Les ministères de l'Économie et de la Culture rappellent qu'il est illégal pour les collectivités territoriales de stocker leurs documents en dehors du territoire national. Elles doivent donc passer par un prestataire « souverain », seule solution légale.
Dans une note d'information publiée ce matin au Journal officiel (PDF), la direction des collectivités territoriales à Bercy et le service interministériel des Archives de France affirment que les établissements publics qui veulent héberger leurs données dans le « cloud » doivent passer par des fournisseurs « souverains ».
Cette clarification vient après une série de question de collectivités, détaillent les directions, qui se veulent clairs sur la portée du texte. Collectivités et administrations devraient ainsi éviter des acteurs étrangers comme Amazon, Google ou Microsoft, qui peuvent difficilement garantir cet hébergement sur le territoire national... D'ailleurs, les entreprises de « cloud souverain » opèrent tout le traitement des données en France et sont de droit français, explicite la note.
Garantir l'hébergement en France
La raison est avant tout juridique. Les documents et données numériques produits par l'administration sont considérés, dès leur création, comme des archives publiques. Ces archives sont, elles, considérées comme des « trésors nationaux »... Qui ne doivent pas quitter le territoire français, sauf autorisation spécifique. « Les données numériques des collectivités relèvent donc du régime des trésors nationaux dès leur création » résume le gouvernement.
Pour s'assurer qu'elles ne soient pas stockées en dehors de France, il faut passer par un prestataire qui puisse le garantir, donc un prestataire de « cloud souverain ». En clair, « l'utilisation d'un cloud non souverain [est] illégale pour toute institution produisant des archives publiques ». Contacté, le service interministériel des Archives de France confirme cette information.
Prudence et investissements déçus
Pour s'aider à choisir un prestataire « souverain », les établissements publics sont encouragés à s'appuyer sur la future liste Secure Cloud, éditée par l'ANSSI. Après cela, la collectivité doit aussi s'assurer explicitement de la localisation, de la sécurité, de la traçabilité et de la possibilité de suppression des données du système. De même, en cas de cloud public (où les données sont hébergées chez le prestataire), il faut s'assurer d'une séparation logique entre les instances de chaque client.
Un encouragement au « cloud » français qui a de quoi donner quelques crampes d'estomac aux caisses de Bercy. En 2012, Orange et Thalès, ainsi que SFR et Bull, lançaient deux projets d'hébergeurs de « cloud souverain » censés devenir des géants européens. Pour les financer, la Caisse des dépôts débloque une enveloppe de 150 millions d'euros, au grand dam des acteurs déjà en place, qui crient à la concurrence déloyale.
Bercy n'aura jamais l'occasion de tout dépenser, coupant le financement après plus de deux ans d'activité de Cloudwatt et Numergy. Faute de clients assez importants et de stratégie assez claire (voir notre analyse), les deux entreprises alignent à peine quelques millions d'euros de chiffre d'affaires annuels, pour des investissements infiniment supérieurs. Alors qu'ils étaient déjà très intégrés au sein d'Orange et SFR, les deux groupes télécoms rachètent l'an dernier leurs coentreprises pour les ramener sous la coupe de leurs divisions entreprises.
Les deux groupes comptaient notamment sur la commande publique, bien plus faible et tardive que prévu. Gageons que cette circulaire incitera plus facilement l'administration à se tourner vers eux, ainsi que vers les nombreux acteurs qui se sont développés par ailleurs.
Commentaires (48)
#1
Qu’est-ce qui définit qu’un cloud est “souverain” depuis que les parts publiques Numergy et Cloudwatt ont été rachetés par SFR et Orange ? Concrètement, est-ce qu’OVH (par exemple) est susceptible d’être dans la liste Secure Cloud ? (si elle n’existe pas encore, ils font comment pour le moment ? :))
#2
La note contient une définition donnée dans l’article. Globalement il y a deux critères : entreprise de droit français et hébergement/traitement des données entièrement sur le territoire national. Donc potentiellement OVH peut être considéré comme souverain.
Pour la liste de l’ANSSI, c’est une aide, qui semble tarder à venir. Elle est en élaboration depuis 2014…
#3
Tout ce qui est localisé sur le territoire national
#4
En gros, il faut que ce soit un stockage localisé en France uniquement, sécurisé et qui puisse répondre aux mêmes contraintes légales que des archives publiques “papier”…
Si Bercy avait mis la moitié de la somme dans une formation des admins au déploiement de owncloud on aurait économisé des thunes et on aurait la garantie de la maitrise des données
#5
J’ai un Owncloud sur un RPi chez moi. Si ça les intéresse. " />
#6
Et l’État ne peut pas investir et avoir lui même en pleine propriété des serveurs pour du stockage pour ses propres administrations ? Ce n’est parce que c’est nouveau qu’il faut forcément passer par des acteurs extérieurs. Alors oui ça demande de recruter des gens compétents, de les payer correctement, d’avoir de la souplesse et de la réactivité, mais ça ne me paraît pas complétement idiot de procéder ainsi sur un sujet aussi critique.
#7
les données n’ont pas le droit de quitter le territoire Français (mails, fichiers) car tous les documents produits par une administration sont une archive (archive courante) et qu’a ce titre, ceux sont des trésors nationaux " />.
Le problème c’est que les clouds souverains sont très loin de proposer des services équivalents à du google for work ou office 365.
Ce qui est dommage c’est qu’on ne dit pas ce que doivent faire les collectivités qui sont déja engagées dans une externalisation en dehors du territoire national, parce que tout rapatrier en interne….c’est pas le même coût qu’une gestion en externe (à service égal)
#8
C’est ce qu’ils ont fait via Orange et SFR mais ils ne peuvent clairement pas partir de zéro pour faire un cloud souverain. Ils n’ont pas la logistique, l’expertise, le matériel, le savoir faire… Bref on ne devient pas une entreprise 2.0 du jour au lendemain.
#9
Et l’UE n’a rien à redire là dessus ? Concurrence faussée, …
#10
D’une part, pourquoi ne pourrait-on pas partir de zéro ? D’autre part, est-ce qu’on part réellement de zéro ?
Je crois qu’on a externalisé parce que c’est la mode d’un certain libéralisme, ou que certains conseillers ont chuchoté l’oreille des décideurs que ce serait bien d’externaliser pour diverses raisons (les hauts fonctionnaires et hauts cadres dirigeants faisant partie, parfois, des mêmes réseaux…). Autant je pense que dans certains domaines l’État doit limiter son action, autant dans d’autres et là c’est le cas, il doit faire preuve de souveraineté.
Bref, c’est mon avis et le je le partage ! " />
#11
" />
#12
Et la ville de Paris qui héberge tout chez Amazon ??? Ils font comment ?
#13
#14
il y a aussi une part d’externalisation pour se déresponsabiliser… “ c’est pas ma faute, c’est celle du prestataire” , mais c’est pas grave le contrat nous donne des pénalités ;)
#15
Go framadrive " />
#16
Bonjour,
Je me pose la même question que toi, autant obliger que les données soient en Europe me paraît tout à fait normal, autant leur interdire d’aller -disons- en Belgique ou en Espagne ne me paraît pas conforme avec l’idée d’un marché commun européen et de la libre concurrence et circulation en Europe.
Quelqu’un de bien informé aurait des précédents sur des sujets similaires ? Merci d’avance
#17
#18
Bah … tout ! :-S
http://www.journaldunet.com/solutions/cloud-computing/1179296-open-data-et-smart…
#19
#20
Tu devrais lire les contenus que tu mets en lien.
Il ne s’agit que de mise à disposition de données publiques (Open Data), donc aucun intérêt que ça soit sur du cloud souverain.
#21
#22
#23
Je suggère à ceux qui ont un peu de temps d’aller lire les articles de loi L111-1, L111-7, L211-1 et L211-4, sur lesquels s’appuie cette circulaire. C’est tellement pas adapté à des documents numériques que c’en est risible ‘L’exportation des trésors nationaux hors du territoire douanier peut être autorisée, à titre temporaire, par l’autorité administrative, aux fins de restauration, d’expertise, de participation à une manifestation culturelle ou de dépôt dans une collection publique’. C’est pas comme si on pouvait faire des sauvegardes en local si on a peur de perdre des données précieuses… (d’ailleurs, les articles L111-7 et-7 sont dans le TITRE Ier : PROTECTION DES BIENS CULTURELS, ça pose le contexte)
Sinon on retrouve la bonne vielle habitude du gouvernement/législateur consistant à rendre obligatoire l’usage de prestataires / produits certifiés par l’ANSSI, sans attendre que l’ANSSI ait certifié qui que ce soit, ni se préoccuper du budget associé… Très constructif, s’il voulaient inciter les administrations à arrrêter d’essayer de respecter les règles, ils ne s’y prendraient pas autrement.
#24
#25
En parlant de Cloud, quand je vois que des sociétés françaises implantées aussi aux États-Unis ont fait le choix de quasiment tout héberger dans le “cloud”, dont ses courriels chez Google et ses disques réseau (le “Drive”), je suis estomaqué, et je ne suis pas le seul, des collègues prestataires le sont aussi. Il ne faut pas s’étonner de perdre des contrats contre des sociétés américaines, si les services américains peuvent piocher dans les documents tranquillement (le font-il, je ne l’affirme pas, mais c’est facile pour eux, l’espionnage économique est une réalité).
#26
#27
Et l’OS souverain, ça en est où ? " />
#28
“Les deux groupes comptaient notamment sur la commande publique, bien plus faible et tardive que prévu.”
et des appels d’offres truqués…
#29
Tant qu’à faire avec du souverain, autant prendre Cozy Cloud " />
#30
Dur dur pour toute notre monarchie parlementaire massivement dotée d’appareils à la pomme s’ils ne peuvent plus utiliser icloud " />
#31
" />
#32
#33
Je ne comprends pas pourquoi l’Europe ne met pas des moyens conséquents pour developper une suite bureautique online, par exemple basée sur LibreOffice, pour faire du collaboratif un peu à la manière d’Office 365…
Ensuite un service central d’archivage et de gestion géré par l’Etat (après tout, la BNF est bien géréepar l’état, pourquoi ne pas étendre à toutes les autres données) basé sur cette solution, dont on maitrise le code….
Et d’ailleurs là je ne parle que des documents bureautiques, il y a plein d’autres choses à gérer que du bureautique (photos, rapports envoyés par les fournisseurs et non destinés à être modifiées, etc.) qui ne necessiteraient pas de soft spécifique, mais du stockage only.
#34
Vu les problèmes de vie privée avec Windows , j’aurais les mêmes craintes avec le serveur exchange.
#35
C’est deja le cas , notamment avec collabora
#36
Comme ils sont responsables et protecteurs nos dirigeants, wouha !!
“Les documents et données numériques produits par l’administration sont considérés, dès leur création, comme des archives publiques. Ces archives sont, elles, considérées comme des « trésors nationaux »…“Ça doit être pour cette raison que l’utilisation des smartphones pour faire transiter ou informer sur nos dossiers est encouragée. Des coffres forts ambulants, risque zéro…
#37
franchement au lieu de s’emmerder à embaucher à la pelle et gérer des datacenter, autant filer le bébé à une boite française dont c’est le métier.
après, subventionner à coups de dizaines de millions des boites dont c’est pas le métier pour créer artificiellement des acteurs “souverains” alors qu’il en existe déjà, qui sont reconnus et unanimement salués pour leur taf, ça c’est la vieille France.
celle dont les grosses boites qui regorgent de pantouflards s’arrangent avec leurs copains de promo des cabinets pour monter des joint venture avec de l’argent public et après récupérer des marchés publics.
pendant ce temps là on a des “pépites” nationales qu’on laisse de côté parce qu’elles ont pas leurs entrées au ministère.
c’est totalement scandaleux, mais c’est ça la France de ce début de 21e siècle, gangrénée par les politicards véreux, les profiteurs à la petite semaine et les pantouflards.
#38
Ils l’ont fait en tous cas via des interceptions de mails pour cramer airbus au Brésil autour de l’an 2000.
On peut supposer qu’aujourd’hui c’est plus subtil mais je ne vois pas de raison pour laquelle ils auraient arrêté.
#39
Tu penses à OVH?
#40
en particulier oui, sinon y’a aussi Gandi, mais il me semble qu’ils ont déménagé pas mal de trucs à l’étranger depuis, suite à la loi renseignement.
sinon y’en a surement d’autres que je ne connais pas, mais pour du souverain à destination des entités publiques, il faut quand même une certaine taille. c’est pas un truc pour la TPE quoi, faut faire ça de façon industrielle, avoir des datacenter avec un niveau de sécurité satisfaisant, dispatchés sur le territoire…
bref faut avoir les reins.
OVH est l’exemple type parce que cette boite française correspond parfaitement à la cible du projet, aussi bien en terme d’implantation que de compétences et de capacité à s’adapter à une telle demande.
c’est ce genre de boites qu’il fallait aider, et pas SFR ou Orange avec Thalès et dassault systèmes (qui s’est vite barrée du délire).
mais bon quand on connait les instances dirigeantes de ces boites à l’époque et celle des cabinets ministériels correspondants, tout ça est terriblement logique.
l’état stratège, on se marre. les mecs avaient pas versé le premier euro qu’ici on rigolait déjà.
franchement les gars faut qu’on s’organise pour les trucs comme ça: faire des commandes groupées de pop-corn et tout." />
#41
Tout à fait d’accord. Cela devrait être rattaché au service des archives nationales. La Bibliothèque nationale de France c’est bien mis elle aussi à la collecte des données numériques. Il n’y a donc pas de raison de privatiser sans contrôle et sans protocole les archives numériques de nos administrations.
#42
#43
Je ne parle pas d’Exchange, mais du stockage pour Office 365: pour Office donc, pas pour les mails.
Tu peux opérer ton propre serveur Sharepoint, et tu verras qu’il n’y a pas de communication avec les serveurs MS., le côté “craintes”, c’est que du FUD pour moi.
#44
Fallait donner les clouds souverains à des gens compétents…. Dassault système par exemple…. au lieu de cela nos grands énarques ont réussis à les faire fuir pour organiser leur petite gabegie financière entre eux….
OWH également était un candidat crédible…. aahhh mais non pas assez étatique dirigé par un énarque incompétent, impossible de manger sur la bête pour les politiques non plus…..
L’ANSSI doit prendre le lead et piloter le truc intégralement avec l’aide d’acteurs competents
#45
Exact Office365 complet = exchange + sharepoint.
Sharepoint permet vraiment la meme interface/fonctionnalités pour office que la version hebergé par MS ?
#46
#47
Oui !
C’est ce qui peut être mis en place en entreprise pour du cloud privé, on a les mêmes fonctionnalités :-)
#48