Cloud : pour ses documents, l'administration doit passer par le «  souverain »

Cloud : pour ses documents, l’administration doit passer par le « souverain »

Documents français élevés en plein air

48

Cloud : pour ses documents, l'administration doit passer par le «  souverain »

Les ministères de l'Économie et de la Culture rappellent qu'il est illégal pour les collectivités territoriales de stocker leurs documents en dehors du territoire national. Elles doivent donc passer par un prestataire « souverain », seule solution légale.

Dans une note d'information publiée ce matin au Journal officiel (PDF), la direction des collectivités territoriales à Bercy et le service interministériel des Archives de France affirment que les établissements publics qui veulent héberger leurs données dans le « cloud » doivent passer par des fournisseurs « souverains ».

Cette clarification vient après une série de question de collectivités, détaillent les directions, qui se veulent clairs sur la portée du texte. Collectivités et administrations devraient ainsi éviter des acteurs étrangers comme Amazon, Google ou Microsoft, qui peuvent difficilement garantir cet hébergement sur le territoire national... D'ailleurs, les entreprises de « cloud souverain » opèrent tout le traitement des données en France et sont de droit français, explicite la note.

Garantir l'hébergement en France

La raison est avant tout juridique. Les documents et données numériques produits par l'administration sont considérés, dès leur création, comme des archives publiques. Ces archives sont, elles, considérées comme des « trésors nationaux »... Qui ne doivent pas quitter le territoire français, sauf autorisation spécifique. « Les données numériques des collectivités relèvent donc du régime des trésors nationaux dès leur création » résume le gouvernement.

Pour s'assurer qu'elles ne soient pas stockées en dehors de France, il faut passer par un prestataire qui puisse le garantir, donc un prestataire de « cloud souverain ». En clair, « l'utilisation d'un cloud non souverain [est] illégale pour toute institution produisant des archives publiques ». Contacté, le service interministériel des Archives de France confirme cette information.

Prudence et investissements déçus

Pour s'aider à choisir un prestataire « souverain », les établissements publics sont encouragés à s'appuyer sur la future liste Secure Cloud, éditée par l'ANSSI. Après cela, la collectivité doit aussi s'assurer explicitement de la localisation, de la sécurité, de la traçabilité et de la possibilité de suppression des données du système. De même, en cas de cloud public (où les données sont hébergées chez le prestataire), il faut s'assurer d'une séparation logique entre les instances de chaque client.

Un encouragement au « cloud » français qui a de quoi donner quelques crampes d'estomac aux caisses de Bercy. En 2012, Orange et Thalès, ainsi que SFR et Bull, lançaient deux projets d'hébergeurs de « cloud souverain » censés devenir des géants européens. Pour les financer, la Caisse des dépôts débloque une enveloppe de 150 millions d'euros, au grand dam des acteurs déjà en place, qui crient à la concurrence déloyale.

Bercy n'aura jamais l'occasion de tout dépenser, coupant le financement après plus de deux ans d'activité de Cloudwatt et Numergy. Faute de clients assez importants et de stratégie assez claire (voir notre analyse), les deux entreprises alignent à peine quelques millions d'euros de chiffre d'affaires annuels, pour des investissements infiniment supérieurs. Alors qu'ils étaient déjà très intégrés au sein d'Orange et SFR, les deux groupes télécoms rachètent l'an dernier leurs coentreprises pour les ramener sous la coupe de leurs divisions entreprises.

Les deux groupes comptaient notamment sur la commande publique, bien plus faible et tardive que prévu. Gageons que cette circulaire incitera plus facilement l'administration à se tourner vers eux, ainsi que vers les nombreux acteurs qui se sont développés par ailleurs.

Commentaires (48)


Qu’est-ce qui définit qu’un cloud est “souverain” depuis que les parts publiques Numergy et Cloudwatt ont été rachetés par SFR et Orange ? Concrètement, est-ce qu’OVH (par exemple) est susceptible d’être dans la liste Secure Cloud ? (si elle n’existe pas encore, ils font comment pour le moment ? :))


La note contient une définition donnée dans l’article. Globalement il y a deux critères : entreprise de droit français et hébergement/traitement des données entièrement sur le territoire national. Donc potentiellement OVH peut être considéré comme souverain.

