Administrations : vers un assouplissement de l’obligation de recourir au « cloud souverain »

Administrations : vers un assouplissement de l’obligation de recourir au « cloud souverain »

Cloud you be loved

Avatar de l'auteur
Xavier Berne

Publié dans

Droit

19/08/2019 6 minutes
22

Administrations : vers un assouplissement de l’obligation de recourir au « cloud souverain »

Dans le sillage du règlement européen relatif au « libre flux des données non personnelles », le gouvernement se prépare à lever l’obligation, jusqu’ici faite aux administrations, de stocker tous leurs documents et données sur le territoire national. Ce qui devait théoriquement les conduire à se tourner vers des prestataires de « cloud souverain ».

Exit les solutions étrangères d’hébergement dites « en nuage », à commencer par celles proposées par les géants Google, Microsoft ou Amazon. Au travers d’une note parue en juin 2016, les ministères de l’Économie et de la Culture expliquaient aux administrations que « l'utilisation d'un cloud non souverain [était] illégale pour toute institution produisant des archives publiques ».

Cette conclusion avait donné des sueurs froides à certains acteurs publics, notamment au sein des collectivités territoriales. Et pour cause, tous les documents produits et reçus par les administrations sont considérés comme des archives publiques : dossiers, notes, correspondances, procès-verbaux, délibérations, codes sources, etc.

En avril 2018, le député Stéphane Testé avait transmis une question écrite au secrétaire d’État au Numérique d’alors, Mounir Mahjoubi, pour l’interpeler quant à cette interprétation jugée « extensive » du Code du patrimoine.

Une note désormais abrogée

La fameuse note ayant été retirée du site officiel dédié aux circulaires, Stéphane Testé en appelait surtout à une clarification de la part de l’exécutif. « Les dispositions du Code du patrimoine sont toujours sujettes à une interprétation qui pourrait restreindre le recours à l'informatique en nuage par toute institution produisant potentiellement des archives publiques », regrettait l’élu communiste.

À ses yeux, l’ « insécurité juridique » entourant la conservation, dans le cloud, de documents administratifs demeure doublement inquiétante. D’une part, cela pourrait freiner le recours à des solutions de stockage adaptées aux nouveaux besoins des administrations en matière d’archivage. D’autre part, cela « pénalise par ricochet un écosystème d'entreprises françaises positionnées sur l'accompagnement de ces institutions dans leur passage dans le cloud », faisait-il valoir.

Le mois dernier, après une longue année d’attente, Cédric O a finalement répondu à Stéphane Testé.

Le successeur de Mounir Mahjoubi rappelle qu’en vertu de l’article L 111-1 du Code du patrimoine, les archives publiques sont des « trésors nationaux » – lesquels ne doivent pas quitter le territoire national, sauf autorisation spécifique. « Elles ne peuvent en sortir qu'à titre temporaire, à des fins de restauration, d'expertise, de participation à une manifestation culturelle ou de dépôt dans une collection publique », précise ainsi l’ancien conseiller d’Emmanuel Macron.

Cédric O confirme que la note signée en 2016 par Bercy et la Rue de Valois a été « dépubliée du site circulaires.gouv.fr et n'est donc plus applicable ».

Une réforme législative avant juin 2021

En effet, l'entrée en application, le 28 mai dernier, du règlement européen relatif au libre flux des données à caractère non personnelles a « modifi[é] les règles de droit en interdisant les exigences de localisation, sauf pour des motifs de sécurité publique », explique le locataire de Bercy.

L'article L 111-1 du Code du patrimoine sera ainsi « modifié en conséquence ». Avec un sérieux changement en perspective :

« Seules les archives définitives ou archives « historiques », issues de la sélection prévue aux articles L. 212-2 et L. 212-3 du Code du patrimoine, continueront de relever du régime des trésors nationaux, à l'instar des collections des musées ou des collections patrimoniales des bibliothèques. Les archives courantes et intermédiaires, conservées par les administrations et les collectivités territoriales, ne seront plus considérées comme des trésors nationaux et ne seront donc plus soumises à une obligation de localisation sur le territoire national, sauf pour des motifs de sécurité publique. »

En clair, la plupart des documents administratifs transitant quotidiennement sur les ordinateurs des fonctionnaires (dossiers, emails, statistiques...) pourront être hébergés sur un service de cloud non souverain. Cédric O ne se prononce toutefois pas clairement sur les obligations qui prévalent en attendant cette réforme.

