1
Table des matières
2
3
Introduction .............................................................................................................................. 2
4
1. Rappel de la stratégie nationale pour l’informatique en nuage........................................ 3
5
2. Réécriture de la règle R9 de la doctrine «
cloud au centre » ............................................ 3
6
A.
La doctrine «
cloud au centre » comme levier de la transformation numérique de
7
l’État 3
8
B.
Réécriture de la règle R9 ............................................................................................. 4
9
3. Conséquences opérationnelles pour la CNIL .................................................................... 6
10
A.
Opportunités et difficultés pour la CNIL .................................................................... 6
11
B.
Application à l’instruction de dossiers à la CNIL ........................................................ 7
12
1. Ce qui change ............................................................................................................... 7
13
2.
Ce qui ne change pas ................................................................................................ 8
14
4. Annexe A : Règle R9 .......................................................................................................... 9
15
5. Annexe B : Exemples d’organismes visés par la doctrine «
cloud au centre » ................ 12
16
6. Annexe C : Détails de la stratégie nationale pour le
cloud (axes 1 & 3) ........................... 15
17
Axe 1 : Le «
cloud de confiance » au travers de la qualification SecNumCloud de l’ANSSI
18
.............................................................................................................................................. 15
19
Axe 3 : La stratégie d’accélération cloud ............................................................................. 16
20
21
22
23
24
Introduction
25
Le gouvernement a publié le 31 mai 2023 une circulaire actualisant la précédente circulaire
26
du 5 juillet 2021 relative à la doctrine d’utilisation de l’informatique en nuage par l’État
27
«
cloud au centre », l’un des trois axes de la stratégie nationale pour le
cloud, qui fait du
cloud
28
le mode d’hébergement par défaut des projets numériques de l’État.
29
30
Cette actualisation a pour objectif de préciser les conditions d’application de cette doctrine
31
en cas de recours à une offre de
cloud commercial « afin de mieux délimiter le périmètre des
32
données d’une sensibilité particulière pour lesquelles le recours à une solution d’hébergement
33
qualifiée SecNumCloud (ou disposant d’une qualification équivalente) et immunisée au droit
34
extracommunautaire est requis ainsi que de préciser les modalités de demandes dérogation
35
à cette règle ».
36
37
La présente communication identifie les conséquences de cette nouvelle circulaire pour la
38
CNIL.
39
2
40
1. Rappel de la stratégie nationale pour l’informatique en nuage
41
Afin de relever les défis en matière de souveraineté et de protection de données, le
42
Gouvernement a lancé, le 17 mai 2021, une stratégie nationale pour l’informatique en nuage
43
(«
cloud »).
44
45
Cette stratégie se décline en trois axes :
46
47
• Le «
cloud de confiance » au travers de la qualification
SecNumCloud de l’ANSSI
48
(v. Annexe C : Détails de la stratégie nationale pour le cloud (axes 1 & 3)) ;
49
• La doctrine «
cloud au centre » comme levier de la transformation numérique de
50
l’État (v. Section 2) ;
51
• La stratégie
d’accélération cloud via un soutien de la filière et des
52
administrations (v. Annexe C Détails de la stratégie nationale pour le cloud (axes 1
53
& 3)).
54
2. Réécriture de la règle R9 de la doctrine « cloud au centre »
55
A. La doctrine « cloud au centre » comme levier de la transformation
56
numérique de l’État
57
Elle a été formalisée dans
la circulaire n° 6282/SG du 5 juillet 2021 relative à la
58
doctrine d’utilisation de l’informatique en nuage par l’État1, puis actualisée par
la circulaire
59
n° 6404/SG du 31 mai 20232
.
60
61
Les circulaires du 5 juillet 2021 et du 31 mai 2023 prévoient que «
cette doctrine s'applique
62
aux acteurs de l'État et aux organismes placés sous sa tutelle, comme retenus dans
63
le décret 2019-1088 définissant le système d'information de l'État ».