 

Pour la liste de l’ANSSI, c’est une aide, qui semble tarder à venir. Elle est en élaboration depuis 2014…


Tout ce qui est localisé sur le territoire national


En gros, il faut que ce soit un stockage localisé en France uniquement, sécurisé et qui puisse répondre aux mêmes contraintes légales que des archives publiques “papier”…



Si Bercy avait mis la moitié de la somme dans une formation des admins au déploiement de owncloud on aurait économisé des thunes et on aurait la garantie de la maitrise des données


J’ai un Owncloud sur un RPi chez moi. Si ça les intéresse. <img data-src=" />


Et l’État ne peut pas investir et avoir lui même en pleine propriété des serveurs pour du stockage pour ses propres administrations ? Ce n’est parce que c’est nouveau qu’il faut forcément passer par des acteurs extérieurs. Alors oui ça demande de recruter des gens compétents, de les payer correctement, d’avoir de la souplesse et de la réactivité, mais ça ne me paraît pas complétement idiot de procéder ainsi sur un sujet aussi critique.


les données n’ont pas le droit de quitter le territoire Français (mails, fichiers) car tous les documents produits par une administration sont une archive (archive courante) et qu’a ce titre, ceux sont des trésors nationaux&nbsp;<img data-src=" />.

Le problème c’est que les clouds souverains sont très loin de proposer des services équivalents à du google for work ou office 365.

&nbsp;Ce qui est dommage c’est qu’on ne dit pas ce que doivent faire les collectivités qui sont déja engagées dans une externalisation en dehors du territoire national, parce que tout rapatrier en interne….c’est pas le même coût qu’une gestion en externe (à service égal)


C’est ce qu’ils ont fait via Orange et SFR mais ils ne peuvent clairement pas partir de zéro pour faire un cloud souverain. Ils n’ont pas la logistique, l’expertise, le matériel, le savoir faire… Bref on ne devient pas une entreprise 2.0 du jour au lendemain.


Et l’UE n’a rien à redire là dessus ? Concurrence faussée, …


D’une part, pourquoi ne pourrait-on pas partir de zéro ? D’autre part, est-ce qu’on part réellement de zéro ?



Je crois qu’on a externalisé parce que c’est la mode d’un certain libéralisme, ou que certains conseillers ont chuchoté l’oreille des décideurs que ce serait bien d’externaliser pour diverses raisons (les hauts fonctionnaires et hauts cadres dirigeants faisant partie, parfois, des mêmes réseaux…). Autant je pense que dans certains domaines l’État doit limiter son action, autant dans d’autres et là c’est le cas, il doit faire preuve de souveraineté.



Bref, c’est mon avis et le je le partage ! <img data-src=" />


<img data-src=" />


Et la ville de Paris qui héberge tout chez Amazon ??? Ils font comment ?








fred42 a écrit :



Et l’UE n’a rien à redire là dessus ? Concurrence faussée, …





Faut attendre que tout soit en place, ça coûtera plus cher&nbsp;



il y a aussi une part d’externalisation pour se déresponsabiliser… “ c’est pas ma faute, c’est celle du prestataire” , mais c’est pas grave le contrat nous donne des pénalités &nbsp;;)

&nbsp;


Go framadrive <img data-src=" />


Bonjour,



Je me pose la même question que toi, autant obliger que les données soient en Europe me paraît tout à fait normal, autant leur interdire d’aller -disons- en Belgique ou en Espagne ne me paraît pas conforme avec l’idée d’un marché commun européen et de la libre concurrence et circulation en Europe.&nbsp;



Quelqu’un de bien informé aurait des précédents sur des sujets similaires ? Merci d’avance








le duc rouge a écrit :



Et la ville de Paris qui héberge tout chez Amazon ??? Ils font comment ?





Elle stocke quoi exactement ?

