Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Administrations : vers un assouplissement de l’obligation de recourir au « cloud souverain »

Cloud you be loved
Droit 5 min
Administrations : vers un assouplissement de l’obligation de recourir au « cloud souverain »
Crédits : mucahiddin/iStock/ThinkStock

Dans le sillage du règlement européen relatif au « libre flux des données non personnelles », le gouvernement se prépare à lever l’obligation, jusqu’ici faite aux administrations, de stocker tous leurs documents et données sur le territoire national. Ce qui devait théoriquement les conduire à se tourner vers des prestataires de « cloud souverain ».

Exit les solutions étrangères d’hébergement dites « en nuage », à commencer par celles proposées par les géants Google, Microsoft ou Amazon. Au travers d’une note parue en juin 2016, les ministères de l’Économie et de la Culture expliquaient aux administrations que « l'utilisation d'un cloud non souverain [était] illégale pour toute institution produisant des archives publiques ».

Cette conclusion avait donné des sueurs froides à certains acteurs publics, notamment au sein des collectivités territoriales. Et pour cause, tous les documents produits et reçus par les administrations sont considérés comme des archives publiques : dossiers, notes, correspondances, procès-verbaux, délibérations, codes sources, etc.

En avril 2018, le député Stéphane Testé avait transmis une question écrite au secrétaire d’État au Numérique d’alors, Mounir Mahjoubi, pour l’interpeler quant à cette interprétation jugée « extensive » du Code du patrimoine.

Une note désormais abrogée

La fameuse note ayant été retirée du site officiel dédié aux circulaires, Stéphane Testé en appelait surtout à une clarification de la part de l’exécutif. « Les dispositions du Code du patrimoine sont toujours sujettes à une interprétation qui pourrait restreindre le recours à l'informatique en nuage par toute institution produisant potentiellement des archives publiques », regrettait l’élu communiste.

À ses yeux, l’ « insécurité juridique » entourant la conservation, dans le cloud, de documents administratifs demeure doublement inquiétante. D’une part, cela pourrait freiner le recours à des solutions de stockage adaptées aux nouveaux besoins des administrations en matière d’archivage. D’autre part, cela « pénalise par ricochet un écosystème d'entreprises françaises positionnées sur l'accompagnement de ces institutions dans leur passage dans le cloud », faisait-il valoir.

Le mois dernier, après une longue année d’attente, Cédric O a finalement répondu à Stéphane Testé.

Le successeur de Mounir Mahjoubi rappelle qu’en vertu de l’article L 111-1 du Code du patrimoine, les archives publiques sont des « trésors nationaux » – lesquels ne doivent pas quitter le territoire national, sauf autorisation spécifique. « Elles ne peuvent en sortir qu'à titre temporaire, à des fins de restauration, d'expertise, de participation à une manifestation culturelle ou de dépôt dans une collection publique », précise ainsi l’ancien conseiller d’Emmanuel Macron.

Cédric O confirme que la note signée en 2016 par Bercy et la Rue de Valois a été « dépubliée du site circulaires.gouv.fr et n'est donc plus applicable ».

Une réforme législative avant juin 2021

En effet, l'entrée en application, le 28 mai dernier, du règlement européen relatif au libre flux des données à caractère non personnelles a « modifi[é] les règles de droit en interdisant les exigences de localisation, sauf pour des motifs de sécurité publique », explique le locataire de Bercy.

L'article L 111-1 du Code du patrimoine sera ainsi « modifié en conséquence ». Avec un sérieux changement en perspective :

« Seules les archives définitives ou archives « historiques », issues de la sélection prévue aux articles L. 212-2 et L. 212-3 du Code du patrimoine, continueront de relever du régime des trésors nationaux, à l'instar des collections des musées ou des collections patrimoniales des bibliothèques. Les archives courantes et intermédiaires, conservées par les administrations et les collectivités territoriales, ne seront plus considérées comme des trésors nationaux et ne seront donc plus soumises à une obligation de localisation sur le territoire national, sauf pour des motifs de sécurité publique. »

En clair, la plupart des documents administratifs transitant quotidiennement sur les ordinateurs des fonctionnaires (dossiers, emails, statistiques...) pourront être hébergés sur un service de cloud non souverain. Cédric O ne se prononce toutefois pas clairement sur les obligations qui prévalent en attendant cette réforme.

