logo
Adresse de l'article https://www.lagazettedescommunes.com/447768/le-mail-le-nuage-et-le-tresor/

[OPINION] CLOUD COMPUTING
Le mail, le nuage et le trésor !
Auteur associé | France | Tribune | Publié le 10/06/2016 | Mis à jour le 15/06/2016

Par une circulaire du 5 avril dernier, l’administration des Archives de France estime que le code du patrimoine, qui qualifie les archives publiques de «trésors nationaux», interdit aux personnes publiques de recourir à toute offre de « cloud computing » dont les serveurs sont basés en dehors de la France. Cette interprétation se heurte à plusieurs obstacles juridiques.

Internet ConceptL’Etat a été saisi à plusieurs reprises par des collectivités territoriales envisageant de souscrire à une offre de «  cloud computing » auprès de l’un des grands acteurs internationaux du secteur. Aussi a-t-il été jugé utile par la DGCL et à la Direction général du patrimoine de préciser le cadre légal. Mais leur interprétation [1] se heurte à plusieurs obstacles juridiques.

Stockage et archivage

D’abord, il y a lieu de distinguer, d’une part, le stockage et les traitements courants de données numériques et, d’autre part, « l’archivage public » au sens juridique du terme.

Comme l’a indiqué le ministre de l’Intérieur en réponse à une question [2] portant notamment sur « le stockage en cloud » de données numériques émanant des collectivités territoriales, « (…) tant que le prestataire qui héberge les documents sous forme numérique n’est pas homologué « tiers archiveur » par le Service interministériel des archives de France (SIAF) [3], on ne saurait parler d’ »archivage » au sens juridique de système d’archivage électronique à valeur probante, mais seulement de stockage ; si le stockage consiste en un dépôt de documents pas nécessairement classés, l’archivage numérique est une forme de dépôt structuré autour d’un plan de classement – avec indexation, mots clés, etc. »

Ce faisant, le ministre ne fait que rappeler que « l’archivage public » correspond à un certain nombre de caractéristiques normées (article R. 212-23 du code du patrimoine [4]). Par suite, la condition de territorialité invoquée par le Service interministériel des archives de France (SIAF) [3] ne saurait s’appliquer pour les opérations de simple stockage et de traitements courants de données, ces dernières ne relevant pas de « l’archivage ».

Trésors nationaux

Ensuite, et en toute hypothèse, le Service interministériel des archives de France (SIAF) [3]  ne saurait sérieusement appliquer la législation sur les « trésors nationaux » et ses restrictions aux simples stockages et traitements courants de données numériques.

La nouvelle rédaction de l’article L. 111-1 du code du patrimoin [5]e est issue de la transposition de la directive 2014/60/UE du 15 mai 2014 [6]« relative à la restitution des biens culturels ayant quitté illicitement le territoire d’un État membre et modifiant le règlement (UE) n° 1024/2012  [7]». En vertu du principe d’interprétation conforme, le juge interne « est tenu d’interpréter son droit national [et notamment celui de transposition] à la lumière du texte et de la finalité de la directive » (1) [8].

Or, la  directive 2014/60/UE  [6] précitée :

A la lumière de la directive 2014/60/UE e [6]t de l’article 36 du TFUE [9] précité, la législation relative aux « trésors nationaux » et ses restrictions ne sauraient s’appliquer aux données engendrées par l’activité quotidienne des collectivités locales (courriels, parapheurs numériques, etc.). On voit mal, en effet, comment ces activités pourraient revêtir une « valeur » artistique, archéologique ou historique.

Et l’interprétation du Service interministériel des archives de France (SIAF) [3] doit d’autant plus être écartée qu’elle conduit, de manière arbitraire et sans proportionnalité, à discriminer et à restreindre le commerce (ce qui porte atteinte aux grandes libertés garanties par le droit de l’UE :libre prestation de services…).

Le droit de la commande publique contourné

La position du SIAF contrevient frontalement au droit de la commande publique de l’UE et interne (2) [10] : elle a pour effet/objet d’écarter certains opérateurs économiques offrant des prestations de « cloud computing » et d’en privilégier spécifiquement d’autres. Or, toute méconnaissance de ces règles peut entraîner des conséquences pénales à travers le délit dit de « favoritisme » (3) [11].

Les pouvoirs adjudicateurs doivent respecter les « principes de liberté d’accès à la commande publique, d’égalité de traitement des candidats, de transparence » et de « proportionnalité » (4) [12] qui bénéficient aux « opérateurs économiques d’autres États membres ou de pays tiers parties à l’AMP ou à des accords de libre-échange auxquels l’Union est partie » (5) [13].

Et, de manière plus particulière, la localisation des serveurs sur le territoire national :

Parallèlement, l’exigence de territorialité est nécessairement disproportionnée et donc injustifiée dès lors que le TFUE et le Règlement 2016/679 du Parlement européen et du Conseil adopté le 27 avril 201 [16]6 garantissent la libre circulation des données en Europe (8) [17].

En outre, il convient de rappeler que l’ensemble des exigences techniques et de sécurité utiles peuvent être assurées, par ailleurs, par le respect des dernières normes ISO sur le « cloud computing » (9) [18], en particulier, la norme ISO/IEC 27018 [19]qui garantit transparence, confidentialité et conservation des données limitée à la durée du contrat, information des clients et des autorités nationales en cas de faille de sécurité, garantie d’accès aux données et interdit l’utilisation des données personnelles à des fins publicitaires et marketing.

Absence de référentiel

Enfin, le SIAF prétend que sa position rejoint celle de l’Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI) et en particulier les exigences figurant dans le projet de « référentiel de qualification de prestataires de services sécurisés d’informatique en nuage (cloud computing) ». Cependant, à ce jour, ce document n’est qu’un document de travail sans portée juridique et ni l’ANSSI, ni le pouvoir législatif ou réglementaire n’ont adopté de référentiel contraignant visant à encadrer les services de Cloud Computing.

Il est temps que les pouvoirs publics adoptent sur ce sujet une position raisonnable et, sans doute, clarifient le champ d’application d’une réglementation dont l’objet n’était manifestement pas celui pour lequel elle est aujourd’hui convoquée.

 

REFERENCES