&nbsp;









le duc rouge a écrit :



Bah … tout ! :-S

http://www.journaldunet.com/solutions/cloud-computing/1179296-open-data-et-smart…





Ben non, juste la partie Open Data (et SmartGrid) : “Le couple OpenDataSoft - AWS présentait aussi pour avantage de limiter les coûts”.



Tu devrais lire les contenus que tu mets en lien.

Il ne s’agit que de mise à disposition de données publiques (Open Data), donc aucun intérêt que ça soit sur du cloud souverain.








goom a écrit :



Et l’État ne peut pas investir et avoir lui même en pleine propriété des serveurs pour du stockage pour ses propres administrations ? Ce n’est parce que c’est nouveau qu’il faut forcément passer par des acteurs extérieurs. Alors oui ça demande de recruter des gens compétents, de les payer correctement, d’avoir de la souplesse et de la réactivité, mais ça ne me paraît pas complétement idiot de procéder ainsi sur un sujet aussi critique.





Communiste. <img data-src=" />









le duc rouge a écrit :



Bah … tout ! :-S

http://www.journaldunet.com/solutions/cloud-computing/1179296-open-data-et-smart…



&nbsp;





Si les serveurs sont en France, y a pas de problème.<img data-src=" />



Je suggère à ceux qui ont un peu de temps d’aller lire les articles de loi L111-1, L111-7, L211-1 et L211-4, sur lesquels s’appuie cette circulaire. C’est tellement pas adapté à des documents numériques que c’en est risible ‘L’exportation des trésors nationaux hors du territoire douanier peut être autorisée, à titre temporaire, par l’autorité administrative, aux fins de restauration, d’expertise, de participation à une manifestation culturelle ou de dépôt dans une collection publique’. C’est pas comme si on pouvait faire des sauvegardes en local si on a peur de perdre des données précieuses… (d’ailleurs, les articles L111-7 et-7 sont dans le TITRE Ier : PROTECTION DES BIENS CULTURELS, ça pose le contexte)

Sinon on retrouve la bonne vielle habitude du gouvernement/législateur consistant à rendre obligatoire l’usage de prestataires / produits certifiés par l’ANSSI, sans attendre que l’ANSSI ait certifié qui que ce soit, ni se préoccuper du budget associé… Très constructif, s’il voulaient inciter les administrations à arrrêter d’essayer de respecter les règles, ils ne s’y prendraient pas autrement.









nanard69 a écrit :



Le problème c’est que les clouds souverains sont très loin de proposer des services équivalents à du google for work ou office 365.





J’ai failli répondre qu’Orange faisait de l’office 365, mais je suis aller vérifier avant et… c’est MS qui héberge, Orange ne fait que commercialiser <img data-src=" />









goom a écrit :



Et l’État ne peut pas investir et avoir lui même en pleine propriété des serveurs pour du stockage pour ses propres administrations ? Ce n’est parce que c’est nouveau qu’il faut forcément passer par des acteurs extérieurs. Alors oui ça demande de recruter des gens compétents, de les payer correctement, d’avoir de la souplesse et de la réactivité, mais ça ne me paraît pas complétement idiot de procéder ainsi sur un sujet aussi critique.





L’État a déjà dans certains cas ses propres serveurs, par exemple ceux qui sont à Bercy (au 4e étage hors zone inondable, je suis intervenu une fois sur un serveur des douanes), mais a souvent recours à des prestataires externes pour les parties très techniques, dont l’informatique qui est un domaine qui évolue vite. C’est aussi un souci d’évolutivité et de réactivité, et peut-être de maîtrise des coûts au final.



En parlant de Cloud, quand je vois que des sociétés françaises implantées aussi aux États-Unis ont fait le choix de quasiment tout héberger dans le “cloud”, dont ses courriels chez Google et ses disques réseau (le “Drive”), je suis estomaqué, et je ne suis pas le seul, des collègues prestataires le sont aussi. Il ne faut pas s’étonner de perdre des contrats contre des sociétés américaines, si les services américains peuvent piocher dans les documents tranquillement (le font-il, je ne l’affirme pas, mais c’est facile pour eux, l’espionnage économique est une réalité).








goom a écrit :



Je crois qu’on a externalisé parce que c’est la mode d’un certain libéralisme, ou que certains conseillers ont chuchoté l’oreille des décideurs que ce serait bien d’externaliser pour diverses raisons (les hauts fonctionnaires et hauts cadres dirigeants faisant partie, parfois, des mêmes réseaux…).





