Fermer

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement

Menu

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement

[OPINION] Cloud computing

Le mail, le nuage et le trésor !

Publié le 10/06/2016 • Par Auteur associé • dans : France, Tribune

Internet Concept
Fotolia
Par une circulaire du 5 avril dernier, l’administration des Archives de France estime que le code du patrimoine, qui qualifie les archives publiques de «trésors nationaux», interdit aux personnes publiques de recourir à toute offre de « cloud computing » dont les serveurs sont basés en dehors de la France. Cette interprétation se heurte à plusieurs obstacles juridiques.

Nicolas Nahmias

Nicolas Nahmias

Avocat - Adden Avocats

L’Etat a été saisi à plusieurs reprises par des collectivités territoriales envisageant de souscrire à une offre de «  cloud computing » auprès de l’un des grands acteurs internationaux du secteur. Aussi a-t-il été jugé utile par la DGCL et à la Direction général du patrimoine de préciser le cadre légal. Mais leur interprétation se heurte à plusieurs obstacles juridiques.

Stockage et archivage

D’abord, il y a lieu de distinguer, d’une part, le stockage et les traitements courants de données numériques et, d’autre part, « l’archivage public » au sens juridique du terme.

Comme l’a indiqué le ministre de l’Intérieur en réponse à une question portant notamment sur « le stockage en cloud » de données numériques émanant des collectivités territoriales, « (…) tant que le prestataire qui héberge les documents sous forme numérique n’est pas homologué « tiers archiveur » par le Service interministériel des archives de France (SIAF), on ne saurait parler d’ »archivage » au sens juridique de système d’archivage électronique à valeur probante, mais seulement de stockage ; si le stockage consiste en un dépôt de documents pas nécessairement classés, l’archivage numérique est une forme de dépôt structuré autour d’un plan de classement – avec indexation, mots clés, etc. »

Ce faisant, le ministre ne fait que rappeler que « l’archivage public » correspond à un certain nombre de caractéristiques normées (article R. 212-23 du code du patrimoine). Par suite, la condition de territorialité invoquée par le Service interministériel des archives de France (SIAF) ne saurait s’appliquer pour les opérations de simple stockage et de traitements courants de données, ces dernières ne relevant pas de « l’archivage ».

Trésors nationaux

Ensuite, et en toute hypothèse, le Service interministériel des archives de France (SIAF)  ne saurait sérieusement appliquer la législation sur les « trésors nationaux » et ses restrictions aux simples stockages et traitements courants de données numériques.

La nouvelle rédaction de l’article L. 111-1 du code du patrimoine est issue de la transposition de la directive 2014/60/UE du 15 mai 2014 « relative à la restitution des biens culturels ayant quitté illicitement le territoire d’un État membre et modifiant le règlement (UE) n° 1024/2012 ». En vertu du principe d’interprétation conforme, le juge interne « est tenu d’interpréter son droit national [et notamment celui de transposition] à la lumière du texte et de la finalité de la directive » (1).

Or, la  directive 2014/60/UE  précitée :

  • d’une part, a un objet circonscrit « à la restitution des biens culturels classés ou définis [comme] trésors nationaux [et] qui ont quitté illicitement le territoire de l’État membre concerné » (art. 1er). Cette directive a donc vocation à couvrir les biens matériels et non les données numériques. D’ailleurs, les formulaires permettant la sortie des « trésors nationaux » sont totalement inadaptés aux transferts de données numériques.
  • d’autre part, et surtout, s’inscrit strictement dans le cadre de l’article 36 du Traité sur le fonctionnement de l’Union européenne (TFUE) qui permet de porter atteinte à la libre circulation des marchandises s’agissant des « trésors nationaux ayant une valeur artistique, historique ou archéologique » (Article 2 de la directive – voir également Cons. 9), étant rappelé de surcroît que les « interdictions ou restrictions ne doivent constituer ni un moyen de discrimination arbitraire ni une restriction déguisée dans le commerce entre les États membres ».

A la lumière de la directive 2014/60/UE et de l’article 36 du TFUE précité, la législation relative aux « trésors nationaux » et ses restrictions ne sauraient s’appliquer aux données engendrées par l’activité quotidienne des collectivités locales (courriels, parapheurs numériques, etc.). On voit mal, en effet, comment ces activités pourraient revêtir une « valeur » artistique, archéologique ou historique.

Et l’interprétation du Service interministériel des archives de France (SIAF) doit d’autant plus être écartée qu’elle conduit, de manière arbitraire et sans proportionnalité, à discriminer et à restreindre le commerce (ce qui porte atteinte aux grandes libertés garanties par le droit de l’UE :libre prestation de services…).

