L’Etat déclare non conforme l’offre cloud de Microsoft 365
Certaines collectivités utilisent déjà Microsoft 365 (qui contient entre autre Office 365), d’autres l’envisagent. La note DINUM-DIR-210901 du 15/09/2021, émise par le Directeur interministériel du numérique, demande aux administrations de l’Etat de ne pas recourir à l’offre Office 365 proposée par Microsoft sur ses propres infrastructures cloud (Azure). Pour celles qui l’utilisent déjà, ou qui sont dans une mise en œuvre très avancée, une dérogation transitoire pourra être accordée « pour une durée limitée à 12 mois après la date à laquelle une offre de cloud acceptable sera disponible en France ».
La doctrine Cloud au Centre de l’Etat
La note de la DINUM indique : « l’offre 365 de Microsoft n’est pas conforme à la doctrine Cloud au Centre » de l’Etat. Cette doctrine a été définie dans la Circulaire n° 6282-SG du 05/07/21, qui décrit les orientations politiques de l’Etat Français en matière d’utilisation de l’informatique dite dans le « Cloud ».
En voici les principaux points :
- Privilégier les offres cloud pour tous les nouveaux projets.
- Privilégier les offres basées sur du cloud « public ».
- Dans le cas d’une offre cloud « commerciale », chaque administration doit veiller à ce que les systèmes soient :
- Conformes au RGPD ;
- Qualifiés SecNumCloud et immunisés contre toute réglementation extracommunautaire, si le système manipule des données d’une « sensibilité particulière » (données personnelles des citoyens français, données économiques relatives aux entreprises françaises, ou d’applications métiers relatives aux agents publics de l’État).
Par « immunisés », il faut comprendre des prestataires exempts de toutes législations imposant le transfert de données personnelles hors Union Européenne.
3 grandes lois de l’administration américaine visées
- Le « Patriot Act » est une loi de 2001 qui permet aux agences gouvernementales américaines (le FBI, la CIA, la NSA, l’armée) d’obtenir toute information dans le cadre d’une enquête relative à des actes de terrorisme.
- Le « Cloud Act » est une loi de 2018 voulue par l’administration du Président Trump. Ce nom est en réalité la contraction de “Clarifyng Lawful Overseas Use of Data Act”. Il permet notamment aux autorités des États-Unis ayant un mandat d’exploiter librement des données personnelles d’individus étrangers si le prestataire est une société des USA ou si le stockage est basé sur le sol des USA.
- Le « FISA » (Foreign Intelligence Surveillance Act est une loi du Congrès des États-Unis de 1978 décrivant les procédures des surveillances physiques et électronique, ainsi que la collecte d’information sur des puissances étrangères.
Ces 3 lois sont en totale contradiction avec le RGPD qui protège le droit des citoyens français et des autres états membres de l’UE.
4 alternatives proposées aux administrations françaises
- Utiliser les produits inclus dans l’offre SNAP. Le sac à dos numérique de l’agent Public (SNAP) est un programme qui permet de cofinancer des projets numériques… Une solution plutôt à moyen terme, pour autant que le produit final convienne.
- « Construire et opérer » une offre concurrentielle basée sur le cloud interne de l’Etat. Cette option équivaut à réinventer Microsoft 365 ou Google Workspace, autant dire un véritable défi.
- Utiliser les offres du projet « Bleu » : partenariat annoncé le 27/05/2021 entre Capgemini et Orange Business pour fournir un « Cloud de confiance » conçu pour répondre aux besoins de souveraineté de l’Etat français. Une de ces offres proposera notamment la suite Microsoft 365. A l’heure actuelle, aucune date de disponibilité n’a été publiée.
- Différer les projets des administrations dans l’attente d’une amélioration de l’offre disponible sur le marché.
Les impacts pour les collectivités territoriales
La note de la DINUM s’impose-t-elle aux collectivités territoriales ?
Sur le fond, NON la note ne s’applique pas stricto sensu aux collectivités territoriales mais seulement aux administrations d’Etat. Cependant, pour travailler au quotidien avec et pour des collectivités territoriales, COGITIS connaît la volonté des collectivités de protéger les informations de leurs agents, élus et citoyens. Cette volonté de protection et de transparence invite donc les collectivités à ne pas utiliser les offres cloud soumises aux lois de l’administration américaine citées plus haut.
- Les offres Microsoft dont le stockage est proposé en France ou dans un pays de l’UE ne sont pas un compromis valable, puisque la société américaine est soumise aux lois de son pays.
- Même si la note de la DINUM ne s’applique pas directement aux collectivités territoriales, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) recommande aux collectivités l’utilisation de services conformes aux exigences demandées aux prestataires d’informatique « Cloud » décrite dans le référentiel « SecNumCloud ». Une liste des prestataires agréés est disponible sur le site de l’ANSSI.
Quelles alternatives pour les collectivités territoriales ?
Les alternatives proposées par la DINUM ne sont pas adaptées pour les collectivités ou pas encore disponibles, il faut donc envisager d’autres options :
- Le recours à un prestataire français, voire de l’UE, proposant un stockage en France (Blue, Bouygues Télécom Enterprise, Chéops, Gandi, Ikoula, Orange, 3DS Outscale, OVH, Scaleway, Vendôme Solutions, etc.) ou dans l’UE est la solution la plus protectrice.
- Attendre l’arrivée sur le marché d’offres conformes au RGPD, comme l’offre « Blue » ou équivalent. Il faut privilégier en attendant l’utilisation d’offres installées sur les infrastructures de la collectivité (dites « on-premise »), plutôt que les offres cloud de prestataires externes à l’UE. De plus, le financement de ce type de services en mode cloud s’effectue via des budgets de fonctionnement, alors qu’une installation on-premise s’effectue via des budgets d’investissement.
- Réserver le stockage dans le cloud à l’extérieur de l’UE pour des données non sensibles ou ouvertes (programmes Open Data par exemple) et chiffrer les données non sensibles stockées en dehors de la collectivité.
- Surveiller les offres qui vont arriver dans le projet de GAIA-X (projet d’initiative franco-allemande à dimension européenne, qui vise le développement d’une infrastructure de données efficace et compétitive, sécurisée et fiable pour l’Union Européenne).
En conclusion, les collectivités restent libres de leur choix. Cependant, l’équilibre est difficile à trouver entre utiliser des services économiquement performants avec des prestataires étrangers (AWS, Google, Microsoft… par exemple) et respecter les contraintes liées à la protection des données sensibles avec des acteurs français ou membres de l’UE, qui sont rarement les mieux disant dans ce type d’offre.
Pour les petites collectivités, COGITIS propose une solution de stockage sécurisé : le « Cloud privé MutualiTIC », hébergée en France, administrée par COGITIS et dont la certification ISO 27001 (norme internationale de sécurité des systèmes d’information) est en cours, mais sans toutefois le niveau CloudNumSeq.