64
65
Le décret n° 2019-1088 du 25 octobre 2019 relatif au système d'information et de
66
communication de l'État et à la direction interministérielle du numérique définit celui-ci
67
comme étant composé de l'ensemble des infrastructures et services logiciels informatiques
68
permettant de collecter, traiter, transmettre et stocker sous forme numérique les données qui
69
concourent aux missions des services de l'État et des organismes placés sous sa
70
tutelle (article 1 du décret).
71
72
Sont exclus du champ d'application de ce décret :
73
- les systèmes d’information opérationnels et de communication du SI de la défense3 ;
74
- les systèmes d’information scientifiques et techniques du SI de la défense4 ;
75
- les services opérés par la DGSE5 ;
1 Circulaire n° 6282-SG du 5 juillet 2021 https://www.legifrance.gouv.fr/circulaire/id/45205
2 Actualisation de la doctrine d'utilisation de l'informatique en nuage par l'État («
cloud au centre »)
https://www.legifrance.gouv.fr/circulaire/id/45446
3 Article 2 du décret n° 2018-532 du 28 juin 2018 fixant l'organisation du système d'information et de communication de
la défense et portant création de la direction générale du numérique et des systèmes d'information et de communication
4 Ibid
5 Article D. 3126-2 du code de la défense
3
76
- les services opérés par la DGSI6.
77
Avec cette doctrine, l’informatique en nuage devient dorénavant le mode d’hébergement et
78
de production
par défaut des
services numériques de l’État (et des organismes
79
placés sous sa tutelle 7 ), pour tout nouveau produit numérique et pour les
80
produits connaissant une évolution substantielle8.
81
82
En application de cette doctrine, les services numériques des administrations doivent être
83
hébergés :
84
• sur l’un des deux
clouds interministériels internes de l’État («
cloud interne ») ; ou
85
• sur les offres de cloud proposées par les industriels («
cloud commercial »)
86
satisfaisant des critères stricts de sécurité.
87
88
En particulier, la
règle R9 (version 2021), pour l’IaaS et le PaaS, et la règle R14, pour le SaaS,
89
prévoient que, dans le cas d’un recours à une offre de
cloud commercial :
90
• les traitements de données à caractère personnel dans le
cloud doivent être conformes
91
au RGPD ;
92
• Les traitements de données de santé doivent être hébergés chez un prestataire certifié
93
HDS ;
94
• Les traitements des données d’une «
sensibilité particulière » doivent être opérés
95
par
un prestataire qualifié SecNumCloud et
être immunisés contre toute
96
réglementation extracommunautaire.
97
98
Dans une note interne9 adressée aux secrétaires généraux des ministères et datée du 15
99
septembre 2021, la DINUM a fait savoir que la suite collaborative Microsoft 365 n’était pas
100
conforme à la doctrine «
cloud au centre », au titre de la règle R9.
101
B. Réécriture de la règle R9
116
6 Article 1er du décret n° 2014-445 du 30 avril 2014 relatif aux missions et à l'organisation de la direction générale de la
sécurité intérieure
7 Voir un exemple d’organismes visés par la doctrine en Annexe B
8 Voir le courrier de Jean Castex en préambule de la circulaire du 5 juillet 2021
9 Note interne de la DINUM concernant la conformité de Microsoft 365 à la doctrine «
cloud au centre »
https://acteurspublics.fr/upload/media/default/0001/36/acf32455f9b92bab52878ee1c8d83882684df1cc.pdf
4
117
118
La nouvelle rédaction, validée par la Commission européenne et publiée dans la circulaire du
119
31 mai 2023 (v. tableau en Annexe A : Règle R9), précise :
120
121
• les cas d’application de R9 et ;
122
123
• le périmètre des «
données d’une sensibilité particulière », en prenant en
124
compte les différentes exigences et exceptions découlant des traités internationaux.