Le droit de la commande publique contourné

La position du SIAF contrevient frontalement au droit de la commande publique de l’UE et interne (2) : elle a pour effet/objet d’écarter certains opérateurs économiques offrant des prestations de « cloud computing » et d’en privilégier spécifiquement d’autres. Or, toute méconnaissance de ces règles peut entraîner des conséquences pénales à travers le délit dit de « favoritisme » (3).

Les pouvoirs adjudicateurs doivent respecter les « principes de liberté d’accès à la commande publique, d’égalité de traitement des candidats, de transparence » et de « proportionnalité » (4) qui bénéficient aux « opérateurs économiques d’autres États membres ou de pays tiers parties à l’AMP ou à des accords de libre-échange auxquels l’Union est partie » (5).

Et, de manière plus particulière, la localisation des serveurs sur le territoire national :

  •  ne pourrait pas constituer un élément tendant à justifier de « l’aptitude à exercer l’activité professionnelle, de la capacité économique et financière ou des capacités techniques et professionnelles nécessaires » (6), une telle exigence n’étant pas notamment au nombre des documents ou informations pouvant être sollicités à ce titre ;
  • ne pourrait pas constituer (i) une spécification technique/une condition d’exécution régulière ou (ii) un critère de sélection des offres dès lors « qu’ils créent une discrimination directe ou indirecte à l’encontre d’opérateurs économiques » (7).

Parallèlement, l’exigence de territorialité est nécessairement disproportionnée et donc injustifiée dès lors que le TFUE et le Règlement 2016/679 du Parlement européen et du Conseil adopté le 27 avril 2016 garantissent la libre circulation des données en Europe (8).

En outre, il convient de rappeler que l’ensemble des exigences techniques et de sécurité utiles peuvent être assurées, par ailleurs, par le respect des dernières normes ISO sur le « cloud computing » (9), en particulier, la norme ISO/IEC 27018 qui garantit transparence, confidentialité et conservation des données limitée à la durée du contrat, information des clients et des autorités nationales en cas de faille de sécurité, garantie d’accès aux données et interdit l’utilisation des données personnelles à des fins publicitaires et marketing.

Absence de référentiel

Enfin, le SIAF prétend que sa position rejoint celle de l’Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI) et en particulier les exigences figurant dans le projet de « référentiel de qualification de prestataires de services sécurisés d’informatique en nuage (cloud computing) ». Cependant, à ce jour, ce document n’est qu’un document de travail sans portée juridique et ni l’ANSSI, ni le pouvoir législatif ou réglementaire n’ont adopté de référentiel contraignant visant à encadrer les services de Cloud Computing.

Il est temps que les pouvoirs publics adoptent sur ce sujet une position raisonnable et, sans doute, clarifient le champ d’application d’une réglementation dont l’objet n’était manifestement pas celui pour lequel elle est aujourd’hui convoquée.

 

Notes

Note 01 CJCE 10 avril 1984 Von Colson et Kamann et Harz, aff. C-14/83 et C-79/83 CE Ass. 22 décembre 1989 ministre d'Etat, ministre de l'économie, des finances et de la privatisation, req. n° 86113 Retour au texte

Note 02 Directive du 26 février 2014 2014/24/UE sur la passation des marchés publics - Ordonnance n° 2015-899 du 23 juillet 2015 relative aux marchés publics et son décret d’application n° 2016-360 du 25 mars 2016 Retour au texte

Note 03 article 432-14 du Code pénal Retour au texte

Note 04 article 1er de l’ordonnance de 2015 précitée – Article 18 de la directive de 2014 précitée Retour au texte

Note 05 Cons. 98 de la directive de 2014 précitée Retour au texte

Note 06 Article 51 de l’ordonnance de 2015 précitée – Article 58 de la directive de 2014 précitée Retour au texte

Note 07 Cons. 98 de la directive de 2014 précitée - Cf. également : CJUE 22 octobre 2015 Grupo Hospitalario Quirón SA, aff. C-552/13 Retour au texte

Note 08 TFUE, art. 16§2 ; Considérants 12,13 et 166, Art. 1 du Règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données Retour au texte

Note 09 TFUE, art. 16§2 ; considérants 12,13 et 166 -Art. 1 du Règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE Retour au texte

Réagir à cet article

Nos offres d'emploi

Plus de 1000 offres d'emploi !

TOUTES LES OFFRES D'EMPLOI

Aujourd'hui sur les clubs experts gazette

Nos services

Prépa concours

CAP

Évènements

Gazette

Formations

Gazette

Fournisseurs public expo Public Expo

Commentaires

Le mail, le nuage et le trésor !

Votre e-mail ne sera pas publié

Commenter

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement