Par Alexandra Itéanu, Avocate
Le Cloud était initialement une affaire technique. Il devient désormais une affaire de souveraineté, c’est-à-dire politique. Dans une Note du Directeur Interministériel intitulée Doctrine « Cloud au Centre » et offre Office 365 de Microsoft et datée du 15 septembre 2021, l’Etat français exclut pour la première fois de manière explicite l’offre Cloud Office 365 proposée par la société de Bill Gates, de sa Politique « Cloud au Centre ». Cette Note est la consécration de plusieurs années de prises de position et de réglementations concernant le Cloud français.
Depuis 2018, et une circulaire datée du 8 novembre 2018, n°6049/SG, intitulée Doctrine d’utilisation de l’informatique en nuage par l’Etat , l’objectif du gouvernement est clairement affiché : faire du service Cloud la norme au sein des administrations publiques.
Il est vrai que le recours au Cloud présente, comme pour le secteur privé, de nombreux avantages pour le service public, avec la centralisation des services, des offres adaptées, et une plus grande flexibilité dans la consommation des ressources informatiques.
Au-delà du choix de l’offre Cloud adaptée, le choix du prestataire Cloud
Au-delà du choix de l’offre Cloud adaptée, la question sous-jacente et qui prend aujourd’hui de plus en plus de place, est celle du choix du prestataire qui propose ces offres Cloud.
Si, comme nous l’avons rappelé, le Cloud présente de nombreux avantages, l’externalisation de services essentiels mêlée au stockage des données dans un environnement tiers, et la dépendance qu’elle crée, rendent ces offres sensibles et demandent une réelle évaluation des risques avant de recourir à un prestataire externe.
Le choix du prestataire Cloud et sa nationalité deviennent dès lors un défi majeur pour la sécurité et la confidentialité des données hébergées. Pour l’Etat et ses entités, au-delà d’un simple objectif de sécurité, la nationalité du prestataire Cloud est un véritable enjeu de souveraineté.
La défiance montante vis-à-vis des offres Cloud américaines
Aujourd’hui, un grand nombre d’offres Cloud mises en avant sur le marché français sont proposées par les géants du numérique américains, qui ont pour la plupart déjà dans leurs bases clients bon nombre de citoyens européens utilisateurs de leurs services : Amazon, Google ou encore Microsoft sont les leaders en Europe de ces services.
Cependant, la promulgation du Cloud Act[1] aux Etats-Unis, en mars 2018, a indéniablement marqué un tournant dans l’utilisation du Cloud, notamment et surtout pour les Etats, puisque cette loi fédérale américaine marque définitivement la possibilité pour les Etats-Unis d’accéder aux données hébergées par des fournisseurs de Cloud américains ou sous juridiction américaine, quelle que soit la localisation de leurs serveurs.
En 2020, l’arrêt de la Cour de Justice de l’Union Européenne (CJUE) qui invalide le « Privacy Shield »[2] a été une nouvelle sonnette d’alarme à destination des utilisateurs des prestataires Cloud américains. Cet accord permettait à toute société américaine de s’auto-certifier « conforme » au Règlement UE n°2016-679 dit RGPD, et d’exporter vers les Etats-Unis des données à caractère personnel des citoyens européens qu’elle avait collectées ou qu’on lui avait confiées.
La CJUE a estimé que la réglementation américaine, notamment les programmes PRISM et UPSTREAM, permettait aux autorités américaines d’accéder à des données hébergées par des fournisseurs américains et présentait donc un risque pour les données des citoyens européens.
Prestataire Cloud : Sécurité et souveraineté, deux défis pour l’Etat
Cette décision a incontestablement accéléré la volonté des Etats européens de se tourner vers des offres Cloud souveraines.
Le choix du prestataire Cloud et les enjeux de sécurité et de souveraineté sont donc étroitement liés, et de plus en plus d’entités, juridictions, autorités (CNIL), ou ministères appellent à éviter le recours aux prestataires américains d’autant plus lorsqu’il s’agit de service public.
L’hébergement du Health Data Hub, plateforme de données de santé gérée par l’Etat en est l’illustration. Initialement confiée à la Société Microsoft Inc., l’Etat a finalement fait marche arrière suite aux recommandations de la CNIL et un arrêt du Conseil d’Etat. Il a en effet été annoncé que son hébergement sera prochainement confié à un prestataire européen.
Politique « Cloud au Centre » : les prestataires européens favorisés, l’offre Cloud Office 365 exclue
Avec la circulaire n°6282/SG du 5 juillet 2021 du Premier ministre, un pas de plus est franchi, avec l’introduction de la doctrine « Cloud au Centre », qui met en avant les acteurs français et européens du Cloud : « l’Etat doit veiller scrupuleusement à la protection de ses données et de celles de nos concitoyens, et notamment à leur hébergement sur le territoire de l’Union européenne, conformément au droit de l’Union. ».
En cas de recours à une offre Cloud par les équipes informatiques de l’Etat, et dans les cas où des données personnelles de citoyens français sont impliquées, cette circulaire impose clairement que cette Offre Cloud soit « immunisée contre toute réglementation extracommunautaire ».
Cette circulaire exclut donc des offres commerciales Cloud toutes offres proposées par un prestataire soumis au Cloud Act, ou à toute autre réglementation extracommunautaire.
La Note du 15 septembre 2021 du Directeur Interministériel[3] s’inscrit dans cette même logique et va même plus loin, puisque l’Etat exclut désormais très clairement l’offre Office 365 des solutions Cloud envisageables : « l’offre Office 365 de Microsoft n’est pas conforme à la doctrine Cloud au Centre ».
En conclusion, en excluant très clairement l’Offre Office 365 de la Société américaine Microsoft Inc. de sa politique « Cloud au Centre, » l’Etat met fin à toute ambiguïté : la nationalité du prestataire Cloud devient désormais un critère indirect de choix de la solution Cloud auquel auront recours les personnes publiques.
Maintenant que les règles du jeu sont posées clairement, il revient à l’Etat de les appliquer et de favoriser les acteurs français et européens dans la gestion des systèmes d’information étatiques. Reste à savoir si les alternatives Cloud à Office 365 convaincront les acteurs publics… et leurs utilisateurs.
[1] Loi bipartisane votée par les Démocrates et Républicains sous la mandature de Donal Trump. Le titre exact de cette Loi est « Clarifying Lawful Overseas Use of Data Act” ou CLOUD Act (H.R. 4943)
[2] Arrêt dans l’affaire C-311/18 Data Protection Commissioner/Maximillian Schrems et Facebook Ireland
[3] Note aux Sécrétaires généraux des ministères, Réf DINUM-DIR-210901, du 15/09/2021
Alexandra Itéanu, Avocate
