temporaire, après autorisation du ministère de la Culture, et aux seules "fins de restauration, d'expertise, de participation à une manifestation culturelle ou le dépôt dans une collection publique".
L'utilisation de cloud non-souverain est "illégale"
La conséquence directe de ce statut d'"archive publique", est que le cloud, c'est-à-dire le service d'accès distant aux données, doit être souverain. Comprendre : les données doivent entièrement être stockées et traitées sur le territoire français, par des entreprises respectant le cadre légal en vigueur. Les auteurs de la circulaire sont explicites à ce sujet, l'utilisation de solutions de cloud non-souverain est "illégale" - excluant de fait tous les fournisseurs proposant leurs services sur des serveurs situés hors de France. Des entreprises comme OVH, Ikoula ou encore Cloud Watt et Numergy restent cependant à même de répondre aux besoins des acteurs publics en la matière.
Si cette circulaire tend à privilégier des entreprises françaises, on notera que la "souveraineté" n'est pas forcément liée à la nationalité du fournisseur de service, mais à la localisation de son activité et à la sécurité (technique et juridique) des données. Ainsi, toute entreprise étrangère qui proposerait un cloud opéré en France, dont les datacenters concernés seraient sur le territoire national et qui se conformerait au cadre juridique français pourrait convenir. Seul bémol, s'assurer que le pays d'origine de l'entreprise ne puisse pas rapatrier les données ou y accéder. Les entreprises américaines sont par exemple soumises au Patriot Act. Un texte réglementaire qui les contraint à fournir les données qu'elles hébergent aux autorités américaines dès lors que ces dernières en font la demande ; et ce, partout dans le monde et sans forcément pouvoir en avertir leur client.
Sécuriser juridiquement les archives publiques
Le statut d'archive – et de "trésor national" – des documents et des données numériques ont été reprécisés en 2013 dans le Référentiel général de gestion des archives (RGGA). Mais tout en rappelant les obligations liées à ces statuts, ce document ne mentionnait pas explicitement le recours à un cloud souverain. Ce qu'est venue compléter la circulaire. Ce faisant, elle vise à sécuriser juridiquement les archives publiques mais, surtout, à sensibiliser les collectivités sur un sujet d'actualité. Par ailleurs, ce texte ne devrait pas poser pas difficultés particulières au regard du droit communautaire, estime un spécialiste. Les collectivités sont simplement invitées par les auteurs de la circulaire à prévoir un ensemble de clauses liées à la territorialisation et au traitement des données, concernant "la localisation, la sécurité, la confidentialité, la traçabilité, l'auditabilité, la réversibilité, la portabilité et l'élimination des données dans le système".
Ivan Eve / EVS
Datacenters et cloud, un guide à destination des collectivités
Paru en juillet 2015, le Guide sur le cloud computing et les datacenters à l'attention des collectivités locales, réalisé par la Direction générale des entreprises, la Caisse des Dépôts et le CGET, précisait que la souveraineté des données passait par des garanties techniques (niveau de sécurité et de confidentialité) et des garanties juridiques (non-utilisation, non-accès par des tiers, ...) qui devaient être contractualisées et vérifiées. En ce sens, le label Secure Cloud, porté par l'Anssi (Agence nationale de la sécurité des systèmes d'information), devrait apporter de la visibilité aux acteurs publics. Par ailleurs, les auteurs rappelaient l'importance de la localisation réelle des données ainsi que l'identité juridique de l'opérateur, afin de s'assurer que le cadre légal qui s'applique aux données hébergées soient "favorable pour la collectivité". En France, la souveraineté des données peut être garantie, selon le guide, dès lors que les datacenters sont implantés en France et que l'opérateur est de droit français - autrement dit, toute entreprise publique ou privée avec un actionnaire majoritaire français voir européen.
