En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d'intérêt. OK En savoir plus X
Déposez votre CV Fournisseurs du secteur public

Logo Gazette.fr

 

Réagir

[OPINION] Cloud computing

Le mail, le nuage et le trésor !

Publié le • Mis à jour le • Par • dans : France, Tribune

0

Commentaire

Réagir

Internet Concept © Fotolia

Par une circulaire du 5 avril dernier, l’administration des Archives de France estime que le code du patrimoine, qui qualifie les archives publiques de «trésors nationaux», interdit aux personnes publiques de recourir à toute offre de « cloud computing » dont les serveurs sont basés en dehors de la France. Cette interprétation se heurte à plusieurs obstacles juridiques.

Nicolas Nahmias © AdDen

Nicolas Nahmias, Avocat - Adden Avocats

 

L’Etat a été saisi à plusieurs reprises par des collectivités territoriales envisageant de souscrire à une offre de «  cloud computing » auprès de l’un des grands acteurs internationaux du secteur. Aussi a-t-il été jugé utile par la DGCL et à la Direction général du patrimoine de préciser le cadre légal. Mais leur interprétation se heurte à plusieurs obstacles juridiques.

Stockage et archivage

D’abord, il y a lieu de distinguer, d’une part, le stockage et les traitements courants de données numériques et, d’autre part, « l’archivage public » au sens juridique du terme.

Comme l’a indiqué le ministre de l’Intérieur en réponse à une question portant notamment sur « le stockage en cloud » de données numériques émanant des collectivités territoriales, « (…) tant que le prestataire qui héberge les documents sous forme numérique n’est pas homologué « tiers archiveur » par le Service interministériel des archives de France (SIAF), on ne saurait parler d’ »archivage » au sens juridique de système d’archivage électronique à valeur probante, mais seulement de stockage ; si le stockage consiste en un dépôt de documents pas nécessairement classés, l’archivage numérique est une forme de dépôt structuré autour d’un plan de classement – avec indexation, mots clés, etc. »

Ce faisant, le ministre ne fait que rappeler que « l’archivage public » correspond à un certain nombre de caractéristiques normées (article R. 212-23 du code du patrimoine). Par suite, la condition de territorialité invoquée par le Service interministériel des archives de France (SIAF) ne saurait s’appliquer pour les opérations de simple stockage et de traitements courants de données, ces dernières ne relevant pas de « l’archivage ».

Trésors nationaux

Ensuite, et en toute hypothèse, le Service interministériel des archives de France (SIAF)  ne saurait sérieusement appliquer la législation sur les « trésors nationaux » et ses restrictions aux simples stockages et traitements courants de données numériques.

La nouvelle rédaction de l’article L. 111-1 du code du patrimoine est issue de la transposition de la directive 2014/60/UE du 15 mai 2014 « relative à la restitution des biens culturels ayant quitté illicitement le territoire d’un État membre et modifiant le règlement (UE) n° 1024/2012 ». En vertu du principe d’interprétation conforme, le juge interne « est tenu d’interpréter son droit national [et notamment celui de transposition] à la lumière du texte et de la finalité de la directive » (1).

Or, la  directive 2014/60/UE  précitée :

  • d’une part, a un objet circonscrit « à la restitution des biens culturels classés ou définis [comme] trésors nationaux [et] qui ont quitté illicitement le territoire de l’État membre concerné » (art. 1er). Cette directive a donc vocation à couvrir les biens matériels et non les données numériques. D’ailleurs, les formulaires permettant la sortie des « trésors nationaux » sont totalement inadaptés aux transferts de données numériques.
  • d’autre part, et surtout, s’inscrit strictement dans le cadre de l’article 36 du Traité sur le fonctionnement de l’Union européenne (TFUE) qui permet de porter atteinte à la libre circulation des marchandises s’agissant des « trésors nationaux ayant une valeur artistique, historique ou archéologique » (Article 2 de la directive – voir également Cons. 9), étant rappelé de surcroît que les « interdictions ou restrictions ne doivent constituer ni un moyen de discrimination arbitraire ni une restriction déguisée dans le commerce entre les États membres ».

