Dans le sillage du règlement européen relatif au « libre flux des données non personnelles », le gouvernement se prépare à lever l’obligation, jusqu’ici faite aux administrations, de stocker tous leurs documents et données sur le territoire national. Ce qui devait théoriquement les conduire à se tourner vers des prestataires de « cloud souverain ».
Exit les solutions étrangères d’hébergement dites « en nuage », à commencer par celles proposées par les géants Google, Microsoft ou Amazon. Au travers d’une note parue en juin 2016, les ministères de l’Économie et de la Culture expliquaient aux administrations que « l'utilisation d'un cloud non souverain [était] illégale pour toute institution produisant des archives publiques ».
Cette conclusion avait donné des sueurs froides à certains acteurs publics, notamment au sein des collectivités territoriales. Et pour cause, tous les documents produits et reçus par les administrations sont considérés comme des archives publiques : dossiers, notes, correspondances, procès-verbaux, délibérations, codes sources, etc.
En avril 2018, le député Stéphane Testé avait transmis une question écrite au secrétaire d’État au Numérique d’alors, Mounir Mahjoubi, pour l’interpeler quant à cette interprétation jugée « extensive » du Code du patrimoine.
Une note désormais abrogée
La fameuse note ayant été retirée du site officiel dédié aux circulaires, Stéphane Testé en appelait surtout à une clarification de la part de l’exécutif. « Les dispositions du Code du patrimoine sont toujours sujettes à une interprétation qui pourrait restreindre le recours à l'informatique en nuage par toute institution produisant potentiellement des archives publiques », regrettait l’élu communiste.
À ses yeux, l’ « insécurité juridique » entourant la conservation, dans le cloud, de documents administratifs demeure doublement inquiétante. D’une part, cela pourrait freiner le recours à des solutions de stockage adaptées aux nouveaux besoins des administrations en matière d’archivage. D’autre part, cela « pénalise par ricochet un écosystème d'entreprises françaises positionnées sur l'accompagnement de ces institutions dans leur passage dans le cloud », faisait-il valoir.
Le mois dernier, après une longue année d’attente, Cédric O a finalement répondu à Stéphane Testé.
Le successeur de Mounir Mahjoubi rappelle qu’en vertu de l’article L 111-1 du Code du patrimoine, les archives publiques sont des « trésors nationaux » – lesquels ne doivent pas quitter le territoire national, sauf autorisation spécifique. « Elles ne peuvent en sortir qu'à titre temporaire, à des fins de restauration, d'expertise, de participation à une manifestation culturelle ou de dépôt dans une collection publique », précise ainsi l’ancien conseiller d’Emmanuel Macron.
Cédric O confirme que la note signée en 2016 par Bercy et la Rue de Valois a été « dépubliée du site circulaires.gouv.fr et n'est donc plus applicable ».
Une réforme législative avant juin 2021
En effet, l'entrée en application, le 28 mai dernier, du règlement européen relatif au libre flux des données à caractère non personnelles a « modifi[é] les règles de droit en interdisant les exigences de localisation, sauf pour des motifs de sécurité publique », explique le locataire de Bercy.
L'article L 111-1 du Code du patrimoine sera ainsi « modifié en conséquence ». Avec un sérieux changement en perspective :
« Seules les archives définitives ou archives « historiques », issues de la sélection prévue aux articles L. 212-2 et L. 212-3 du Code du patrimoine, continueront de relever du régime des trésors nationaux, à l'instar des collections des musées ou des collections patrimoniales des bibliothèques. Les archives courantes et intermédiaires, conservées par les administrations et les collectivités territoriales, ne seront plus considérées comme des trésors nationaux et ne seront donc plus soumises à une obligation de localisation sur le territoire national, sauf pour des motifs de sécurité publique. »
En clair, la plupart des documents administratifs transitant quotidiennement sur les ordinateurs des fonctionnaires (dossiers, emails, statistiques...) pourront être hébergés sur un service de cloud non souverain. Cédric O ne se prononce toutefois pas clairement sur les obligations qui prévalent en attendant cette réforme.
L'intéressé indique simplement que le ministère de la Culture est actuellement en train d'identifier le « véhicule législatif » qui permettra d’entériner ces changements.
« Stratégie cloud » et optimisation des coûts
En décembre 2017, lors de débats à l’Assemblée nationale, le député Éric Bothorel avait jugé que l’obligation d’héberger des données sur le territoire national n’avait guère de sens : « En vérité, il y avait très peu de fournisseurs qui étaient en capacité de dire où les données étaient localisées. Ce n’est pas parce qu’un data center est localisé en France qu’on a la garantie que les données et leur traitement restent en France. »
Dans une logique d’efficacité et d’optimisation des coûts, le gouvernement s’était en outre engagé l’année dernière à développer une « offre de cloud hybride en fonction des usages et de la sensibilité des données » de l'administration, à horizon 2021.
Trois types de solutions étaient alors mises en avant par le secrétariat d’État au Numérique :
- Un « cloud interne », dédié aux données et applications sensibles, accessible à l’ensemble des ministères sur une base OpenStack, et « hébergé par l’administration ».
- Un « cloud dédié », « pour les données et applications de sensibilité moindre, reposant sur une offre externe personnalisée pour les besoins de l’État et hébergé sur des infrastructures dédiées ».
- Un « cloud externe », destiné aux « données et applications peu sensibles, constituée d’un catalogue d’offres cloud accessibles sur Internet, [et] porté par des centrales d’achat public pour en faciliter la commande ».
Si Cédric O ne le précise pas, rappelons que le temps est compté pour la France. En vertu du règlement européen, chaque État membre est en effet censé avoir abrogé au 30 mai 2021 au plus tard « toute exigence existante de localisation des données » qui serait établie par une disposition législative, réglementaire ou administrative. Toute demande de dérogation devra d’ailleurs être « immédiatement » notifiée à la Commission européenne.
Le texte prévoit en outre qu’un « point d'information » national détaille, sur Internet et de manière actualisée, l’ensemble des « exigences de localisation des données » qui prévalent sur un territoire.
