Culture : les collectivités territoriales doivent procéder par cloud souverain

[Exclusif] Défini par les rédacteurs du Journal Officiel comme un « mode de traitement de données d’un client, dont l’exploitation s’effectue par l’internet, sous la forme de services fournis par un prestataire »[1], le cloud computing, en français « l’informatique en nuage », est largement présenté par les prestataires de service informatiques comme la dernière révolution technique faisant date.

Benjamin-Mourot-Sébastien-Pinot-article

De gauche à droite : Benjamin Mourot, Avocat associé, Droit de la propriété intellectuelle et des nouvelles technologies, Bignon Lebray et Sébastien Pinot,Avocat associé, Responsable du Département Droit public et de l’environnement, Bignon Lebray

Par une note d’information du 5 avril 2016 (NOR MCCC1614354C), le Ministère de la Culture et de la Communication (le « Ministère ») attire l’attention des collectivités territoriales sur les dangers de l’informatique en nuage.

Avantages du cloud computing. La généralisation des terminaux portables (PC, tablettes, smartphones, etc.) a induit une multiplication des capacités de traitement et de stockage de données dites « distantes », c’est-à-dire stockées sur des disques n’étant pas localisés ou détenus par les propriétaires des données.

Grâce à cette généralisation du stockage distant des données, de nombreux prestataires de services informatiques – qu’ils soient hébergeurs ou éditeurs de logiciels – se sont convertis à l’informatique en nuage et offrent des services de cloud accessibles à distance, de trois types :

  • de type SaaS (ou software as a service), qui permet l’accès à un logiciel à distance et à la demande, par exemple via internet, à des utilisateurs finaux, sans que le logiciel et les données ne soit stockés  sur leurs ordinateurs ;
  • de type PaaS (ou platform as a service), qui offre un service supplémentaire permettant un déploiement plus facile via une plateforme modulable par le client ;
  • ou encore de type IaaS (ou infrastructure as a service), permettant une prise en main presque complète de l’infrastructure d’hébergement à distance par le client, ce dernier type d’offre visant cependant une clientèle disposant d’utilisateurs techniquement avancés.

Le clouding offre ainsi un avantage substantiel consistant notamment en une disponibilité accrue du service en tout lieu et à tout moment et constitue aussi la seule protection efficace contre la perte de donnée en cas de vol des terminaux. Il permet également la mise en œuvre d’une facturation des services informatiques à l’usage.

Les risques inhérents au cloud., Cette « nuagisation » des données présente des risques, identifiés par la CNIL[2], liés pour la plupart à l’hébergement des données à distance.

  • Confidentialité. En cas de traitement de données dans le Cloud, le client devra veiller au respect des obligations dites « informatiques et libertés » (déclaration, durée de stockage, etc.).
  • Piratage, vol de données et traçabilité des accès. Les données étant hébergées à distance, l’offre du prestataire doit impérativement garantir au client un niveau de protection très élevé contre les intrusions permettant notamment de tracer efficacement les connections au cloud, et peut-être même si besoin, assurer un cryptage sécurisé de ces données pour parer toute difficulté.
  • Perte de données et/ou d’accès à internet. Le prestataire doit pouvoir garantir son client contre la perte de ses données, à tout le moins les plus sensibles, par exemple via un système de duplication automatique des données chargées sur le cloud. Il faut également prévoir le cas de l’indisponibilité du réseau internet, car la perte d’accès à internet privera le client de tout usage du cloud.
  • Dépendance et réversibilité. La souscription à une offre de logiciels à distance crée de fait une dépendance excessive entre le client et son prestataire. Si le prestataire coupe l’accès du client ce dernier perdra immédiatement tout accès à ses données et à la solution logicielle dont son activité peut dépendre. Il est donc primordial que cette question de la réversibilité de la solution soit évoquée avant la mise en œuvre du contrat et traitée dans ce dernier.

Les problématiques de l’exigence du Cloud Souverain. Le Ministère insiste sur la nécessité de veiller à la localisation des données des collectivités territoriales sur le territoire français. Dans sa note, le Ministère précise ainsi : « L’utilisation d’un Cloud non souverain, qui, par définition, ne permet pas de garantir que l’ensemble des données sont stockées et traitées sur le territoire français, est donc illégale pour toute institution produisant des archives publiques, dont les collectivités territoriales, leurs groupements et leurs établissements publics ».

Le raisonnement du Ministère est le suivant : les données en question constituent des « archives publiques » (art.L.211-4 du code du patrimoine, le « CP »), sous forme numérique[3] et, partant, des « trésors nationaux » (art.L.111-1 du CP). Or, les trésors nationaux autres que les biens culturels ne peuvent pas sortir du territoire douanier français (art.L.111-2 du CP).

Tout d’abord, non seulement les collectivités territoriales mais aussi l’ensemble des personnes publiques et privées en charge d’une mission de service public sont concernées par cette problématique[4].

Ensuite, ces personnes devant généralement sélectionner leur prestataire de cloud computing aux termes d’une mise en concurrence ouverte à tous les opérateurs économiques de l’Union européenne, la question se pose de savoir si l’exigence de stockage de données sur le territoire français (ex : dans un datacenter) est légale au regard du droit de la commande publique.

A ce titre, bien que l’ordonnance du n°2015-899 23 juillet 2015 sur les marchés publics et son décret d’application ne contiennent pas d’exception pouvant fonder une telle exigence, on pourrait argumenter que les dispositions législatives du CP doivent tout de même s’appliquer.

Toutefois, on peut s’interroger sur la conformité d’une telle exigence avec les principes fondamentaux de liberté de circulation des biens et des services au sein de l’Union européenne, qui prévalent sur les dispositions de droit national.

Certes, l’article 36 du Traité sur le fonctionnement de l’Union européenne dispose que «  Les dispositions des articles 34 et 35 ne font pas obstacle aux interdictions ou restrictions d’importation, d’exportation ou de transit, justifiées par des raisons […] de protection des trésors nationaux ayant une valeur artistique, historique ou archéologique […].Toutefois, ces interdictions ou restrictions ne doivent constituer ni un moyen de discrimination arbitraire ni une restriction déguisée dans le commerce entre les États membres ». C’est sans doute pour pouvoir justifier sa position sur le fondement de ce texte que le Ministère qualifie les archives publiques de « trésors nationaux en raison de l’intérêt historique qu’elles présentent ou sont susceptibles de présenter ».

Dès lors, sans pour autant considérer que cette exigence est dénuée de fondement, il appartiendra selon nous aux personnes publiques et privées concernées de veiller au cas par cas, selon le type de données traitées et les caractéristiques de leur projet, à ce que son application soit proportionnée à l’objectif poursuivi et solidement justifiée sur le fondement de l’article 36 du Traité.

[1] Vocabulaire de l’informatique et de l’internet, Journal Officiel du 6 juin 2012

[2] Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing (www.cnil.fr)

[3] La loi n°2008-696 du 15 juillet 2008 a supprimé le terme « matériel » de la définition des « archives ».

[4] les archives publiques sont produites non seulement par des collectivités territoriales mais aussi par toute personne publique ou privée chargée d’une mission de service public (art.L.211-4 du CP).