Les entreprises sont de plus en plus nombreuses à avoir recours à des solutions Cloud au quotidien. Elles ont bien intégré les bénéfices que de tels outils peuvent leurs apporter en termes de performance et d’efficacité.
Mais qu’en est-il des collectivités locales ? Quelles sont les obligations légales liées à l’utilisation de solutions numériques pour ces entités particulièrement normées ? Quels bénéfices pourront-elles en tirer ? Découvrez les avantages du cloud souverain et ses particularités.
Les données de certains établissements nécessitent une protection particulière, notamment lorsqu’elles sont stockées dans le Cloud : les Opérateurs d’importance Vitale (défense, énergie, télécoms, santé…), les entreprises de haute technologie, mais également les administrations publiques. Un prestataire de solution Cloud devra répondre à une liste de critères stricts pour pouvoir proposer ses services à ces organismes.
Dans les faits, le Cloud computing est une réalité de plus en plus présente pour les collectivités locales, et les administrations en général. Elles sont bien conscientes des bénéfices financiers engendrés par ces solutions et de leur facilité de déploiement. Mais pour une administration, externaliser ses données peut sembler dangereux de par la nature des informations qu’elles génèrent et traitent au quotidien. Les cadres juridiques mis en place doivent permettre à ces entités de ne pas perdre le contrôle sur leurs données et leur assurer le plus haut niveau de sécurité possible.
Cloud souverain, Cloud français, archives publiques, hébergement sur le territoire national… un grand nombre de notions sont à définir pour y voir plus clair et comprendre pourquoi le Cloud peine parfois à se faire une place dans les collectivités françaises.
Un hébergement 100% français
Le Cloud souverain est un modèle de déploiement dans lequel l’hébergement et l’ensemble des traitements effectués sur des données par un service de cloud sont physiquement réalisés dans les limites du territoire national par une entité de droit français et en application des lois et normes françaises.
« Si une collectivité territoriale désire souscrire une offre de cloud, elle pourra ainsi s’orienter uniquement vers une offre de Cloud souverain, en prenant soin de prévoir les clauses liées à la localisation, la sécurité, la confidentialité, la traçabilité, l’auditabilité, la réversibilité, la portabilité et l’élimination des données dans le système », souligne une note d’information du Ministère de la Culture d’avril 2016.
Si la collectivité se tourne vers une offre de Cloud public, elle devra également veiller « à ce que la séparation logique des données par rapport à celles d’autres clients soit garantie », explique le ministère de la Culture dans une circulaire du 5 avril 2016.
La circulaire, parue au Journal Officiel, est venue clarifier les directives données dans le cadre du « Guide sur le Cloud computing et les datacenters à l’attention des collectivités locales ». Le texte insiste sur le fait que chaque collectivité devra obligatoirement passer par un prestataire hébergé en France pour traiter les données relatives aux citoyens français.
En effet, il est illégal pour les collectivités territoriales de stocker leurs documents en dehors du territoire national.
Un régime strict pour les trésors nationaux
Il est important de rappeler que les documents et données numériques produits par les collectivités territoriales (dossiers sur support papier numérisés, documents bureautiques issus d’un logiciel de traitement de texte, contenu d’une base de données, courriels transmis ou reçus) relèvent du régime juridique des archives publiques dès leur création.
Toutes les archives publiques sont des trésors nationaux. Et un trésor national ne peut pas sortir du territoire douanier français.Par extension, les données numériques des collectivités relèvent aussi du régime des trésors nationaux dès leur création.
N’est pas fournisseur de cloud auprès des collectivités qui veut
Afin de répondre aux exigences des acteurs publics, les prestataires doivent répondre à différentes obligations de l’État, sous forme de certification à obtenir.
L’ANSSI, l’autorité nationale en matière de sécurité et de défense des systèmes d’information, joue un rôle important auprès de ces prestataires.
Elle est chargée d’organiser la délivrance des labels de sécurité à des produits et à des prestataires de services de confiance.
L’ANSSI développe notamment un label (actuellement en phase d’expérimentation), qui proposera à terme deux niveaux de certifications sur les problématiques de sécurité et permettra de certifier les solutions pouvant être déployées par les administrations publiques.
La circulaire d’avril 2016 précise, que pour choisir leur prestataire, les collectivités pourront s’appuyer sur la future liste Secure Cloud éditée par l’ANSSI.
L’agence s’apprête donc à certifier les Cloud de certains prestataires. Pour obtenir le label, et permettre à des entreprises et des administrations d’utiliser leurs solutions, ils devront présenter un certain niveau de sécurité. Les deux niveaux de certifications proposés seront Secure Cloud et Secure Cloud +.
Pour bénéficier du premier, les prestataires devront justifier de contrôles d’accès physiques, d’un système d’authentification fort avec mots de passe hachés, d’un chiffrement logiciel ainsi que d’un hébergement des données en Europe.
La certification Secure Cloud + ira plus loin. Les prestataires devront obligatoirement proposer un système d’authentification multi-facteurs, une infrastructure dédiée, un chiffrement matériel (via HSM) et garantir un hébergement 100% français.
Plusieurs prestataires, dont Oodrive (acteur pilote), se sont d’ores et déjà lancés dans le processus de qualification.
