Décidément cette note d’information de 3 pages fait couler beaucoup d’encre. Tout le monde en parle. Les collectivités bien sûr qui sont les premières visées, mais aussi les archivistes, les associations liées au numérique et les entreprises proposant des solutions de cloud.
Tout document numérique des #CollTerr est un trésor national => #Cloud souverain
Cette circulaire est une « bombe » ! https://t.co/bCSm2qVhxQ— Francisco Ordas (@francisco_ordas) 8 juin 2016
Que dit ce texte ?
Le texte qui entend expliciter le Guide sur le cloud computing et les datacenters à l’attention des collectivités locales démarre sur un constat : « de plus en plus de collectivités territoriales envisagent de souscrire une offre de cloud computing auprès des grands acteurs internationaux ».
L’informatique en nuage, comme on l’appelle en français, permet d’avoir accès à des logiciels et des espaces de stockage situés dans « les nuages » c’est-à-dire accessibles via internet. Cette solution informatique, souvent payante à partir d’un certain volume de données stockées, offre à l’utilisateur beaucoup de puissance et de souplesse.
Mais le problème, c’est que les lieux physiques où sont stockées et traitées les données sont souvent situés à l’étranger dans de vastes datacenters. Les maîtres du jeu en la matière étant les Américains, avec Amazon Web Service, Microsoft, Apple, ou Google.
Et c’est cette extraterritorialité de l’hébergement que la circulaire cherche à corriger en introduisant la notion de cloud souverain, c’est-à-dire de serveurs situés en France et respectant la législation française.
Les révélations d’Edward Snowden, il y a 3 ans maintenant, sur les captages massifs de données par la NSA ont laissé des traces. Faisant prendre conscience à tous, de la nécessité de sécuriser certaines informations sur le sol national.
« L’objectif du droit des archives est d’assurer la meilleure sécurité possible pour les données produites, qu’elles soient sur support papier ou produites nativement sur supports numériques. Cette sécurité passe notamment par la garantie de la confidentialité. Les opérateurs qui seraient soumis au Freedom Act, ou à son équivalent dans d’autres pays que les Etats-Unis, peuvent-ils garantir cette confidentialité ? » détaille pour la Gazette l’une des auteurs de la circulaire, Claire Sibille de Grimoüard, sous-directrice du service interministériel des Archives de France au Ministère de la culture et de la communication.
Quelles sont les implications concrètes pour les collectivités ?
En théorie, les conséquences de cette note d’information (qui n’a pas de valeur contraignante, en droit) sont très importantes, notamment dans le quotidien d’une collectivité.
En effet, selon le code du Patrimoine (article L211-1), les archives publiques sont « l’ensemble des documents, quels que soient leur date, leur lieu de conservation, leur forme et leur support, produits ou reçus par toute personne physique ou morale et par tout service ou organisme public ou privé dans l’exercice de leur activité ».
En clair, tous les documents papiers numérisés, ceux issus de l’utilisation d’un logiciel de traitement de texte, les bases de données ou encore les emails transmis ou reçus par une collectivité territoriale au quotidien(1) relèvent donc « dès leur création » du régime des archives publiques et sont considérés comme des « trésors nationaux » – pour leur intérêt historique ou celui qu’ils sont susceptibles de représenter – et ne peuvent à ce titre « sortir du territoire douanier français ».
Quid alors des adresses Gmail pour les mairies ? « Une mairie peut bien sûr envoyer et recevoir des mails, mais il est impératif que l’exemplaire des mails qu’elle conserve et dont elle est propriétaire soit stocké sur le territoire national », répond Claire Sibille de Grimoüard.
Bref, fini Google !?
Et si l’association des petites villes de France (APVF), par la voix de son président Olivier Dussopt, salue cette clarification « nécessaire et attendue » sur la relocalisation des données sur le territoire français, l’APVF s’inquiète néanmoins pour les petites villes, qui auraient déjà « sauté le pas et souscrit à des solutions de cloud computing sans forcément tenir compte du caractère souverain de cette dernière ».
