Après la généralisation du recours au cloud (doctrine « Cloud au centre » de l’État souhaitée par le Premier Ministre) il est désormais fait interdiction aux administrations publiques de recourir à certaines solutions Microsoft, jugées non conformes au droit européen.
La raison de cette interdiction tient à la qualification de données sensibles lorsque les données sont traitées et utilisées par l’administration.
Tout recours à une offre commerciale de cloud par une administration devra donc porter le label SecNumCloud de l’ANSSI (il s’agit d’un visa de cette agence de sécurité informatique permettant de qualifier des prestataires de services cloud en fonction du respect d’un certain nombre de critères de sécurité informatique).
La Doctrine « Cloud au centre » de l’État prévoit l’hébergement des données traitées par des structures publiques sur un cloud de confiance, français ou européen, et a minima immunisé contre les intrusions américaines du Cloud Act.
Pour rappel, ce dernier permet aux agences fédérales américaines d’accéder aux données traitées ou hébergées par une entreprise américaine (même si elle est située en France ou en Europe) ou par une entreprise non américaine située sur le sol américain.
Autrement dit : puisque le cloud de confiance sur lequel s’adosseront les administrations françaises devra bénéficier du label SecNumCloud, cela devrait normalement exclure le recours à un géant américain dans le processus de traitement de données (que ce soit la messagerie ou l’hébergement).
Le Consortium Bleu porté par Orange et Capgemini a le projet de créer un cloud de confiance à destination des administrations publiques et des infrastructures critiques (type OIV -Opérateurs d’Importance Vitale et OSE – Opérateur de Services Essentiels) incluant la suite Office tout en offrant le fameux label de l’ANSSI.
A voir donc lorsque ce projet verra le jour…Ou lorsque le projet similaire porté par Thalès et Google sera mis en oeuvre et recevra le label SecNumCloud.
Les données publiques, comme les données de santé, sont considérées comme sensibles et méritent donc ce qu’il y a de mieux. Mais le manque d’opérateurs français et/ou de confiance se fait sentir dans cette nouvelle transition « géo-technologique ».
Ces exigences seront d’ailleurs surement étendues au traitement de toutes sortes de données sensibles par des entités publiques (ou privées mais ayant un intérêt public) dans le secteur de la santé justement.
La liste des candidats susceptibles de proposer un service de cloud conforme dans ce secteur mériterait d’ailleurs un développement puisque on peut imaginer que l’exigence de label SecNumCloud s’ajoute à celle d’Hébergeur de Données de Santé (HDS) à moyen terme pour les infrastructures publiques ou privées traitant de données de santé dans le cadre de politiques publiques.
Si vous envisagez de recruter un nouveau sous-traitant, si vous cherchez à y voir plus clair dans tous ces labels de sécurité ou si vous voulez toutes les informations sur la stratégie de l’Etat sur le cloud de confiance, n’hésitez pas à nous contacter. Nous répondrons à toutes vos questions et vous accompagnerons dans vos démarches.
Par Maître Audrey Decima