La circulaire du 31 mai 2023 n°6404/SG de Madame la Première Ministre, relative à l’actualisation de la doctrine d’utilisation de l’informatique en nuage par l’Etat (dit « Cloud au centre »), a été publiée le 1er juin dernier.
L’informatique de l’Etat est entré dans une nouvelle ère, depuis la circulaire du 5 juillet 2021 relative à la doctrine d’utilisation de l’informatique en nuage, en favorisant l’adoption de ce mode d’hébergement et de production informatique.
Les avantages : l’expérimentation, le passage à l’échelle et le travail collaboratif.
Dans le cadre de cette transformation, l’Etat est vigilant à la protection de ses données et de celles des administrés.
A ce titre, la doctrine étatique, introduite par la circulaire originelle du 5 juillet 2021, exige, en cas de recours à une offre commerciale d’informatique en nuage, un hébergement des données d’une sensibilité particulière par des solutions disposant de la qualification SecNumCloud délivrée par l’Agence nationale de sécurité des systèmes d’information (ou une qualification européenne d’un niveau au moins équivalent) et immunisées contre toute règlementation extracommunautaire.
A qui s’adresse cette circulaire ? Rappelons d’emblée que cette circulaire ne s’applique qu’aux acteurs de l’Etat et aux organismes placés sous sa tutelle, comme retenus dans le décret n°2019-1088 définissant le système d’information de l’Etat. |
La nouvelle circulaire a vocation à en préciser les conditions d’application afin de mieux délimiter le périmètre des données d’une sensibilité particulière.
Nous vous proposons de revenir sur quelques précisions sémantiques, afin de mieux cerner les enjeux et les objectifs de l’Etat dans la démarche Cloud et d’esquisser, in fine, le périmètre des données concernées par une protection renforcée.
Le Cloud, une notion englobante
Le terme générique de Cloud recouvre habituellement trois niveaux de services différents :
- L’hébergement distant « Infrastructure as a Service » (laaS) ;
- L’appui sur des composants techniques mutualisés pour simplifier la fabrication d’applications « Platform as a Service » (PaaS) ;
- L’accès en mode locatif à des logiciels « Software as a Service » (SaaS).
La circulaire précise que ces niveaux de services différents ont deux finalités :
- Le Cloud pour les équipes informatiques : laaS et PaaS ;
- Le Cloud pour les utilisateurs : services logiciels accédés par les agents publics en SaaS.
Le Cloud, quels enjeux ?
Le Gouvernement rappelle que le Cloud est l’un des chantiers prioritaires de la transformation numérique de l’Etat.
L’administration est appelée à s’emparer du Cloud et à s’appuyer sur son potentiel pour rendre un meilleur service aux citoyens, tout en gardant la maîtrise des données sensibles.
Enjeu de transformation pour l’Etat
Le Cloud comme facilitateur structurel. L’adoption du Cloud doit s’accompagner de celle des pratiques associées à l’excellence dans la production de services numériques (proximité entre métiers et équipes informatiques, scalabilité, agilité, « devops », « continuous delivery » qui sont les garants de l’adaptation des produits à leurs utilisateurs).
Enjeu de souveraineté et de sécurité
L’adoption du Cloud ne doit pas entraver l’autonomie de prise de décision, ni l’action de l’État, pas plus que sa sécurité numérique et la résilience de ses infrastructures, la maîtrise de ses données et des traitements qui lui sont confiés, le respect des règles européennes en matière de protection des données à caractère personnel.
Rappelons à ce sujet que l’empreinte des acteurs extra-européens en matière de Cloud est prédominante…
Enjeu industriel
L’adoption du cloud par l’État, et plus généralement la sphère publique, doit être une opportunité pour l’écosystème français et européen avec comme bénéfice réciproque pour les acteurs publics d’accéder à une offre compétitive au niveau européen sinon mondial.
Quels sont les objectifs de l’Etat ?
Dans l’optique d’une « culture Cloud », l’Etat affiche un double objectif : une utilisation des offres existantes et un recentrage sur l’expertise métier.
D’une part, la circulaire formule le souhait de développer la· demande de Cloud au sein des équipes informatiques et des services utilisateurs, en bénéficiant des offres désormais disponibles.
D’autre part, elle précise que l’attention et les efforts doivent être focalisés sur l’accompagnement des métiers et des équipes de développement de produits numériques au sein de l’État, afin d’adapter les processus et les compétences des acteurs au potentiel du Cloud et aux points d’attention propres à ces offres.
