Le 2 juin 2016, les ministères de lIntérieur et de la Culture et de la Communication ont conjointement publié une note d’information relative à l’informatique en nuage (cloud computing), signée le 5 avril 2016.
Celle-ci a pour objectif de compléter le « Guide sur le cloud computing et les datacenter, à lattention des collectivités locales », publié par la Direction générale des entreprises (DGE), la Caisse des dépôts et le Commissariat général à l’égalité des territoires (CGET), afin de préciser ce que le cadre légal autorise. Ces ministères précisent que lEtat a été saisi à plusieurs reprises par des collectivités territoriales envisageant de souscrire une offre de cloud computing auprès de l’un des grands acteurs internationaux du secteur.
Le cloud computing est un mode d’organisation consistant à donner accès, par un réseau, à des ressources informatiques physiques et/ou virtuelles, distantes et adaptables aux besoins du client. De nombreux services logiciels peuvent être proposés via ce mode. Il peut notamment sagir de messageries et agenda électroniques, logiciels métier, espaces de stockage et système d’archivage électronique.
La note dinformation précise que tous les documents et données numériques produits par les collectivités territoriales relèvent du régime juridique des archives publiques dès leur création. Elle ajoute que ces dernières sont par ailleurs des trésors nationaux. Un trésor national ne peut cependant pas sortir du territoire douanier français, sauf à titre temporaire et après autorisation du ministère de la Culture et aux seules « fins de restauration, d’expertise, de participation à une manifestation culturelle ou de dépôt dans une collection publique ». Tous les autres traitements doivent donc intervenir sur le territoire national.
La note dinformation conclut que l’utilisation d’un cloud non souverain qui ne permet pas par nature de garantir que l’ensemble des données sont stockées et traitées sur le territoire français, est donc illégale pour toute institution produisant des archives publiques, dont les collectivités territoriales, leurs groupements et leurs établissements publics.
La note dinformation précise ensuite que si une collectivité territoriale désire souscrire une offre de cloud, elle ne pourra s’orienter que vers une offre de cloud souverain, en prévoyant des clauses liées à la localisation, la sécurité, la confidentialité, la traçabilité, l’auditabilité, la réversibilité, la portabilité et l’élimination des données dans le système. Si elle choisit une offre de cloud public, elle devra veiller à ce que la séparation logique des données par rapport à celles d’autres clients soit garantie.
Elle précise par ailleurs que les services d’archives départementales peuvent être sollicités par les collectivités territoriales pour être accompagnées dans la mise en uvre de ces dispositions.