Alliancy

Culture : les collectivités territoriales doivent procéder par cloud souverain

[Exclusif] Défini par les rédacteurs du Journal Officiel comme un « mode de traitement de données d’un client, dont l’exploitation s’effectue par l’internet, sous la forme de services fournis par un prestataire »[1], le cloud computing, en français « l’informatique en nuage », est largement présenté par les prestataires de service informatiques comme la dernière révolution technique faisant date.

De gauche à droite : Benjamin Mourot, Avocat associé, Droit de la propriété intellectuelle et des nouvelles technologies, Bignon Lebray et Sébastien Pinot,Avocat associé, Responsable du Département Droit public et de l’environnement, Bignon Lebray

Par une note d’information du 5 avril 2016 (NOR MCCC1614354C), le Ministère de la Culture et de la Communication (le « Ministère ») attire l’attention des collectivités territoriales sur les dangers de l’informatique en nuage.

Avantages du cloud computing. La généralisation des terminaux portables (PC, tablettes, smartphones, etc.) a induit une multiplication des capacités de traitement et de stockage de données dites « distantes », c’est-à-dire stockées sur des disques n’étant pas localisés ou détenus par les propriétaires des données.

Grâce à cette généralisation du stockage distant des données, de nombreux prestataires de services informatiques – qu’ils soient hébergeurs ou éditeurs de logiciels – se sont convertis à l’informatique en nuage et offrent des services de cloud accessibles à distance, de trois types :

Le clouding offre ainsi un avantage substantiel consistant notamment en une disponibilité accrue du service en tout lieu et à tout moment et constitue aussi la seule protection efficace contre la perte de donnée en cas de vol des terminaux. Il permet également la mise en œuvre d’une facturation des services informatiques à l’usage.

Les risques inhérents au cloud., Cette « nuagisation » des données présente des risques, identifiés par la CNIL[2], liés pour la plupart à l’hébergement des données à distance.

Les problématiques de l’exigence du Cloud Souverain. Le Ministère insiste sur la nécessité de veiller à la localisation des données des collectivités territoriales sur le territoire français. Dans sa note, le Ministère précise ainsi : « L’utilisation d’un Cloud non souverain, qui, par définition, ne permet pas de garantir que l’ensemble des données sont stockées et traitées sur le territoire français, est donc illégale pour toute institution produisant des archives publiques, dont les collectivités territoriales, leurs groupements et leurs établissements publics ».

Le raisonnement du Ministère est le suivant : les données en question constituent des « archives publiques » (art.L.211-4 du code du patrimoine, le « CP »), sous forme numérique[3] et, partant, des « trésors nationaux » (art.L.111-1 du CP). Or, les trésors nationaux autres que les biens culturels ne peuvent pas sortir du territoire douanier français (art.L.111-2 du CP).

Tout d’abord, non seulement les collectivités territoriales mais aussi l’ensemble des personnes publiques et privées en charge d’une mission de service public sont concernées par cette problématique[4].

Ensuite, ces personnes devant généralement sélectionner leur prestataire de cloud computing aux termes d’une mise en concurrence ouverte à tous les opérateurs économiques de l’Union européenne, la question se pose de savoir si l’exigence de stockage de données sur le territoire français (ex : dans un datacenter) est légale au regard du droit de la commande publique.

A ce titre, bien que l’ordonnance du n°2015-899 23 juillet 2015 sur les marchés publics et son décret d’application ne contiennent pas d’exception pouvant fonder une telle exigence, on pourrait argumenter que les dispositions législatives du CP doivent tout de même s’appliquer.

Toutefois, on peut s’interroger sur la conformité d’une telle exigence avec les principes fondamentaux de liberté de circulation des biens et des services au sein de l’Union européenne, qui prévalent sur les dispositions de droit national.

Certes, l’article 36 du Traité sur le fonctionnement de l’Union européenne dispose que «  Les dispositions des articles 34 et 35 ne font pas obstacle aux interdictions ou restrictions d’importation, d’exportation ou de transit, justifiées par des raisons […] de protection des trésors nationaux ayant une valeur artistique, historique ou archéologique […].Toutefois, ces interdictions ou restrictions ne doivent constituer ni un moyen de discrimination arbitraire ni une restriction déguisée dans le commerce entre les États membres ». C’est sans doute pour pouvoir justifier sa position sur le fondement de ce texte que le Ministère qualifie les archives publiques de « trésors nationaux en raison de l’intérêt historique qu’elles présentent ou sont susceptibles de présenter ».

Dès lors, sans pour autant considérer que cette exigence est dénuée de fondement, il appartiendra selon nous aux personnes publiques et privées concernées de veiller au cas par cas, selon le type de données traitées et les caractéristiques de leur projet, à ce que son application soit proportionnée à l’objectif poursuivi et solidement justifiée sur le fondement de l’article 36 du Traité.

[1] Vocabulaire de l’informatique et de l’internet, Journal Officiel du 6 juin 2012

[2] Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing (www.cnil.fr)

[3] La loi n°2008-696 du 15 juillet 2008 a supprimé le terme « matériel » de la définition des « archives ».

[4] les archives publiques sont produites non seulement par des collectivités territoriales mais aussi par toute personne publique ou privée chargée d’une mission de service public (art.L.211-4 du CP).

Quitter la version mobile