Ces collectivités qui ne « sont plus dans les clous de la loi » pourraient donc se retrouver en grandes difficultés financières si elles devaient dénoncer ces contrats. L’APVF a donc alerté par courrier la ministre de la Culture, Audrey Azoulay, sur cette question afin de demander si « cette interprétation du droit avait vocation à être pérenne ou non ».
Une limite juridique ?
Dans nos colonnes, le juriste Nicolas Nahmias estimait quant lui que cette note d’information contreviendrait au droit de la commande publique dans l’Union européenne. « La position du SIAF contrevient frontalement au droit de la commande publique de l’UE et interne : elle a pour effet/objet d’écarter certains opérateurs économiques offrant des prestations de « cloud computing » et d’en privilégier spécifiquement d’autres. Or, toute méconnaissance de ces règles peut entraîner des conséquences pénales à travers le délit dit de « favoritisme » »
Un argument balayé par le SIAF, qui répond : « Il ne s’agit pas de limiter les marchés publics à des opérateurs nationaux. N’importe quel opérateur de l’UE peut proposer une offre dans la mesure où il respecte la loi française. Il se trouve que parmi les exigences à respecter il y a le fait que des archives publiques restent sur le sol national ».
A lire aussi :
Un géant européen pour concurrencer les Américains ?
D’ailleurs, certains internautes n’ont pas manqué de relever l’ironie de la situation, alors même que les deux « champions » du cloud à la française, voulus par le gouvernement Fillon en 2009 – Numergy et CloudWatt – se révèlent être un flop industriel… à 75 millions d’euros de fonds publics.
Gageons qu’avec instruction Cloud Souverain de Bercy à destination des collectivités, succès sera plus grand encore https://t.co/XB5L1IldPc
— Pierre Desmarais (@DesmaraisPierre) 16 juin 2016
Pour Mathieu Caps, de l’entreprise OpenData Soft qui propose des solutions – notamment souveraines – de cloud computing aux collectivités, « l’avance – même technologique – des Américains sur ces questions est telle que la notion de souveraineté à l’échelle hexagonale n’a peut-être pas de sens. Alors pourquoi pas un cloud européen, afin d’avoir une taille critique, un poids économique et de respecter les règles du marché unique européen ? »
Une vision partagée par Bernard Benhamou, le secrétaire général de l’Institut de la Souveraineté numérique. Pour ce dernier : « il y a ici des questions de stratégie industrielle européenne, parce que globalement la région Europe est le premier marché mondial de technologies, mais nous sommes très très loin de fournir les technologies que nous consommons. Le but c’est aussi d’obtenir un effet de levier pour créer les technologies, et ne plus être, comme le dit si bien la sénatrice Morin-Dessailly, une colonie numérique de deux autres continents ».
OpenData : un sentiment de « stop and go »…
Aussi, en attendant la création d’un « EADS du numérique », une autre question se pose pour les collectivités soumises désormais à ces nouvelles règles de souveraineté : comment gérer l’OpenData ?
Car en effet, dans la loi NOTRe, ainsi que dans le projet de loi pour une République numérique en cours de discussion (la CMP sur ce texte est prévue le 29 juin), les collectivités territoriales de plus de 3500 habitants et les EPCI auxquelles elles appartiennent, sont tenues de mettre en ligne toutes les données publiques en leur possession… Devront-elles le faire en garantissant que leur plateforme de publication est bien située en France ?
Une situation nouvelle qui induit d’emblée plusieurs questions ou craintes chez les différents acteurs du numérique.
Pour Mathieu Caps, par exemple, « aujourd’hui, nous avons une cinquantaine de collectivités locales qui se sont lancées dans l’ouverture des données, mais il faudrait en convaincre 100 fois plus [pour être en accord avec la loi NOTRe] en leur démontrant les bénéfices en terme de transparence, de création de smart territoires et d’analyse des politiques publiques… mais c’est vrai que cette circulaire pourrait se rajouter dans l’esprit de certains comme une forme de contrainte ». Avant de poursuivre : « ce qui serait dommage, car aujourd’hui des solutions d’OpenData en cloud souverain existent déjà ».