L'intéressé indique simplement que le ministère de la Culture est actuellement en train d'identifier le « véhicule législatif » qui permettra d’entériner ces changements.

« Stratégie cloud » et optimisation des coûts

En décembre 2017, lors de débats à l’Assemblée nationale, le député Éric Bothorel avait jugé que l’obligation d’héberger des données sur le territoire national n’avait guère de sens : « En vérité, il y avait très peu de fournisseurs qui étaient en capacité de dire où les données étaient localisées. Ce n’est pas parce qu’un data center est localisé en France qu’on a la garantie que les données et leur traitement restent en France. »

Dans une logique d’efficacité et d’optimisation des coûts, le gouvernement s’était en outre engagé l’année dernière à développer une « offre de cloud hybride en fonction des usages et de la sensibilité des données » de l'administration, à horizon 2021.

Trois types de solutions étaient alors mises en avant par le secrétariat d’État au Numérique :

  • Un « cloud interne », dédié aux données et applications sensibles, accessible à l’ensemble des ministères sur une base OpenStack, et « hébergé par l’administration ».
  • Un « cloud dédié », « pour les données et applications de sensibilité moindre, reposant sur une offre externe personnalisée pour les besoins de l’État et hébergé sur des infrastructures dédiées ».
  • Un « cloud externe », destiné aux « données et applications peu sensibles, constituée d’un catalogue d’offres cloud accessibles sur Internet, [et] porté par des centrales d’achat public pour en faciliter la commande ».

Si Cédric O ne le précise pas, rappelons que le temps est compté pour la France. En vertu du règlement européen, chaque État membre est en effet censé avoir abrogé au 30 mai 2021 au plus tard « toute exigence existante de localisation des données » qui serait établie par une disposition législative, réglementaire ou administrative. Toute demande de dérogation devra d’ailleurs être « immédiatement » notifiée à la Commission européenne.

Le texte prévoit en outre qu’un « point d'information » national détaille, sur Internet et de manière actualisée, l’ensemble des « exigences de localisation des données » qui prévalent sur un territoire.

22 commentaires
Avatar de Cellular Abonné
Avatar de CellularCellular- 19/08/19 à 14:23:53

à supprimer

Édité par Cellular le 19/08/2019 à 14:26
Avatar de XMalek INpactien
Avatar de XMalekXMalek- 19/08/19 à 14:24:43

Ca sent le joli pot de vin de la part de micro$oft, d'amazon ou de google tout ça...

Avatar de Cellular Abonné
Avatar de CellularCellular- 19/08/19 à 14:32:43

L’article 36 du TFUE permet de restreindre l’exportation hors du territoire français des trésors nationaux, ce que fait l’article L111-7 du code du patrimoine. Le règlement relatif à la libre circulation des données non-personnelles n'a donc pas de conséquence sur ce point.

Par ailleurs, le règlement général sur la protection des données à caractère personnel impose la minimisation des traitements de données. Ainsi il convient de limiter les traitements de données à caractère personnel au strict nécessaire et ainsi d'éviter les flux de données transfrontières non-nécessaires.

Avatar de JoePike INpactien
Avatar de JoePikeJoePike- 19/08/19 à 14:50:54

J'ai quand même dans l'idée qu'ils ont attendus que des hébergeurs français soient prèts pour des hébergements hors "loix patriot act"
Des boites comme OVH( c'est seulement un exemple ) ont bougé des dizaines de milliers de machines de et vers les états unis pour permettre à leurs clients de ne pas se retrouver coincés par les USA
aujourd"hui on peut se faire héberger avec garantie que les données ou les sites ne seront pas géographiquement sous juridiction US.
My 2 cents like they say :D

Avatar de crocodudule INpactien
Avatar de crocodudulecrocodudule- 19/08/19 à 14:53:28

Cellular a écrit :

Par ailleurs, le règlement général sur la protection des données à caractère personnel impose la minimisation des traitements de données. Ainsi il convient de limiter les traitements de données à caractère personnel au strict nécessaire et ainsi d'éviter les flux de données transfrontières non-nécessaires.