L'intéressé indique simplement que le ministère de la Culture est actuellement en train d'identifier le « véhicule législatif » qui permettra d’entériner ces changements.

« Stratégie cloud » et optimisation des coûts

En décembre 2017, lors de débats à l’Assemblée nationale, le député Éric Bothorel avait jugé que l’obligation d’héberger des données sur le territoire national n’avait guère de sens : « En vérité, il y avait très peu de fournisseurs qui étaient en capacité de dire où les données étaient localisées. Ce n’est pas parce qu’un data center est localisé en France qu’on a la garantie que les données et leur traitement restent en France. »

Dans une logique d’efficacité et d’optimisation des coûts, le gouvernement s’était en outre engagé l’année dernière à développer une « offre de cloud hybride en fonction des usages et de la sensibilité des données » de l'administration, à horizon 2021.

Trois types de solutions étaient alors mises en avant par le secrétariat d’État au Numérique :

  • Un « cloud interne », dédié aux données et applications sensibles, accessible à l’ensemble des ministères sur une base OpenStack, et « hébergé par l’administration ».
  • Un « cloud dédié », « pour les données et applications de sensibilité moindre, reposant sur une offre externe personnalisée pour les besoins de l’État et hébergé sur des infrastructures dédiées ».
  • Un « cloud externe », destiné aux « données et applications peu sensibles, constituée d’un catalogue d’offres cloud accessibles sur Internet, [et] porté par des centrales d’achat public pour en faciliter la commande ».

Si Cédric O ne le précise pas, rappelons que le temps est compté pour la France. En vertu du règlement européen, chaque État membre est en effet censé avoir abrogé au 30 mai 2021 au plus tard « toute exigence existante de localisation des données » qui serait établie par une disposition législative, réglementaire ou administrative. Toute demande de dérogation devra d’ailleurs être « immédiatement » notifiée à la Commission européenne.

Le texte prévoit en outre qu’un « point d'information » national détaille, sur Internet et de manière actualisée, l’ensemble des « exigences de localisation des données » qui prévalent sur un territoire.

22

Écrit par Xavier Berne

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une note désormais abrogée

Une réforme législative avant juin 2021

« Stratégie cloud » et optimisation des coûts

Commentaires (22)


Ca sent le joli pot de vin de la part de micro$oft, d’amazon ou de google tout ça…


L’article 36 du TFUE permet de restreindre l’exportation hors du territoire français des trésors nationaux, ce que fait l’article L111-7 du code du patrimoine. Le règlement relatif à la libre circulation des données non-personnelles n’a donc pas de conséquence sur ce point.



Par ailleurs, le règlement général sur la protection des données à caractère personnel impose la minimisation des traitements de données. Ainsi il convient de limiter les traitements de données à caractère personnel au strict nécessaire et ainsi d’éviter les flux de données transfrontières non-nécessaires.


J’ai quand même dans l’idée qu’ils ont attendus que des hébergeurs français soient prèts pour des hébergements hors “loix patriot act”

Des boites comme OVH( c’est seulement un exemple ) ont bougé des dizaines de milliers de machines de et vers les états unis pour permettre à leurs clients de ne pas se retrouver coincés par les USA

aujourd”hui on peut se faire héberger avec garantie que les données ou les sites ne seront pas géographiquement sous juridiction US.

My 2 cents like they say <img data-src=" />








Cellular a écrit :



Par ailleurs, le règlement général sur la protection des données à caractère personnel impose la minimisation des traitements de données. Ainsi il convient de limiter les traitements de données à caractère personnel au strict nécessaire et ainsi d’éviter les flux de données transfrontières non-nécessaires.





La minimisation c’est le fait de limiter les données traitées pour uniquement satisfaire aux finalités poursuivies (pas collecter ou traiter des donnes sans rapport avec la finalité), du coup je vois pas le rapport avec le cloud, qui n’est pas une finalité mais un support du traitement.



