Ce 15 septembre 2021, la DINUM : Direction Interministérielle du Numérique a publié une circulaire pour réaffirmer l’interdiction formelle d’utiliser les Clouds non souverains pour le travail collaboratif des agents publics.
Le flou régnait malgré des affirmations au soutient des Logiciels Libres et Open Source de longue date, la CNIL avait elle même demandé aux enseignants de ne pas utiliser les services de Microsoft et de Zoom pour l’enseignement, mais à présent cela est on ne peut plus clair.
L’usage d’Office365 est interdit pour les agents publics
La circulaire prend un exemple d’Office 365 qui ne répond pas aux besoins de confidentialité des agents publics. Pour rappel une précédente circulaire avait déjà contraint les administrations à ne pas sortir de documents de l’État du territoire français.
En considérant comme documents toute production écrite / image produite par un agent de l’État, les emails, les pdf, entrent dans cette catégorie de documents d’État. Le fait de stocker des documents ou des mails en dehors du territoire français ou en dehors de la juridiction européenne était déjà interdit.
Un acteur Cloud américain qui s’installe en France remplit le critère de territorialité mais pas le caractère juridique qui dépend des lois américaines comme le Patriot Act, le Cloud Act qui prévaut sur le droit Européen.
L’État veut du SecNumCloud et sans dépendance juridique extracommunautaire !
Avec en référence explicite à la doctrine Cloud de l’État dite « Cloud au centre », la circulaire rappelle que dans sa règle R9, le recours à une offre de service pour des données sensibles n’est possible uniquement si cette offre est qualifiée SecNumCloud et qu’elle soit immunisée contre les réglementations extracommunautaires.
Quelles sont les données sensibles pour l’État et leurs agents ?
- solution bureautique
- messagerie email
- services documentaires
- services collaboratifs
- messagerie instantanée
- audioconférence
- visioconférence
- webinaire
Tous ces usages et services ont interdiction d’être utilisés en dehors de l’offre interministérielle SNAP reposant sur le Cloud interministériel de l’État. Des dérogations sont possibles sur des offres privées si elles répondent aux critères SecNumCloud et réglementation extracommunautaire.
Si l’État interdit les Clouds américains, qu’en penser pour les entreprises ?
L’exploitation des données et la non confidentialités de ces dernières sur les Clouds américains doivent vous faire réfléchir sur les risques encourus. Pour rappel il est interdit depuis juillet 2020 d’utiliser des Clouds américains pour faire transiter ou stocker des données RGPD suite à un arrêt de la Cours de Justice de l’Union Européenne qui a invalidé le « Privacy Shield » un contrat d’exception pour le RGPD mis en place comme une exception.
Même de simple email, ou quelques documents de votre entreprise / association révèlent beaucoup trop d’informations, cela ne vous protège pas et ne protège pas vos interlocuteurs habituels.
Savoir où sont ses données, qui peut y accéder, quels sont les traitements réalisés avec doit être une priorité pour les entreprises.
Certains de nos clients ont déjà franchi ce pas en nous confiant l’installation, l’hébergement et l’infogérance de leurs services. Pour les données email, fichiers, nous leur garantissons un chiffrement strict des disques durs et des transferts, une localisation en France, une garantie et une traçabilité de qui peut et fait des accès. Ces éléments vous ne les obtiendrez jamais d’un Cloud Public.
L’État ne prend pas cette décision à la légère, toutes les raisons ne sont pas explicitées, mais ils savent clairement ce qu’ils font et pourquoi ils le font. Les Américains espionnent l’État français de longue date [1] [2], les entreprises aussi sont concernées [1] [2] pour aider les entreprises américaines à mieux s’implanter partout dans le monde.
L’État prend enfin conscience des enjeux de la protection des données et montre l’exemple !
Nous disons « enfin ! », les précédentes circulaires sur les Logiciels Libres dans l’administration , les annonces de la CNIL sur le Privacy Shield ou la non utilisation des outils américains n’avait pas fait grand bruit et peu suivi d’effet par habitude et lassitude.
DigDeo salue donc l’initiative de cette prise de position, certes tardive, qui va permettre de recentrer le numérique sur les acteurs européens ne dépendant pas de juridiction non européenne.
Néanmoins nous restons surpris de voir soutenir l’offre « Blue » qui n’est qu’une location des logiciels Microsoft à Capgemini et Orange sans réelle étanchéité et indépendance avec les solutions américaines et ne protège pas sur l’extra-territorialité des lois américaines et des recours contre Microsoft.
DigDeo fait de l’infogérance SecNumCloud au travers de deux partenaires que sont Outscale (groupe Dassault) et OVHCloud, nous sommes donc pleinement aptes à proposer des solutions de messagerie, cloud de fichiers, services documentaires, visioconférence conformes aux référentiel de l’État Français.
