Souveraineté numérique : vers une nouvelle législation pour l'hébergement des données des collectivités ?
Par Lucile Bonnin
Les membres de la Commission supérieure du numérique et des postes (CSNP) ont confié à Anne Le Hénanff, députée du Morbihan, la mission de formuler des recommandations afin de renforcer notre souveraineté numérique. Un certain nombre d’auditions ont été menées dans ce cadre pour pouvoir « définir des mesures concrètes et réalistes pour assurer et renforcer l’indépendance de la France (…) en matière de souveraineté numérique » .
À l’heure où les cyberattaques contre les collectivités de toute taille se font de plus en plus fréquentes, la gestion et surtout le stockage des données sont des sujets majeurs. Selon un rapport réalisé par les députés Philippe Latombe et Jean-Luc Warsmann, avec la crise sanitaire, « nombre de problématiques numériques ont refait surface, de la protection des données de santé aux enjeux de cyber-sécurité, face aux attaques informatiques qui ont notamment touché des collectivités territoriales et des structures de soins. Dans ce contexte compliqué, la question de la souveraineté numérique est réapparue avec force » . Ainsi, ce rapport, tout comme les conclusions présentées par la CSNP, soutient que la France et l’Europe doivent faire de ce sujet une priorité « pour répondre à la demande de protection des citoyens, de compétitivité des entreprises, et, enfin, à une double exigence d’efficacité et de transparence des institutions publiques ».
Parmi les 10 recommandations présentées dans ce récent avis daté du 12 septembre, trois concernent directement les collectivités. Des pistes sur les moyens à engager pour garantir une véritable souveraineté numérique sont donc présentées dans ce document d’une dizaine de pages.
Obligation d’un hébergement sécurisé
D’abord, les membres de la CSNP définissent le cloud (endroit où sont stockées des ressources informatiques) souverain comme étant un cloud de confiance, « transparent, non soumis à des législations extraterritoriales, et dont des certifications garantissent son niveau de confiance ».
En France, ce type de certification existe grâce au référentiel intitulé SecNumCloud développé par l’Anssi qui vise à « permettre la qualification de prestataires de cloud avec pour objectif de certifier le niveau de confiance d’un hébergeur ».
Une circulaire datant du 31 mai 2023 impose d’ailleurs l’utilisation d’un hébergeur de confiance pour l’ensemble des données sensibles, « par exemple, les secrets liés aux délibérations du gouvernement et des autorités relevant du pouvoir exécutif, à la défense nationale, aux procédures engagées devant les juridictions ou encore le secret de la vie privée, au secret médical », etc. Or la circulaire « exclut de facto les données non considérées comme sensibles » et notamment celles des collectivités.
Ainsi, « bien que les collectivités territoriales soient amenées à gérer quotidiennement des données personnelles telles que l’état civil, les affaires scolaires, les données médicales, ou des données sur la sécurité des personnes » , elles ne sont pas concernées par cette obligation d’un hébergement sur un cloud respectant la qualification SecNumCloud.
La Commission invite alors l’ensemble des administrations, des collectivités territoriales, des établissements de santé et des universités (recherche) à « avoir recours à des hébergeurs de confiance pour les données sensibles ou nécessitant une protection particulière ».
Accompagner les collectivités
Le rapport pointe très justement que si le besoin est réel de la part des collectivités de protéger au mieux leurs données, les moyens dont elles disposent aujourd’hui sont insuffisants. C’est pour cela que « les membres de la CSNP estiment également essentiel l’accompagnement des petites collectivités et des établissements publics qui ne disposeraient pas des moyens humains et financiers nécessaires pour se conformer à cette doctrine ». À noter que les offres labélisées « sont généralement plus coûteuses, ce qui peut constituer un frein » pour les collectivités. De plus, si l’obligation d’hébergement sur un cloud SecNumCloud vient à peser sur toutes les collectivités, il serait complexe pour les petites communes par exemple de s’acquitter de plusieurs milliers d’euros par an pour l’hébergement de leurs données.
Enfin, les membres de la CSNP proposent que « les missions des préfets soient renforcées pour accompagner et veiller à la mise en œuvre de la sécurisation des données sensibles et à caractère personnel des collectivités locales, notamment au regard du RGPD, mais également des établissements publics de santé et des universités. Avec des moyens renforcés, les préfets s’assureront du bon déroulement des migrations des données concernées vers des clouds de confiance. Dans l’éventualité où le recours à ces opérateurs cloud représenterait un surcoût conséquent pour ces acteurs, il est nécessaire que l’État le prenne en compte en prévoyant un accompagnement humain et/ou financier ».
Télécharger l'avis sur la souveraineté numérique.
Suivez Maire info sur Twitter : @Maireinfo2
Rénovation écologique des écoles : un peu d'argent et beaucoup d'inquiétudes