L'État précise la notion de données sensibles à héberger dans un cloud certifié

Lancée en 2018, la doctrine cloud de l'État a fait l'objet d'un premier assouplissement en juillet 2021 pour faire de l'informatique en nuage un levier majeur de la transformation numérique de l'État. La circulaire du 31 mai 2023 confirme cette stratégie "cloud au centre". Elle présente un bilan du déploiement du cloud côté État tout en apportant quelques précisions réglementaires. Si les collectivités territoriales ne sont pas mentionnées, elles sont, de fait, concernées par plusieurs dispositions.

Cloud des informaticiens et cloud des utilisateurs

La circulaire apporte tout d'abord une clarification du vocabulaire. Aux notions un peu abstraites "d'Infrastructure as a Service" (laaS), qui correspond aux composants techniques de l'informatique en nuage, de Platform as a Service" (PaaS), qui sert à fabriquer les applications cloud et de "Software as a Service" (SaaS) ou logiciels proposés en location par un éditeur, la circulaire se limite à deux concepts :
- le cloud des équipes informatiques (IaaS +PaaS) ;
- le cloud des utilisateurs (SaaS). Ce dernier est celui qui impacte le plus les administrations car tous les éditeurs de logiciels proposent désormais une offre SaaS. À ces distinctions, s'ajoutent les cercles de confiance détaillés en 2018 avec le cloud "interne", conçu, géré et exploité par l'État, et le cloud "commercial", délégué à un prestataire, soumis à des règles de sécurité plus ou moins contraignantes.

200 projets recensés

Ces deux clouds font l'objet d'un bilan d'étape. Côté cloud interne, deux ministères sont à la manœuvre : l'Intérieur avec Cloud PI et le Minefi avec Cloud Nubo. Ils utilisent tous les deux des briques de la solution libre OpenStack. La circulaire estime que ce cloud interne atteint "des résultats à saluer" même s'il doit "continuer à évoluer" sur le volet résilience, richesse des briques PaaS et qualité de la relation client. Côté cloud commercial ensuite, son décollage a été permis par la qualification Ugap de plusieurs offres dont certaines labellisées SecuNumCloud, facilitant l'acquisition de solutions clés en mains par l'État (comme par les collectivités). Au total "200 projets" sont en cours au sein des ministères. La circulaire souligne une bascule "spontanée" au gré du déploiement de plateformes collaboratives, messageries, portails de dématérialisation et autres logiciels métiers. La circulaire veut cependant "faciliter l'identification des offres" pour déterminer celles qui répondent le mieux aux enjeux "d'ergonomie, de richesse fonctionnelle, de sécurité, de protection des données, de facilité d'utilisation".

Portabilité et réversibilité du cloud

La circulaire apporte ensuite quelques ajustements à la doctrine cloud. Elle prévoit d'obliger les ministères à rechercher "en priorité" une solution cloud pour tout projet informatique quelle qu'en soit la taille. Elle demande aux administrations de veiller à l'existence de clauses de réversibilité "soutenables" en cas de rupture du contrat. Elle insiste aussi sur la nécessaire "portabilité" des offres afin de faciliter le changement de prestataire. Elle souhaite que les projets cloud des administrations couvrent "plusieurs" zones géographiques et respectent les meilleures pratiques en matière de résilience et de reprise d'activité. Enfin, elle appelle à la plus grande vigilance sur la localisation des données et le risque d'éventuels transferts de données à caractère personnel en dehors de l'Union européenne. Les données tombant sous le coup du RGPD doivent ainsi "être immunisées contre toute demande d'autorité publique d'États tiers".

Les données soumises au label SecuNumCloud

La circulaire apporte enfin un éclaircissement – très attendu - sur la notion de "donnée sensible" dont l'hébergement doit obligatoirement s'effectuer sur des offres labellisées par l'Anssi SecuNumCloud. Sont concernées les données protégées par la loi au titre des articles L.311-5 et L.311-6 du CRPA (délibérations de l'État, défense, sécurité nationale, santé, données personnelles…) ainsi que les données nécessaires à l'accomplissement des missions essentielles de l'État. On soulignera que les collectivités amenées à gérer des données personnelles (état civil, affaires scolaires, élections…), médico-sociales (CCAS, APA…) ou des données sur la sécurité des personnes (vidéoprotection, police municipale…) sont pleinement concernées par l'obligation SecuNumCloud. En pratique cependant, elles devront surtout veiller à ce que leur éditeur de logiciel SaaS utilise un hébergement SecuNumCloud. Cette définition précise a cependant une autre conséquence : toutes les données qui ne sont pas sensibles au sens de la circulaire peuvent être hébergées sur des offres cloud n'ayant pas nécessairement le label SecuNumCloud alors que la précédente circulaire tendait à le recommander. Une bonne nouvelle car les administrations pointaient le manque d'offres labellisées et des tarifs élevés, freinant de fait leur migration vers l'informatique en nuage.