A la lumière de la directive 2014/60/UE et de l’article 36 du TFUE précité, la législation relative aux « trésors nationaux » et ses restrictions ne sauraient s’appliquer aux données engendrées par l’activité quotidienne des collectivités locales (courriels, parapheurs numériques, etc.). On voit mal, en effet, comment ces activités pourraient revêtir une « valeur » artistique, archéologique ou historique.

Et l’interprétation du Service interministériel des archives de France (SIAF) doit d’autant plus être écartée qu’elle conduit, de manière arbitraire et sans proportionnalité, à discriminer et à restreindre le commerce (ce qui porte atteinte aux grandes libertés garanties par le droit de l’UE :libre prestation de services…).

Le droit de la commande publique contourné

La position du SIAF contrevient frontalement au droit de la commande publique de l’UE et interne (2) : elle a pour effet/objet d’écarter certains opérateurs économiques offrant des prestations de « cloud computing » et d’en privilégier spécifiquement d’autres. Or, toute méconnaissance de ces règles peut entraîner des conséquences pénales à travers le délit dit de « favoritisme » (3).

Les pouvoirs adjudicateurs doivent respecter les « principes de liberté d’accès à la commande publique, d’égalité de traitement des candidats, de transparence » et de « proportionnalité » (4) qui bénéficient aux « opérateurs économiques d’autres États membres ou de pays tiers parties à l’AMP ou à des accords de libre-échange auxquels l’Union est partie » (5).

Et, de manière plus particulière, la localisation des serveurs sur le territoire national :

  •  ne pourrait pas constituer un élément tendant à justifier de « l’aptitude à exercer l’activité professionnelle, de la capacité économique et financière ou des capacités techniques et professionnelles nécessaires » (6), une telle exigence n’étant pas notamment au nombre des documents ou informations pouvant être sollicités à ce titre ;
  • ne pourrait pas constituer (i) une spécification technique/une condition d’exécution régulière ou (ii) un critère de sélection des offres dès lors « qu’ils créent une discrimination directe ou indirecte à l’encontre d’opérateurs économiques » (7).

Parallèlement, l’exigence de territorialité est nécessairement disproportionnée et donc injustifiée dès lors que le TFUE et le Règlement 2016/679 du Parlement européen et du Conseil adopté le 27 avril 2016 garantissent la libre circulation des données en Europe (8).

En outre, il convient de rappeler que l’ensemble des exigences techniques et de sécurité utiles peuvent être assurées, par ailleurs, par le respect des dernières normes ISO sur le « cloud computing » (9), en particulier, la norme ISO/IEC 27018 qui garantit transparence, confidentialité et conservation des données limitée à la durée du contrat, information des clients et des autorités nationales en cas de faille de sécurité, garantie d’accès aux données et interdit l’utilisation des données personnelles à des fins publicitaires et marketing.

Absence de référentiel

Enfin, le SIAF prétend que sa position rejoint celle de l’Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI) et en particulier les exigences figurant dans le projet de « référentiel de qualification de prestataires de services sécurisés d’informatique en nuage (cloud computing) ». Cependant, à ce jour, ce document n’est qu’un document de travail sans portée juridique et ni l’ANSSI, ni le pouvoir législatif ou réglementaire n’ont adopté de référentiel contraignant visant à encadrer les services de Cloud Computing.

Il est temps que les pouvoirs publics adoptent sur ce sujet une position raisonnable et, sans doute, clarifient le champ d’application d’une réglementation dont l’objet n’était manifestement pas celui pour lequel elle est aujourd’hui convoquée.

 

Haut de page

0

Commentaire

Réagir
Publicité
Publicité

Télécharger
l'appli!

En savoir plus

Formations d’experts

0 Commentaire

Ajouter un commentaire
  1. Ajouter un commentaire

      Votre e-mail ne sera pas visible

    Conformément à la loi "Informatique et libertés" du 6 janvier 1978, vous pouvez accéder aux informations vous concernant, les rectifier ou vous opposer à leur traitement et à leur transmission éventuelle à des tiers en écrivant à : Groupe Moniteur - 17, rue d'Uzès 75018 Paris cedex 02 ou en cliquant ici.