L’externalisation est très utile (voire indispensable) quand on est petit (‘chacun son métier, le mien c’est pas d’héberger du mail’). Chaque administration étant en bonne partie livrée à elle-même pour gérer son SI, ça fait des tas de petits qui ont chacun intérêt à externaliser pas mal de choses.

Mais effectivement, si on prend le sujet à l’échelle de l’état, ça doit être assez gros pour valoir le coup d’internaliser pas mal de chose. Il ne s’agit pas de mode ou de corruption plus ou moins passive, juste de manque de gouvernance au niveau global du SI de l’état (ce qui pour leur défense, ne doit pas être chose aisée).

Cela dit la situation s’améliore, il y a des démarches d’internalisations/mutualisations de datacenters en cours, pilotés par la DINSIC, qui devraient apporter à terme aux ‘petits’ les avantages de l’externalisation tout en restant au sein de la sphère publique.

Ce n’est à ma connaissance pas encore le cas, mais je ne serais pas étonné que la démarche s’étende par la suite à la fourniture de services informatiques de plus en plus sophistiqués (hébergement mail, de sites web, partage de fichier, outils d’édition collaborative type O365…)







tpeg5stan a écrit :



Bonjour,

Je me pose la même question que toi, autant obliger que les données soient en Europe me paraît tout à fait normal, autant leur interdire d’aller -disons- en Belgique ou en Espagne ne me paraît pas conforme avec l’idée d’un marché commun européen et de la libre concurrence et circulation en Europe. 

Quelqu’un de bien informé aurait des précédents sur des sujets similaires ? Merci d’avance





D’autant plus qu’on parle d’entités publiques, dont soumises au code des marchés publics… qui stipule explicitement que les marchés sont ouverts à toute l’Europe (u delà d’un certain montant si ma mémoire est bonne, mais ce montant est pas énorme).

De ce que j’ai compris, du point de vu du code des marchés publics, tu peux imposer le respect de tel ou tel article réglementaire ou législatif, et exclure de fait les hébergements à l’étranger (voire la réponse par un boite étrangère) sans que ce soit considéré comme une clause discriminatoire (alors que tu n’aurais pas le droit de dire juste ‘hébergé en France par un français’).

Du point de vue du respect des traités internationaux par la France au moment où elle vote ces lois, par contre, je ne sais pas. Il existe peut-être des clauses permettant d’exclure les étrangers quand il s’agit de l’intérêt supérieur de la nation (notion suffisamment vague pour y fourrer pas mal de choses <img data-src=" />)



Il y a des pays de l’UE qui sont soumis à des clauses législatives similaires au patriot act, ce qui est très logiquement disqualificatif pour pas mal d’usages. Tout ce qui est lié à la défense notamment, ou ce qui est données sensibles est à héberger en France uniquement (et sans passer par des de lois clairement pensées pour autre chose!) :http://www.ssi.gouv.fr/entreprise/reglementation/protection-des-systemes-dinform…



Et l’OS souverain, ça en est où ? <img data-src=" />


“Les deux groupes comptaient notamment sur la commande publique, bien plus faible et tardive que prévu.”

et des appels d’offres truqués…


Tant qu’à faire avec du souverain, autant prendre Cozy Cloud <img data-src=" />


Dur dur pour toute notre monarchie parlementaire massivement dotée d’appareils à la pomme s’ils ne peuvent plus utiliser icloud <img data-src=" />


<img data-src=" />








Zerdligham a écrit :



J’ai failli répondre qu’Orange faisait de l’office 365, mais je suis aller vérifier avant et… c’est MS qui héberge, Orange ne fait que commercialiser <img data-src=" />





A l’opposé, tu peux avoir les fonctions office 365 sans passer par MS: il me semble qu’OVH permet ça justement :-)&nbsp;

Ils opèrent le serveur, l’intégration est identique à Office 365, et aucune donné de transite par MS.



