Existe-t-il un cadre juridique particulier entourant l’utilisation du « cloud » par les collectivités ?
A. T. : En tant que tel, non, pas véritablement. Il y a la note d’information du 5 avril 2016 relative à l’informatique « en nuage » qui s’apparente à une circulaire. Elle précise le cadre dans lequel la loi doit être comprise et interprétée, mais elle n’est pas un acte créateur de droit.
La première question qui se pose pour la collectivité territoriale est de savoir si elle a recours ou non à un opérateur de « cloud souverain ». La réponse est évidemment oui ! Est-ce que cela règle pour autant tous les problèmes ? Pas forcément. Au-delà de l’endroit où se trouve l’opérateur de « cloud computing » [information « en nuage »] avec lequel je vais travailler, la question du niveau de sécurité sur lequel se situer pour formuler ses exigences se pose.
Est-ce qu’une filiale d’une société américaine possédant des serveurs en France peut rentrer dans ce cadre ?
P. D. : Google et Amazon ont récemment annoncé la création et la construction de « data centers » en France. Si l’on suit la définition du « cloud souverain » telle qu’elle a été formulée dans la note d’information, à savoir que cette dernière parle d’entités de droit français et que ces « clouds » sont gérés par Google France ou Amazon France, qui seraient bien entendu des entités de droit français, ils seraient a priori souverains. Mais le problème qui est inhérent à toute société américaine s’appliquerait malgré tout. C’est-à-dire que les autorités américaines auront la possibilité, en vertu de l’ensemble de leurs lois de sécurité intérieure et de contre-espionnage, d’avoir accès aux données hébergées dans les serveurs en France, mais possédés par des sociétés dont la maison mère est américaine. Il y a donc un risque.
Quels conseils donneriez-vous dans ce cas ?
A. T. : Il faut se poser la question au cas par cas. Il faut définir comment on fonctionne, quand déclencher une archive, avec qui on travaille, à quel moment on va renégocier ses contrats informatiques…
Cela peut être l’occasion, in concreto, de réviser ses plans, de voir comment se conformer à cette nouvelle règle, quelle incidence cela aura sur l’organisation et comment faire progresser, dans un principe d’amélioration continue, la qualité de ses systèmes d’information. Parce que cela va devenir l’élément le plus stratégique de toute activité humaine.
Cet article fait partie du Dossier
La cybersécurité, l'affaire de tous
Sommaire du dossier
- Cyberattaques : comment éviter le pire
- Les centres régionaux de cybersécurité en quête de financements
- L’addition très salée d’une cyberattaque pour une collectivité
- « La Cnil souhaite fournir des outils adaptés aux collectivités »
- Comment préparer efficacement sa communication de crise face aux cyberattaques : retours d’expérience et bonnes pratiques
- Les services d’eau, une cible facile pour les cybercriminels
- Cybersécurité : les bonnes pratiques sur lesquelles il ne faut pas transiger
- Le cloud au secours des appels d’urgence chez les pompiers
- Négligée, l’homologation des téléservices est pourtant une obligation de sécurité
- Comment détecter et contrer les arnaques numériques
- Quand les pirates s’attaquent aux messageries électroniques des collectivités
- Sécuriser les espaces numériques de travail, un impératif pour l’Etat et les collectivités
- Protéger les collectivités des cyberattaques : enjeux et perspectives
- « Les cybercriminels sont, avant tout, dans une logique opportuniste »
- Comprendre les crises cyber générées et leurs impacts sur les organisations territoriales
- La cybersécurité, l’affaire de tous
- Collectivités vous n’êtes pas seules face aux cyberattaques !
- Comment le CIG grande couronne a traversé la crise d’une cyberattaque
- Se remettre d’une cyberattaque : comment faire ?
- Comment se prémunir contre les rançongiciels
- Formation des élus à la cybersécurité, pas de temps à perdre
- Cybersécurité : les centres de réponse se déploient, sous la houlette des régions
- Cybersécurité : les collectivités territoriales, des cibles potentielles sous surveillance
- « Il est important de ne pas réduire la cybersécurité à des questions techniques »
- Cybercriminalité : « Nous ne voulons plus qu’un élu nous dise qu’il ne savait pas »
- Les données personnelles d’agents du Grand Annecy diffusées cinq mois après la cyberattaque
- Cyberattaques : les collectivités de plus en plus transparentes
- Cybersécurité : quand les collectivités prennent la mesure du problème
- Fuite de données six mois après la cyberattaque contre la métropole d’Aix-Marseille-Provence
- Le responsable de la sécurité des SI, aux avant-postes de la lutte contre les cyberattaques
- Ces spécialistes de la cybersécurité que l’on s’arrache
- Quelles solutions mettre en place pour une sécurité informatique accrue ?
- Les failles de la smart city mises en lumière par deux ingénieurs
- Sécurité informatique : les collectivités peuvent mieux faire
- Les 10 chapitres du guide d’hygiène informatique de l’Anssi
- Sécurité informatique : les petites communes à la traîne
- Former et sensibiliser les agents à la sécurité informatique pour réduire les risques
- « Cloud » et souveraineté numérique : le débat fait rage
- Plusieurs milliers de sites Internet de communes mal sécurisés
- Cloud souverain : « Google et Amazon ont annoncé la création de data centers en France »
- Inculquer le virus de la sécurité informatique
Thèmes abordés