5.3. Sécurité informatique et de l'information
Note d'information n°2016/004 du 5 avril 2016 relative à l'informatique en nuage (cloud computing)
| Date de signature : | 05/04/2016 | Statut du texte : | En vigueur |
| Date de publication : | 04/07/2016 | Emetteur : | Ministère de la culture |
| Consolidée le : | Source : | BO Culture n°258 du 4 juillet 2016 (mai 2016) | |
| Date d'entrée en vigueur : | 05/07/2016 |
Note d'information n°2016/004 du 5 avril 2016 relative à l'informatique en nuage (cloud computing)
Le directeur général des collectivités locale et le directeur chargé des Archives de France
à
Mmes et MM. les préfets de région
et Mmes et MM. les préfets de département.
Réf SIAF : DGP/SIAF/2016/006
NOR : MCCC1614354C
Contexte
L’État a été saisi à plusieurs reprises par des collectivités territoriales envisageant de souscrire à une offre de cloud computing auprès de l’un des grands acteurs internationaux du secteur. Dans ce cadre, il semble utile de compléter par la présente note le Guide sur le cloud computing et les datacenters à l’attention des collectivités locales (1), publié par la direction générale des entreprises (DGE), la caisse des dépôts et le commissariat général à l’égalité des territoires (CGET), afin de préciser ce que le cadre légal autorise.
Le cloud computing est un mode d’organisation consistant à donner accès, par un réseau, à des ressources informatiques physiques et/ou virtuelles, distantes et adaptables aux besoins du client (2).
De nombreux services logiciels peuvent être proposés en mode cloud : messageries et agenda électroniques, logiciels métier, espaces de stockage, système d’archivage électronique (3).
On distingue généralement deux principaux types de eloud : le eloud « public » et le cloud « privé ». On ajoutera à ces notions celle de cloud « souverain », c’est-à-dire un cloud dont les données sont entièrement stockées et traitées sur le territoire français (4).
Cadre juridique applicable
Les documents et données numériques produits par les collectivités territoriales relèvent du régime juridique des archives publiques dès leur création(5).
Cela recouvre aussi bien les dossiers sur support papier numérisés que les documents bureautiques issus d’un logiciel de traitement de texte, le contenu d’une base de données ou encore les courriels transmis ou reçus par une collectivité territoriale.
Toutes les archives publiques sont par ailleurs des trésors nationaux (6) en raison de l’intérêt historique qu’elles présentent ou sont susceptibles de présenter.
Les données numériques des collectivités relèvent donc du régime des trésors nationaux dès leur création. Or, la qualité de trésor national impose un régime de circulation contraignant. Un trésor national ne peut pas sortir du territoire douanier français, sinon à titre temporaire et après autorisation du ministère de la Culture et aux seules « fins de restauration, d’expertise, de participation à une manifestation culturelle ou de dépôt dans une collection publique » (7).
Tous les autres traitements doivent intervenir sur le territoire national.
L’utilisation d’un cloud non souverain, qui, par définition, ne permet pas de garantir que l’ensemble des données sont stockées et traitées sur le territoire français, est donc illégale pour toute institution produisant des archives publiques, dont les collectivités territoriales, leurs groupements et leurs établissements publics.
Bonnes pratiques
Si une collectivité territoriale désire souscrire une offre de cloud, elle pourra ainsi s’orienter uniquement vers une offre de cloud souverain, en prenant soin de prévoir des clauses liées à la localisation, la sécurité, la confidentialité, la traçabilité, l’auditabilité, la réversibilité, la portabilité et l’élimination des données dans le système. Si l’offre choisie est une offre de cloud public, elle veillera également à ce que la séparation logique des données par rapport à celles d’autres clients soit garantie.
Du fait de leur mission de contrôle scientifique et technique sur les archives publiques produites dans chaque département (8), les services d’archives départementales peuvent être sollicités par les collectivités territoriales pour être accompagnées dans la mise en oeuvre de ces dispositions (9).
Enfin, avant la mise en œuvre de tout projet de cloud, il convient de se reporter aux recommandations établies par la Commission nationale de l’informatique et des libertés (10) sur le sujet, ainsi qu’a celles de l’Agence nationale de la sécurité des systèmes d’information, dans le cadre de l’élaboration du futur label Secure cloud (11).