125
126
En particulier la nouvelle version de la règle R9 :
127
128
• réaffirme la conformité au RGPD comme premier critère à prendre en compte
129
lorsqu’un traitement de données à caractère personnel est mis en œuvre ;
130
131
• attire l’attention s’agissant des transferts de données hors UE, en rappelant :
132
o que l’hébergement dans l’UE/EEE ou dans un pays tiers adéquat permet
133
notamment d’assurer un niveau de protection adéquat,
134
o que même en cas de localisation dans l’UE, les données doivent être
135
immunisées contre toute demande d’autorité de pays tiers en dehors d’un
136
accord international conformément aux articles 28 et 48 du RGPD ;
137
138
• étaye le critère de « données d’une sensibilité particulière » nécessitant le respect de
139
qualification SecNumCloud avec la notion de violation susceptible d’engendrer une
140
atteinte à l'ordre public, à la sécurité publique, à la santé et à la vie des personnes,
141
créant ainsi une définition à deux conditions :
(i) sensibilité par nature et (ii)
142
sensibilité par risque et conséquence d’une violation de la donnée ;
143
144
• restreint les données d’une sensibilité particulière aux :
145
o
données relevant de secrets protégés par la loi, notamment au titre des
146
articles L. 311-5 et L. 311-6 du code des relations entre le public et
147
l'administration (CRPA10) ;
148
o
données nécessaires à l'accomplissement des missions essentielles
149
de l'État.
150
151
Il convient de noter que la CNIL avait poussé à ce que la définition des données d’une
152
sensibilité particulière inclue également une référence aux catégories particulières de
153
données (article 9 du RGPD) et aux données relatives aux condamnations pénales et
154
aux infractions (article 10 du RGPD). Cependant, la version publiée n’a pas retenu
155
cette proposition ;
156
157
• maintient une dérogation transitoire pour les projets
déjà engagés d’au maximum
158
12 mois, après validation du Premier ministre, à compter de la disponibilité d’une offre
159
« acceptable ».
160
10 C’est-à-dire notamment le secret des délibérations du Gouvernement, le secret de la défense nationale, le secret de
l’instruction, le secret médical, le secret des affaires, etc.
5
276
4. Annexe A : Règle R9
277
R9 dans la Circulaire du 31 mai 2023
R9 dans la Circulaire du 5 juillet 2021
(les parties soulignées sont les modifications par rapport à l’ancienne version)
Dans le cas d’un recours à une offre de
cloud commerciale, les Dans le cas d'un recours à une offre de
cloud commerciale, les
systèmes informatiques en production et en recette, incluant les systèmes informatiques en production et en recette, incluant les
éléments nécessaires à leur résilience, doivent respecter la règle éléments nécessaires à leur résilience, doivent respecter la règle
suivante :
suivante :
- Tous les systèmes et applications informatiques manipulant Tous les systèmes et applications informatiques traitant des
des données à caractère personnel doivent
être conformes données à caractère personnel, y compris celles des agents
au RGPD. Pour les systèmes contenant des données de publics, doivent être conformes au RGPD. À ce titre, une
santé, l’hébergeur doit de plus être
conforme à la attention particulière doit être portée à d'éventuels transferts de
législation sur l’hébergement de données de santé.
données à caractère personnel en dehors de l'UE et il est rappelé
que l'hébergement sur le territoire de l'UE, de l'EEE, ou d'un pays
tiers faisant l'objet d'une décision d'adéquation de la
Commission européenne, adoptée en application de l'article 45
du RGPD, permet notamment d'assurer un niveau de protection
adéquat aux données. Par ailleurs, même lorsque les données
sont localisées dans l'Union, conformément aux articles 28 et 48
du RGPD, ces données doivent être immunisées contre toute
demande d'autorité publique d'États tiers (judiciaire ou
administrative) en dehors d'un accord international en vigueur
entre le pays tiers demandeur et l'Union ou un État membre.
Pour les systèmes contenant des données de santé, l'hébergeur
doit de plus être conforme à la législation sur l'hébergement de
données de santé.
- Si le système ou l’application informatique manipule des Si le système ou l'application informatique traite des données, à
données d’une sensibilité particulière, qu’elles relèvent caractère personnel ou non, d'une sensibilité particulière et dont
notamment des données personnelles des citoyens français, la violation est susceptible d'engendrer une atteinte à l'ordre
des données économiques relatives aux entreprises public, à la sécurité publique, à la santé et la vie des personnes
françaises, ou d’applications métiers relatives aux agents ou à la protection de la propriété intellectuelle, l'offre de
cloud
publics de l’État : l’offre de
cloud commercial retenue devra commerciale retenue devra impérativement respecter la
impérativement respecter la
qualification SecNumCloud qualification SecNumCloud (ou une qualification
(ou une qualification européenne d’un niveau au moins européenne garantissant un niveau au moins équivalent,
équivalent) et
être immunisée contre toute notamment de cybersécurité) et être immunisée contre tout
réglementation extracommunautaire.
accès non autorisé par des autorités publiques d'État tiers.