Par ailleurs, le RGPD n’interdit en rien les traitements transfrontaliers; si le pays étranger est en Europe no problemo et si le pays n’est pas en Europe, alors il faut une décision d’adéquation et/ou des BCR (outre quelques autres aménagements possibles).



Du coup le RGPD n’impose en rien le cloud souverain (qui ne peut être imposé que pour des objectifs de sécurité ou de confidentialité particuliers).



Et même si c’est dommage, c’est une solution pragmatique: les offres de cloud françaises cassent pas des briques (et c’est pourtant pas faute pour les entreprises françaises du secteur d’avoir joué plein tube la carte de la “souveraineté” pour se mettre en avant et séduire les politiques…).



Néanmoins il n’y a pas lieu ici d’évoquer le RGPD, le règlement évoqué dans l’article s’applique aux données autres que les données à caractère personnel au sens du RGPD.



L’article indique : “En clair, la plupart des documents administratifs transitant

quotidiennement sur les ordinateurs des fonctionnaires (dossiers,

emails, statistiques…) pourront être hébergés sur un service de cloud

non souverain.” ici ces dossiers et emails sont des données à caractère personnel au sens du RGPD…


Vu qu’on était pas prêt d’avoir un Cloud souverain, ça semblait assez aberrant.








Cellular a écrit :



L’article indique : “En clair, la plupart des documents administratifs transitant

quotidiennement sur les ordinateurs des fonctionnaires (dossiers,

emails, statistiques…) pourront être hébergés sur un service de cloud

non souverain.” ici ces dossiers et emails sont des données à caractère personnel au sens du RGPD…





Je te l’accorde la note mélange un peu tout et donc se plante, mais clairement les deux règlements visent deux situations distinctes qui peuvent se résumer ainsi :

. si données à caractère perso. = RGPD = Cloud en Europe (sauf adéquation, ou inversement cloud souverain car impératif de sécurité),

. si données qui ne sont pas à caractère personnel = Règlement européen sur le libre flux des données = le cloud où on veut (sauf impératif de sécurité).



Ces deux textes ne peuvent en aucun cas limiter l’article 36 TFUE qui permet des restrictions à la libre circulation des trésors nationaux.








Cellular a écrit :



Ces deux textes ne peuvent en aucun cas limiter l’article 36 TFUE qui permet des restrictions à la libre circulation des trésors nationaux.





Je vois pas à quel titre l’article 36 d’un Code peut contrecarrer un règlement européen.



A l’inverse, avec la hiérarchie des normes, le texte se fera défoncer sauf à motiver correctement l’exception à la règle posée par le Règlement et à la notifier à la Commission. A défaut, n’importe quel Tribunal administratif dira que l’article 36 contrevient à un règlement européen entré en vigueur qui lui est supérieur et que les dispositions de l’article sont inapplicables.



on rapproche tout ça du ‘cloud act’, sachant que la justice américaine est au service des intérêts économiques de son gouvernement… Ca promet.


Au-delà du sujet principal de l’article, personne n’est troublé par le fait qu’une note est «&nbsp;dépubliée du site circulaires.gouv.fr et n’est donc plus applicable&nbsp;» ? L’abrogation par dépublication ?


a priori TFUE c’est le traité sur le fonctionnement de l’UE, c’est pas un simple code national (mais je ne prétendrait pas être capable de discuter de sa relation hiérarchique avec un réglement)



“Les dispositions des articles 34 et 35 ne font pas obstacle aux interdictions ou restrictions d’importation, d’exportation ou de transit, justifiées par des raisons de moralité publique, d’ordre public, de sécurité publique, de protection de la santé et de la vie des personnes et des animaux ou de préservation des végétaux, de protection des trésors nationaux ayant une valeur artistique, historique ou archéologique ou de protection de la propriété industrielle et commerciale. Toutefois, ces interdictions ou restrictions ne doivent constituer ni un moyen de discrimination arbitraire ni une restriction déguisée dans le commerce entre les États membres. ”



Ce qui me perturbe plus c’est le passage de ‘trésor national’ à ‘tout document d’une administration’. Déjà passer de ‘trésor national ayant une valeur historique’ à ‘toute archive publique’ je trouve ça osé, mais passer de ‘toute archive publique’ à ‘tout document d’une administration produisant des archives’, c’est juste n’importe quoi.

