Cloud computing pour les collectivités territoriales

Une note d’information relative à l’informatique en nuage (« cloud computing ») à destination des collectivités territoriales, signée le 5 avril 2016, a été publiée le 2 juin 2016 conjointement par les Ministères de l’Intérieur et de la Culture et de la Communication.

Cette note a pour objectif de compléter le « Guide sur le cloud computing et les datacenter, à l’attention des collectivités locales« , publié par la Direction Générale des Entreprises (« DGE »), la Caisse des Dépôts et le Commissariat Général à l’Egalité des Territoires (« CGET »), afin de préciser ce que le cadre légal autorise. Ces Ministères précisent que l’Etat a été saisi à plusieurs reprises par des collectivités territoriales envisageant de souscrire une offre de cloud computing auprès de l’un des grands acteurs internationaux du secteur.

Le cloud computing est un mode d’organisation consistant à donner accès, par un réseau, à des ressources informatiques physiques et/ou virtuelles, distantes et adaptables aux besoins du client. De nombreux services logiciels peuvent être proposés via ce mode. Il peut notamment s’agir de messageries et agenda électroniques, logiciels métier, espaces de stockage et système d’archivage électronique.

La note d’information précise que tous les documents et données numériques produits par les collectivités territoriales relèvent du régime juridique des archives publiques dès leur création. Elle ajoute que ces dernières sont, par ailleurs, des trésors nationaux. Un trésor national ne peut cependant pas sortir du territoire douanier français, sauf à titre temporaire et après autorisation du Ministère de la Culture et aux seules « fins de restauration, d’expertise, de participation à une manifestation culturelle ou de dépôt dans une collection publique ». Tous les autres traitements doivent donc intervenir sur le territoire national.

La note d’information conclut que l’utilisation d’un cloud non souverain qui ne permet pas, par nature, de garantir que l’ensemble des données sont stockées et traitées sur le territoire français, est donc illégale pour toute institution produisant des archives publiques, dont les collectivités territoriales, leurs groupements et leurs établissements publics.

La note d’information précise ensuite que si une collectivité territoriale désire souscrire une offre de cloud, elle ne pourra s’orienter que vers une offre de cloud souverain, en prévoyant des clauses liées à la localisation, la sécurité, la confidentialité, la traçabilité, l’auditabilité, la réversibilité, la portabilité et l’élimination des données dans le système. Si elle choisit une offre de cloud public, elle devra veiller à ce que la séparation logique des données par rapport à celles d’autres clients soit garantie.

Elle précise enfin que les services d’archives départementales peuvent être sollicités par les collectivités territoriales pour être accompagnées dans la mise en œuvre de ces dispositions.