Le directeur général des collectivités locales,
Bruno Delsol
Le directeur chargé des Archives de France,
Hervé Lemoine
GLOSSAIRE
Cloud public
Modèle de déploiement dans lequel les services de cloud sont potentiellement disponibles pour n’importe quel client, public ou privé. Les frontières d’un cloud public sont imprécises et le client n’a quasiment aucune restriction pour accéder à l’ensemble des services de ce type de cloud. Les infrastructures du prestataire sont, sauf exceptions et chez les principaux acteurs internationaux du marché, disséminées dans plusieurs pays, sans que le client puisse savoir exactement où ses données se trouvent.
Cloud privé
Modèle de déploiement dans lequel les services de cloud sont utilisés exclusivement par un seul client, qui en contrôle les ressources. Un cloud privé peut être mis en oeuvre soit par l’organisation à laquelle appartient le client, soit par un prestataire externe.
Un cloud privé a vocation à borner précisément ses limites et à restreindre l’accès à ses services à une organisation unique.
Cloud souverain
Modèle de déploiement dans lequel l’hébergement et l’ensemble des traitements effectués sur des données par un service de cloud sont physiquement réalisés dans les limites du territoire national par une entité de droit français et en application des lois et normes françaises.
Portabilité des données
La portabilité désigne la faculté d’un client d’un service de cloud de pouvoir récupérer ses données à tout moment sous une forme exploitable pour les héberger dans une autre infrastructure de stockage dont le modèle peut être différent. Cette notion est très proche de celle de réversibilité.
Système d’archivage électronique
Un système d’archivage électronique est avant tout un ensemble de fonctionnalités logicielles permettant de conserver et de restituer des documents ou données électroniques sur le long terme en garantissant leur intégrité et leur lisibilité.
Cet outil logiciel nécessite d’être installé sur des infrastructures matérielles, qui peuvent être proposées en mode cloud ou non. L’État ne propose pas aux collectivités d’offre de système d’archivage électronique en mode cloud. Des prestataires proposent des solutions externalisées d’archivage électronique.
Les collectivités peuvent y recourir pour leurs archives courantes et intermédiaires (mais pas pour leurs archives conservées définitivement à titre historique) à condition que ces solutions aient fait l’objet d’un agrément par le ministère de la Culture (12).
Certains services d’archives départementales ont également lancé des projets d’archivage électronique mutualisés pour les archives du conseil départemental, mais aussi ouverts aux autres collectivités. Ces projets sont habilités à conserver des archives courantes, intermédiaires et définitives.
(2) Définition tirée de la norme ISO/IEC 17788 Information technology,cloud computing, overview and vocabulary.
(3) Le cloud computing et l’archivage électronique ne doivent pas êtreconfondus (voir le glossaire en annexe).
(4) Pour plus de précisions, voir le glossaire en annexe.
(5) Code du patrimoine, art. L. 211-1 et L. 211-4. L’ensemble des responsabilités qui incombent aux producteurs d’archives publiques est détaillé dans le Référentiel général de gestion des archives [en ligne : http://wcvwgouvernement.fr/referenciel-general-de-gestion-desarchives].
(6) Code du patrimoine, art. L. 111-1.
(7) Code du patrimoine, art. L. 111-7.
(8) Code du patrimoine, art. R. 212-4.
(9) Les coordonnées des services d’archives départementales sont disponibles sur le site Internet du service interministériel des Archives de France : http://wwwarchivesdefrance.culture.gouvfr/amuaire-services/departement/.
(10) http://www.cnil.fr/fileadmin/images/la_cnil/actualite/Recommandations_pour_les_entreprises_qui_envisagent_de_ souscrire_a_des_services_de_Cloud.pdf.
(11) http://www.ssi.gouv.fr/actualite/appel-public-a-commentaires-sur-lereferentiel-dexigences-applicables-aux-prestataires-de-services-securisesdinformatique-en-nuage/.
(12) La liste de ces prestataires agréés est disponible sur le site du service interministériel des Archives de France : http://www.archivesdefrance.culture.gouv.fr/gerer/gestion-externalisee-des-archives/.