A lire aussi :
La notion d’original/originelle en numérique
Autre point d’interrogation : est-ce que le nuage souverain a encore du sens en collectivité à partir du moment où les données sont potentiellement libérables, et donc réutilisables par des citoyens qui seront en droit, eux, de les stocker sur des nuages étrangers ?
Pour Céline Guyon de l’Association des archivistes de France, il est déjà important de préciser que « si la collectivité a des obligations en matière d’hébergement des données en cloud souverain, mais aussi l’obligation d’ouvrir les données ‘open-datables’, elle ne peut pas être tenue pour responsable de l’usage qui va être fait de ces données. »
D’ailleurs, pour le ministère, l’important est bien le fait que « c’est une copie des données qui est remise au réutilisateur – par opposition à ‘l’original’ qui est le seul à être protégé au titre des Trésors Nationaux – qui deviennent des données privées ne relevant plus du droit des archives publiques. »
Mais peut-on vraiment parler d’original lorsque l’on évoque des documents numériques, où un octet de données équivaut à un octet de données ? « Il est vrai que le numérique interroge cette notion d’original et de copie… En revanche ce qui est essentiel, en plus de l’hébergement des donnés des collectivités dans un cloud souverain, c’est la mise en oeuvre d’une politique d’archivage afin d’avoir des garanties quant à l’intégrité et l’authenticité des données originales qui seront placées sous contrôle de la collectivité. C’est ici l’idée d’original, mais presque au sens d’originelle dont il est question » détaille la vice-présidente de l’AAF, en charge de la représentation nationale et internationale.
Des données banales… vous croyez vraiment ?
Enfin quant à la nature des documents à libérer Claire Sibille de Grimoüard, du Service interministériel des Archives de France, rappelle très justement que les collectivités ne doivent en aucun cas ouvrir des jeux qui contiendraient des « données personnelles ou qui porteraient atteintes à des secrets protégés par la loi (secret industriel et commercial, sûreté de l’Etat, etc.) ». Comprendre : les données susceptibles d’être copiées et stockées en nuage étranger sont donc par nature les moins sensibles.
Une position qui mérite d’être nuancée selon le secrétaire général de l’Institut de la souveraineté numérique. Car pour Bernard Benhamou, des données dites « sensibles (politiques, sexuelles, syndicales, religieuses, etc.) peuvent également être déduites de données que l’on pourrait croire neutres ou banales ».
« Vous avez par exemple des détecteurs de fumée intelligents qui déclenchent une petite veilleuse bleutée la nuit lorsque vous passez en dessous. Sauf que l’information selon laquelle je suis passé X fois sous mon détecteur par nuit peut révéler des problèmes de santé ou de dépression. Mises bout à bout des informations qui paraissent totalement anodines peuvent donc se révéler hautement sensibles ; et avec le Big Data vous avez aussi la possibilité en croisant des gigantesques fichiers de re-identifier des données préalablement anonymisées par les services », explique le secrétaire général de l’ISN.
Interrogées à l’occasion de leur intervention lors de la conférence sur l’open data organisée par la Gazette le 16 juin, Axelle Lemaire, la secrétaire d’Etat en charge du numérique et la directrice d’Etalab, Laure Lucchesi, ont affiché leur scepticisme quand aux objectifs poursuivis par cette note d’information, Axelle Lemaire rappelant que, dans tous les cas, ce statut de note d’information ne donnait à cetexte aucune portée contraignante.
Il est donc probable que des précisions soient apportées sur les questions soulevées par cette note dans les prochaines semaines et urgent, pour les collectivités locales, de ne pas se précipiter.
Cet article est en relation avec le dossier
Thèmes abordés
Notes
Note 01 les trois âges de l'archive, courant, intermédiaire et définitif sont donc bien concernés par cette note d'information Retour au texte