J’ai bossé dans une telle administration, j’ai vraiment pas eu le sentiment que grand chose que j’ai fait puisse être qualifié de trésor national. Ça doit être ma légendaire modestie.








Zerdligham a écrit :



a priori TFUE c’est le traité sur le fonctionnement de l’UE, c’est pas un simple code national (mais je ne prétendrait pas être capable de discuter de sa relation hiérarchique avec un réglement)



“Les dispositions des articles 34 et 35 ne font pas obstacle aux interdictions ou restrictions d’importation, d’exportation ou de transit, justifiées par des raisons de moralité publique, d’ordre public, de sécurité publique, de protection de la santé et de la vie des personnes et des animaux ou de préservation des végétaux, de protection des trésors nationaux ayant une valeur artistique, historique ou archéologique ou de protection de la propriété industrielle et commerciale. Toutefois, ces interdictions ou restrictions ne doivent constituer ni un moyen de discrimination arbitraire ni une restriction déguisée dans le commerce entre les États membres. ”



Ce qui me perturbe plus c’est le passage de ‘trésor national’ à ‘tout document d’une administration’. Déjà passer de ‘trésor national ayant une valeur historique’ à ‘toute archive publique’ je trouve ça osé, mais passer de ‘toute archive publique’ à ‘tout document d’une administration produisant des archives’, c’est juste n’importe quoi.

J’ai bossé dans une telle administration, j’ai vraiment pas eu le sentiment que grand chose que j’ai fait puisse être qualifié de trésor national. Ça doit être ma légendaire modestie.





J’avais pas vu qu’il parlait du TFUE, j’étais resté sur le Code du patrimoine visé dans l’article de Xavier.



Effectivement, aucune idée du gagnant de la battle TFUE vs Règlement UE.



Et je te rejoins, considérer tout document administratif comme trésor national, ça a probablement un intérêt pour les archives mais c’est pas franchement révélateur de la qualité du contenu de certains documents administratifs ^^



Plutôt que de mettre le paquet sur des clouds souverains, on laisse tomber (courageusement en supprimant une circulaire)… La Macron’s French touch…


Les traités sont supérieurs dans l’ordre hiérarchique. A titre d’exemple, le règlement FFoD est pris sur la base de l’article 114 TFUE (donc en dessous).








rabenou a écrit :



Au-delà du sujet principal de l’article, personne n’est troublé par le fait qu’une note est «&nbsp;dépubliée du site circulaires.gouv.fr et n’est donc plus applicable&nbsp;» ? L’abrogation par dépublication ?





Je n’avais pas tiqué en pensant que c’était lié à la réforme de la loi ESSOC (https://www.nextinpact.com/news/107484-faute-mise-en-ligne-circulaires-et-instructions-menacees-dabrogation.htm). Mais non, ça ne correspond pas. Bizarre en effet…









Xavier.B a écrit :



Je n’avais pas tiqué en pensant que c’était lié à la réforme de la loi ESSOC (https://www.nextinpact.com/news/107484-faute-mise-en-ligne-circulaires-et-instructions-menacees-dabrogation.htm). Mais non, ça ne correspond pas. Bizarre en effet…





Sauf erreur la note à la portée d’une circulaire, l’administration peut la modifier, la remplacer ou la virer à loisir non (sauf en matière fiscale)? Ou j’ai (encore) raté un truc en droit administratif ^^









Cellular a écrit :



Les traités sont supérieurs dans l’ordre hiérarchique. A titre d’exemple, le règlement FFoD est pris sur la base de l’article 114 TFUE (donc en dessous).





Je suis tenté de penser comme toi, néanmoins l’article que tu évoques (et que je viens de lire du coup) permet certes des restrictions, mais fait bien de la libre circulation le principe.



Par conséquent, je doute qu’il suffise de dire tout document administratif est un trésor national et permet d’imposer un cloud souverain, pour régler la question.



A l’inverse, il va falloir justifier les restrictions par rapport à un impératif particulier et vérifiable par la commission dans le cadre de la notification (et éventuellement aux yeux de la CJUE en cas de litige ou de question préjudicielle).



civ, scaleway, outscale, ovh, … sont tous des clouds souverains.


Drôle, EDF chie à monter leur cloud privée.