Tandis que la Direction Générale des entreprises (DGE), la Caisse des Dépôts et le Commissariat Général à l’Egalité des Territoires (CGET) ont publié un Guide sur le cloud computing et les data Center à l’attention des collectivités locales, une note d’information est venue compléter en avril 2016 le cadre juridique applicable pour les toutes institutions produisant des archives publiques, incluant les collectivités territoriales, leurs groupements et leurs établissements publics.
Cette note d’information est venue préciser les bonnes pratiques à suivre par les collectivités et établissements publics dans le cadre de la souscription à une offre de cloud, qu’il s’agisse de cloud public ou privé.
Et c’est sans surprise que cette circulaire rappelle le caractère souverain que doit respecter toute offre de cloud qui s’adresse au secteur public. Dans cet article, nous allons tâcher de clarifier cette notion de cloud souverain et les différentes caractéristiques qui s’y rattachent.
Le Cloud Souverain : définition
Rappelons tout d’abord brièvement en quoi consiste le Cloud Computing. Le Cloud Computing est une solution technologique qui permet de stockage de données et d’applications à l’aide de serveurs informatiques virtualisés, c’est à dire, qui peuvent se substituer les uns aux autres. Le Cloud permet ainsi de restituer une données, quelle que soit sa localisation.
Le Cloud, c’est aussi un modèle économique, avec un accès et une consommation à la demande, en fonction des ressources utilisées.
Enfin, il faut rappeler les terminologies du Cloud en fonction de ses usages par la structure concernée :
- Cloud interne lorsque la structure met elle-même en œuvre son propre système de Cloud Computing.
- Cloud externe si elle confie cette tâche à un prestataire
- Cloud privé si ce Cloud est réservé à son propre usage
- Cloud ouvert si elle permet à des utilisateurs ou des entreprises externes à la structure d’y accéder
- Cloud public lorsque les serveurs du fournisseurs de Cloud sont partagés entre des entreprises ou des structures diverses, n’ayant pas forcément de liens entre elles.
Défini dans le “Guide sur le cloud computing et les data Center à l’attention des collectivités locales” que nous avons cité précédemment, le Cloud Souverain est une notion complémentaire focalisée sur le fait de protéger au maximum la data hébergée en fonction du droit français.
Ainsi, le Cloud souverain est décrit comme « un modèle de déploiement dans lequel l’hébergement et l’ensemble des traitements effectués sur des données par un service de cloud sont physiquement réalisés dans les limites du territoire national, par une entité de droit français et en application des lois et normes françaises. »
Cloud souverain : qui doit s’y conformer ?
Les documents et données numériques produits par les collectivités et les établissements publics sont des trésors nationaux. C’est ce qu’explique la circulaire du 5 avril 2016, en rappel des informations contenues dans le guide destinés aux collectivités et établissements publics. Ainsi, parce qu’il s’agit de trésors nationaux, il est nécessaire de pouvoir en assurer la préservation, et donc, de maîtriser parfaitement les éléments encadrant leur conservation.
Mais le Cloud Computing, par définition, donne peu de garanties sur la localisation de ces données, puisque celles-ci sont stockées sur des machines virtuelles, qui peuvent se trouver en tout lieu.
C’est pourquoi l’état souhaite donner des gardes-fous avec des contraintes permettant de s’assurer que les données sont hébergées sur le territoire français et que l’entreprise qui héberge est une entité de droit français, soumise aux lois françaises.
De cette façon, elles restent absolument confidentielles, et notamment, elles ne sont pas soumises au Patriot Act, c’est à dire, à cette loi antiterroriste qui autorise les services de sécurité américain à accéder aux données informatiques sans autorisation et sans en informer les utilisateurs.
Qui doit donc se conformer à cette obligation de Cloud Souverain ? Selon la circulaire du 5 avril 2016, toutes les archives publiques sont concernées : cette obligation s’applique donc pour l’ensemble des collectivités territoriales, leurs groupements et leurs établissements publics.
Cloud Souverain : comment choisir son hébergeur
Différents prestataires proposent des offres de Cloud Souverain. Les critères importants à retenir sont :
- que le prestataire puisse garantir un niveau de sécurité adapté à la criticité des archives, et puisse en garantir l’intégrité, par la mise en place de différents dispositifs tels que les système d’anti-intrusion, les dispositifs de cryptage, les signatures électroniques etc.
- que le prestataire puisse fournir une garantie juridique sur la non utilisation des données et leur non accès à des tiers,
- que les prestataire puisse garantir la localisation des données,
- que l’ensemble de ces informations soient contractualisées et vérifiées.