Peut-on vraiment forcer les collectivités locales d’utiliser un « cloud souverain » ?

Une circulaire d’avril dernier, qui sert à rappeler le cadre légal applicable, écrit noir sur blanc qu’il est illégal d’utiliser « un cloud non souverain » pour les documents créés et gérés par les collectivités territoriales. Au-delà d’être illusoire, la mesure est en plus ubuesque. 

C’est une circulaire du 5 avril 2016 qui a remis le sujet sur le tapis. Relative à l’informatique en nuage, elle explique tout d’abord que les documents et données numériques produits par les collectivités territoriales « relèvent du régime juridique des archives publiques dès leur création ». Les archives publiques sont considérées comme « des trésors nationaux », et les données numériques ne font pas exception.

Le raisonnement est donc le suivant : pour protéger les « trésors nationaux », il convient de les conserver sur le territoire national pour ainsi dire garantir leur préservation. « Un trésor national ne peut pas sortir du territoire douanier français sinon à titre temporaire », souligne encore le texte. Pour les données numériques, il faut donc qu’elles soit traitées et stockées en France. Raisonnement logique… pour qui ne connaît pas vraiment le monde de l’informatique.

Les conséquences de la loi appliquée à la lettre

Concrètement, cela voudrait dire qu’une collectivité territoriale doit donc traiter et stocker ses données, anciennes et futures, sur le territoire. Et donc, dans des data centers installés sur le sol français. Ce qui implique que toutes les suites d’outils logiciels et bureautiques en mode cloud sont désormais interdites : Office 365 et les Google Apps (pour ne citer que les plus connues) sont désormais bannies puisque ni l’une ni l’autre ne sont en mesure de garantir un stockage sur le territoire national.

« L’utilisation d’un cloud non souverain (…) est donc illégale pour toute institution produisant des archives publiques », poursuit la circulaire. A savoir que la définition d’un cloud souverain pour la direction générale des collectivités locales (DGCL), qui dépend du ministère de l’Intérieur, est la suivante :

Modèle de déploiement dans lequel l’hébergement et l’ensemble des traitements effectués sur des données par un service de cloud sont physiquement réalisés dans les limites du territoire national par une entité de droit français et en application des lois et normes françaises.

Une circulaire « politique »

La circulaire s’appuie toutefois sur des textes de loi, et notamment sur les articles L211-1 et L211-4 du Code du Patrimoine, utilisés dans le Référentiel général de gestion des Archives. Mais, concrètement, cela traduit d’une part une méconnaissance de l’informatique en règle générale, d’autre part des mesures qui ne sont pas réalistes.

Responsable juridique du Syntec Numérique, Mathieu Coulaud nous explique tout d’abord que cela ne pénalise pas que Google ou Microsoft, mais aussi des acteurs européens ; l’Allemand T-Systems héberge par exemple de nombreuses données des collectivités territoriales françaises. D’autre part, il s’étonne « qu’aucune consultation et d’étude d’impact n’aient été réalisées ». Pour lui, cette circulaire est donc purement politique dans le sens où :

• Rien n’a été fait pour ouvrir le dialogue et s’informer des conséquences d’une telle mesure
• Cela dénote une incompréhension de la part des pouvoirs publics mais aussi les dissonances entre les différents ministères

« Nous avions écrit au directeur du SIAF (Service Interministériel des Archives de France) en 2015. Nous avons reçu sa réponse en janvier 2016, qui était en somme une fin de non-recevoir », poursuit Mathieu Coulaud. « Pour nous, ils confondent sécurité et localisation des données ». Effectivement, car même l’Anssi ne semble pas avoir été consultée, elle qui prépare un label « Secure Cloud » sensé garantir la souveraineté des données hébergées.

Exclusif : ce mercredi 6 juillet a lieu une réunion interministérielle qui réunit notamment Bercy, Matignon et le ministère de la Culture. Les administrations vont donc se parler et le sujet sera vraisemblablement à l’ordre du jour.

« Nous avons déjà été reçus par différents ministères (Economie, Culture, etc.) mais sans rien obtenir. Plusieurs recours sont possibles, notamment concernant l’accès à la commande publique. Nous estimons qu’il existerait avec cette circulaire une vraie discrimination entre les acteurs, ce qui est contraire à la loi. Le ministère de la Culture assure que tout est viable juridiquement, mais je n’ai rien pu vérifier », ajoute Mathieu Coulaud qui souligne : « nous nous réservons des actions possibles d’influence et de droit ».

Une double lecture

Le rappel du cadre légal a rapidement fait réagir de toutes parts. « Je ne peux m’empêcher de penser qu’il s’agit de fausses bonnes nouvelles pour les prestataires de services comme pour les collectivités locales », estime Christophe Lejeune, directeur général de l’entreprise nantaise Alfa Safety qui persiste : « Enfermer dans un cadre strictement national un service innovant comme le cloud est un contre-sens ». Pour le Syntec Numérique, la circulaire va à rebours du projet de loi République Numérique, crée des barrières protectionnistes et freinera la transformation numérique. Sans compter qu’elle ne dit rien sur la nature des données en elles-mêmes. « Si un DSI envoie un smiley, cela devient un trésor national !« , ironise Mathieu Coulaud.

Mais à bien y regarder, la circulaire en question n’est-elle pas fondamentalement positionnée pour défendre les enjeux nationaux ? Et pourquoi pas faire émerger un nouveau « cloud souverain » français, voire des alternatives logicielles en mode cloud ? Opportuniste, l’hébergeur du Nord OVH rappelle non seulement son implantation en France mais aussi ses certifications et finalement qu’il est un « acteur national responsable, capable d’héberger sans risque les données issues du travail et des archives des différentes institutions publiques ; créant ainsi un Cloud véritablement souverain et fonctionnel ».

Réagissez à cet article