Je ne comprends pas pourquoi l’Europe ne met pas des moyens conséquents pour developper une suite bureautique online, par exemple basée sur LibreOffice, pour faire du collaboratif un peu à la manière d’Office 365…



Ensuite un service central d’archivage et de gestion géré par l’Etat (après tout, la BNF est bien géréepar l’état, pourquoi ne pas étendre à toutes les autres données) basé sur cette solution, dont on maitrise le code….

Et d’ailleurs là je ne parle que des documents bureautiques, il y a plein d’autres choses à gérer que du bureautique (photos, rapports envoyés par les fournisseurs et non destinés à être modifiées, etc.) qui ne necessiteraient pas de soft spécifique, mais du stockage only.


Vu les problèmes de vie privée avec Windows , j’aurais les mêmes craintes avec le serveur exchange.


C’est deja le cas , notamment avec collabora


Comme ils sont responsables et protecteurs nos dirigeants, wouha !!

“Les documents et données numériques produits par l’administration sont considérés, dès leur création, comme des archives publiques. Ces archives sont, elles, considérées comme des « trésors nationaux »…“Ça&nbsp;doit&nbsp;être&nbsp;pour cette raison que l’utilisation des smartphones pour faire transiter ou informer sur nos&nbsp;dossiers est encouragée. Des coffres forts ambulants, risque&nbsp;zéro…


franchement au lieu de s’emmerder à embaucher à la pelle et gérer des datacenter, autant filer le bébé à une boite française dont c’est le métier.

après, subventionner à coups de dizaines de millions des boites dont c’est pas le métier pour créer artificiellement des acteurs “souverains” alors qu’il en existe déjà, qui sont reconnus et unanimement salués pour leur taf, ça c’est la vieille France.

celle dont les grosses boites qui regorgent de pantouflards s’arrangent avec leurs copains de promo des cabinets pour monter des joint venture avec de l’argent public et après récupérer des marchés publics.



pendant ce temps là on a des “pépites” nationales qu’on laisse de côté parce qu’elles ont pas leurs entrées au ministère.

c’est totalement scandaleux, mais c’est ça la France de ce début de 21e siècle, gangrénée par les politicards véreux, les profiteurs à la petite semaine et les pantouflards.


Ils l’ont fait en tous cas via des interceptions de mails pour cramer airbus au Brésil autour de l’an 2000.



On peut supposer qu’aujourd’hui c’est plus subtil mais je ne vois pas de raison pour laquelle ils auraient arrêté.


Tu penses à OVH?


en particulier oui, sinon y’a aussi Gandi, mais il me semble qu’ils ont déménagé pas mal de trucs à l’étranger depuis, suite à la loi renseignement.

sinon y’en a surement d’autres que je ne connais pas, mais pour du souverain à destination des entités publiques, il faut quand même une certaine taille. c’est pas un truc pour la TPE quoi, faut faire ça de façon industrielle, avoir des datacenter avec un niveau de sécurité satisfaisant, dispatchés sur le territoire…

bref faut avoir les reins.



OVH est l’exemple type parce que cette boite française correspond parfaitement à la cible du projet, aussi bien en terme d’implantation que de compétences et de capacité à s’adapter à une telle demande.



c’est ce genre de boites qu’il fallait aider, et pas SFR ou Orange avec Thalès et dassault systèmes (qui s’est vite barrée du délire).

mais bon quand on connait les instances dirigeantes de ces boites à l’époque et celle des cabinets ministériels correspondants, tout ça est terriblement logique.



l’état stratège, on se marre. les mecs avaient pas versé le premier euro qu’ici on rigolait déjà.



franchement les gars faut qu’on s’organise pour les trucs comme ça: faire des commandes groupées de pop-corn et tout.<img data-src=" />


Tout à fait d’accord. Cela devrait être rattaché au service des archives nationales. La Bibliothèque nationale de France c’est bien mis elle aussi à la collecte des données numériques. Il n’y a donc pas de raison de privatiser sans contrôle et sans protocole les archives numériques de nos administrations.








yvan a écrit :



Ils l’ont fait en tous cas via des interceptions de mails pour cramer airbus au Brésil autour de l’an 2000.