La minimisation c'est le fait de limiter les données traitées pour uniquement satisfaire aux finalités poursuivies (pas collecter ou traiter des donnes sans rapport avec la finalité), du coup je vois pas le rapport avec le cloud, qui n'est pas une finalité mais un support du traitement.

Par ailleurs, le RGPD n'interdit en rien les traitements transfrontaliers; si le pays étranger est en Europe no problemo et si le pays n'est pas en Europe, alors il faut une décision d'adéquation et/ou des BCR (outre quelques autres aménagements possibles).

Du coup le RGPD n'impose en rien le cloud souverain (qui ne peut être imposé que pour des objectifs de sécurité ou de confidentialité particuliers).

Et même si c'est dommage, c'est une solution pragmatique: les offres de cloud françaises cassent pas des briques (et c'est pourtant pas faute pour les entreprises françaises du secteur d'avoir joué plein tube la carte de la "souveraineté" pour se mettre en avant et séduire les politiques...).

Néanmoins il n'y a pas lieu ici d'évoquer le RGPD, le règlement évoqué dans l'article s'applique aux données autres que les données à caractère personnel au sens du RGPD.

Avatar de Cellular Abonné
Avatar de CellularCellular- 19/08/19 à 15:00:49

L'article indique : "En clair, la plupart des documents administratifs transitant
quotidiennement sur les ordinateurs des fonctionnaires (dossiers,
emails, statistiques...) pourront être hébergés sur un service de cloud
non souverain." ici ces dossiers et emails sont des données à caractère personnel au sens du RGPD...

Avatar de letter Abonné
Avatar de letterletter- 19/08/19 à 15:01:04

Vu qu’on était pas prêt d’avoir un Cloud souverain, ça semblait assez aberrant.

Avatar de crocodudule INpactien
Avatar de crocodudulecrocodudule- 19/08/19 à 15:15:55

Cellular a écrit :

L'article indique : "En clair, la plupart des documents administratifs transitant
quotidiennement sur les ordinateurs des fonctionnaires (dossiers,
emails, statistiques...) pourront être hébergés sur un service de cloud
non souverain." ici ces dossiers et emails sont des données à caractère personnel au sens du RGPD...

Je te l'accorde la note mélange un peu tout et donc se plante, mais clairement les deux règlements visent deux situations distinctes qui peuvent se résumer ainsi :
. si données à caractère perso. = RGPD = Cloud en Europe (sauf adéquation, ou inversement cloud souverain car impératif de sécurité),
. si données qui ne sont pas à caractère personnel = Règlement européen sur le libre flux des données = le cloud où on veut (sauf impératif de sécurité).

Avatar de Cellular Abonné
Avatar de CellularCellular- 19/08/19 à 15:19:32

Ces deux textes ne peuvent en aucun cas limiter l'article 36 TFUE qui permet des restrictions à la libre circulation des trésors nationaux.

Avatar de crocodudule INpactien
Avatar de crocodudulecrocodudule- 19/08/19 à 15:35:11

Cellular a écrit :

Ces deux textes ne peuvent en aucun cas limiter l'article 36 TFUE qui permet des restrictions à la libre circulation des trésors nationaux.

Je vois pas à quel titre l'article 36 d'un Code peut contrecarrer un règlement européen.

A l'inverse, avec la hiérarchie des normes, le texte se fera défoncer sauf à motiver correctement l'exception à la règle posée par le Règlement et à la notifier à la Commission. A défaut, n'importe quel Tribunal administratif dira que l'article 36 contrevient à un règlement européen entré en vigueur qui lui est supérieur et que les dispositions de l'article sont inapplicables.

Il n'est plus possible de commenter cette actualité.
Page 1 / 3