Les ministères de l'Économie et de la Culture rappellent qu'il est illégal pour les collectivités territoriales de stocker leurs documents en dehors du territoire national. Elles doivent donc passer par un prestataire « souverain », seule solution légale.
Dans une note d'information publiée ce matin au Journal officiel (PDF), la direction des collectivités territoriales à Bercy et le service interministériel des Archives de France affirment que les établissements publics qui veulent héberger leurs données dans le « cloud » doivent passer par des fournisseurs « souverains ».
Cette clarification vient après une série de question de collectivités, détaillent les directions, qui se veulent clairs sur la portée du texte. Collectivités et administrations devraient ainsi éviter des acteurs étrangers comme Amazon, Google ou Microsoft, qui peuvent difficilement garantir cet hébergement sur le territoire national... D'ailleurs, les entreprises de « cloud souverain » opèrent tout le traitement des données en France et sont de droit français, explicite la note.
Garantir l'hébergement en France
La raison est avant tout juridique. Les documents et données numériques produits par l'administration sont considérés, dès leur création, comme des archives publiques. Ces archives sont, elles, considérées comme des « trésors nationaux »... Qui ne doivent pas quitter le territoire français, sauf autorisation spécifique. « Les données numériques des collectivités relèvent donc du régime des trésors nationaux dès leur création » résume le gouvernement.
Pour s'assurer qu'elles ne soient pas stockées en dehors de France, il faut passer par un prestataire qui puisse le garantir, donc un prestataire de « cloud souverain ». En clair, « l'utilisation d'un cloud non souverain [est] illégale pour toute institution produisant des archives publiques ». Contacté, le service interministériel des Archives de France confirme cette information.
Prudence et investissements déçus
Pour s'aider à choisir un prestataire « souverain », les établissements publics sont encouragés à s'appuyer sur la future liste Secure Cloud, éditée par l'ANSSI. Après cela, la collectivité doit aussi s'assurer explicitement de la localisation, de la sécurité, de la traçabilité et de la possibilité de suppression des données du système. De même, en cas de cloud public (où les données sont hébergées chez le prestataire), il faut s'assurer d'une séparation logique entre les instances de chaque client.
Un encouragement au « cloud » français qui a de quoi donner quelques crampes d'estomac aux caisses de Bercy. En 2012, Orange et Thalès, ainsi que SFR et Bull, lançaient deux projets d'hébergeurs de « cloud souverain » censés devenir des géants européens. Pour les financer, la Caisse des dépôts débloque une enveloppe de 150 millions d'euros, au grand dam des acteurs déjà en place, qui crient à la concurrence déloyale.
Bercy n'aura jamais l'occasion de tout dépenser, coupant le financement après plus de deux ans d'activité de Cloudwatt et Numergy. Faute de clients assez importants et de stratégie assez claire (voir notre analyse), les deux entreprises alignent à peine quelques millions d'euros de chiffre d'affaires annuels, pour des investissements infiniment supérieurs. Alors qu'ils étaient déjà très intégrés au sein d'Orange et SFR, les deux groupes télécoms rachètent l'an dernier leurs coentreprises pour les ramener sous la coupe de leurs divisions entreprises.
Les deux groupes comptaient notamment sur la commande publique, bien plus faible et tardive que prévu. Gageons que cette circulaire incitera plus facilement l'administration à se tourner vers eux, ainsi que vers les nombreux acteurs qui se sont développés par ailleurs.