L’utilisation du Cloud : un changement de paradigme
A la lumière de ces objectifs, la circulaire insiste sur la nécessité d’internaliser au sein de l’État la compréhension et la compétence.
Et ce, afin d’orienter le flux de nouveaux projets vers le Cloud, plutôt que de focaliser l’attention sur le stock en continuant à construire de nouveaux projets avec les méthodes du XXème siècle.
Dans le prolongement, il est rappelé que la bascule de services de l’État vers des logiciels à la demande dans le cloud s’effectue spontanément. Plateformes collaboratives, messagerie, portails de dématérialisation de démarches, logiciels métiers : les éditeurs de logiciels utilisés par l’État ont tous ouvert une offre Saas et incitent les administrations à y souscrire.
L’obligation conditionnée de respect de la qualification SecNumCloud (ou équivalente) et d’immunisation aux ingérences étatiques
La circulaire précise que si le système ou l’application informatique traite des données, à caractère personnel ou non, d’une sensibilité particulière et dont la violation est susceptible d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé et la vie des personnes ou à la protection de la propriété intellectuelle, l’offre de Cloud commerciale retenue devra impérativement respecter une qualification particulière.
En d’autres termes, pour que le système ou l’application informatique soit soumis à ces obligations renforcées, deux conditions cumulatives doivent être réunies.
1- La donnée est réputée revêtir une sensibilité particulière ; 2- La violation d’une telle donnée est susceptible d’engendrer une atteinte à certains impératifs : ordre public, sécurité publique, santé et vie des personnes ou protection de la propriété intellectuelle. |
1- Les données dites d’une sensibilité particulière
A la lecture de la circulaire, il apparaît que les données d’une sensibilité particulière sont de deux ordres.
- D’une part, il s’agit des données qui relèvent de secrets protégés par la loi, notamment au titre des articles L. 311-5 et L. 311-6 du Code des relations entre le public et l’administration.
Concrètement, cela vise les secrets liés aux délibérations du Gouvernement et des autorités relevant du pouvoir exécutif, à la défense nationale, à la sûreté de l’Etat, le secret de la vie privée, le secret médical, le secret des affaires qui comprend le secret des procédés, des informations économiques et financières et des stratégies commerciales ou industrielles, etc.
- D’autre part, il s’agit des données nécessaires à l’accomplissement des missions essentielles de l’État, notamment la sauvegarde de la sécurité nationale, le maintien de l’ordre public et la protection de la santé et de la vie des personnes.
2- L’exigence d’une atteinte aux impératifs protégés
Pour que ces données d’une sensibilité particulière soient soumises à une protection renforcée, encore faut-il que leur violation soit susceptible d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé et la vie des personnes ou à la protection de la propriété intellectuelle.
En effet, la circulaire spécifie clairement que sont concernées les données d’une sensibilité particulière et dont la violation est susceptible d’entraîner une atteinte aux impératifs visés ci-dessus.
Quelles sont les exigences imposées ?
La qualification SecNumCloud ou l’équivalence européenne :
Lorsque les deux conditions cumulatives sont réunies, le système ou l’application informatique doit disposer d’une qualification SecNumCloud ou une autre qualification européenne garantissant un niveau moins équivalent, notamment de cybersécurité.
L’immunisation contre les ingérences étatiques :
De plus, l’offre de Cloud commerciale devra être immunisée contre tout accès non autorisé par des autorités publiques d’Etat tiers.
Bien sûr, dans le cas où l’application ne traiterait pas de données d’une sensibilité particulière et dont la violation serait susceptible d’engendrer l’une des atteintes exposées ci-dessus, les exigences de qualification et d’immunisation ne sont pas requises.
Conclusion
Le Cloud constitue une véritable opportunité pour accompagner la transformation numérique de l’administration. Celle-ci peut notamment s’appuyer sur son potentiel afin d’améliorer la qualité de service. Le développement de la culture Cloud implique néanmoins un changement de paradigme et de pratiques au sein de l’administration.
Dans cette optique, l’administration peut s’appuyer sur les initiatives et les innovations privées en s’orientant vers des offres commerciales de Cloud dans le respect des règles du droit de la commande publique.
Cette circulaire n’a vocation à s’appliquer qu’à l’Etat et aux structures placées sous sa tutelle.
L’exigence d’une qualification et d’une immunisation pour ces offres de Cloud commerciale devra être appréciée au cas par cas.
Et lorsque ces deux conditions cumulatives ne sont pas remplies (sensibilité particulière de la donnée et atteinte aux différents impératifs exposés ci-dessus), les systèmes et les applications informatiques ne seront pas concernées par cette protection renforcée.