On peut supposer qu’aujourd’hui c’est plus subtil mais je ne vois pas de raison pour laquelle ils auraient arrêté.





En parlant d’Airbus (sujet où les services américains sont certainement très actifs vu les montants et le prestige) ou de marché type avions de chasse, j’ai lu sur le blog d’un ancien des services, au moment d’un des scandales révélés via Snowden, qu’un ministre (français) avait fait la bêtise (pour être poli) de parler au téléphone depuis son avion à un compatriote, conversation interceptée par les services américains qui ont eu tous les éléments pour torpiller ensuite la candidature française.



NB : je pense que les services français savent être tout à fait performants en sens inverse, il y a parfois eu des mini-scandales du genre (les américains ont discrètement protesté).



Je ne parle pas d’Exchange, mais du stockage pour Office 365: pour Office donc, pas pour les mails.&nbsp;

Tu peux opérer ton propre serveur Sharepoint, et tu verras qu’il n’y a pas de communication avec les serveurs MS., le côté “craintes”, c’est que du FUD pour moi.


Fallait donner les clouds souverains à des gens compétents…. Dassault système par exemple…. au&nbsp; lieu de cela nos grands énarques ont réussis à les faire&nbsp;fuir pour organiser leur petite gabegie&nbsp;financière entre eux….&nbsp;



OWH également était un candidat crédible…. aahhh mais non pas assez étatique dirigé par un énarque incompétent, impossible de manger sur la bête pour les politiques non plus…..



L’ANSSI doit prendre le lead et piloter&nbsp;le truc intégralement avec l’aide d’acteurs competents

&nbsp;&nbsp;


Exact Office365 complet = exchange + sharepoint.



Sharepoint permet vraiment la meme interface/fonctionnalités pour office que la version hebergé par MS ?








hellmut a écrit :



c’est

ce genre de boites qu’il fallait aider, et pas SFR ou Orange avec

Thalès et dassault systèmes (qui s’est vite barrée du délire).

mais

bon quand on connait les instances dirigeantes de ces boites à l’époque

et celle des cabinets ministériels correspondants, tout ça est

terriblement logique.



l’état stratège, on se marre. les mecs avaient pas versé le premier euro qu’ici on rigolait déjà.



franchement les gars faut qu’on s’organise pour les trucs comme ça: faire des commandes groupées de pop-corn et tout.<img data-src=" />



C’est surtout selon moi qu’il y a un groupement d’intérêts autour du

militaire et du sécuritaire et que OVH n’en fait pas partie. Ces gens se

font confiance entre eux (thales, safran, orange etc.) et en fait

souverain ça doit vouloir dire copain.



Mais “cloud copain” ça fait pas sérieux&nbsp; :)



Oui !&nbsp;

C’est ce qui peut être mis en place en entreprise pour du cloud privé, on a les mêmes fonctionnalités :-)








yvan a écrit :



C’est surtout selon moi qu’il y a un groupement d’intérêts autour du

militaire et du sécuritaire et que OVH n’en fait pas partie. Ces gens se



font confiance entre eux (thales, safran, orange etc.) et en fait      



souverain ça doit vouloir dire copain.




Mais "cloud copain" ça fait pas sérieux&nbsp; :)







Oui effectivement, en creusant un peu, on trouve parfois des dirigeants d’entreprise qui ont fréquenté les même grandes écoles que des hauts fonctionnaires, mais on ne peux pas parler de copinage, tout juste de renvoi d’ascenseur.&nbsp; <img data-src=" />

&nbsp;Ou alors je me fais vieux et je deviens bisounours.&nbsp;<img data-src=" /> &nbsp;



Fermer