- Sinon, l’administration en charge du système choisit la Dans le cas contraire, le recours à une offre de
cloud commerciale
solution adaptée en fonction de ses propres critères, en qualifiée SecNumCloud et immunisée contre tout accès non
privilégiant chaque fois que possible une offre qualifiée autorisé par des autorités publiques d'État tiers n'est pas requis.
SecNumCloud et immunisée aux réglementations
extracommunautaires.
Ces données d'une sensibilité particulière recouvrent :
-
les données qui relèvent de secrets protégés par la
loi, notamment au titre des articles L. 311-5 et L. 311-6 du
code des relations entre le public et l'administration (par
exemple, les secrets liés aux délibérations du Gouvernement
et des autorités relevant du pouvoir exécutif, à la défense
nationale, à conduite de la politique extérieure de la France,
à la sûreté de l'État, aux procédures engagées devant les
juridictions ou encore le secret de la vie privée, le secret
médical, le secret des affaires qui comprend le secret des
procédés, des informations économiques et financières et des
stratégies commerciales ou industrielles) ;
-
les données nécessaires à l'accomplissement des
missions essentielles de l'État, notamment la
sauvegarde de la sécurité nationale, le maintien de l'ordre
public et la protection de la santé et de la vie des personnes.
La violation des données décrites ci-dessus, susceptible
d'engendrer une atteinte à l'ordre public, à la sécurité publique,
10
à la santé et à la vie des personnes, ou à la protection de la
propriété intellectuelle, devra être évaluée sous chaque angle des
critères de sécurité élémentaires, à savoir : la confidentialité,
l'intégrité, la disponibilité voire la traçabilité. Il pourra être pris
en compte dans cette analyse différentes natures d'impacts
possibles (par exemple notamment : impacts opérationnels,
politiques, économiques, juridiques, environnementaux,
patrimoniaux).
- A titre transitoire, pour les projets déjà engagés, une À titre transitoire, pour les projets déjà engagés, une dérogation
dérogation à ces deux derniers alinéas pourra être accordée à l'alinéa précédent pourra être accordée sous la responsabilité
sous la responsabilité du ministre dont relève le projet, sans du ministre dont relève le projet, et après validation du Premier
qu’elle ne puisse aller au-delà de 12 mois après la date à ministre, sans qu'elle ne puisse aller au-delà de 12 mois après la
laquelle une offre de
cloud acceptable (c’est-à-dire dont les date à laquelle une offre de
cloud acceptable (c'est-à-dire dont les
éventuels inconvénients sont supportables ou compensables) éventuels inconvénients sont supportables ou compensables)
sera disponible en France.
sera disponible en France.
278
279
Il est important de noter que le projet de référentiel de certification des services cloud en cours d’élaboration par l’ENISA prévoit un
280
niveau de garantie dédié au traitement de « données d’une sensibilité particulière » dont la définition reprend exactement les mêmes
281
termes que la règle R9.
282
11
326
6. Annexe C : Détails de la stratégie nationale pour le cloud (axes 1 & 3)
327
Axe 1 : Le « cloud de confiance » au travers de la qualification SecNumCloud de
328
l’ANSSI
329
330
La qualification SecNumCloud garantit un niveau de sécurité élevé pour les prestataires de
331
cloud.
332
333
La version 3.2 du 8 mars 2022 du référentiel SecNumCloud explicite des
critères de
334
protection vis-à-vis de la législation extra-européenne :
335
• le « siège statutaire, administration centrale et principal établissement » du
336
prestataire dans l’UE ;
337
• des exigences sur le capital social du prestataire (le capital minimum que devraient
338
détenir des acteurs européens est de 61 %) ;
339
• l’absence de possibilité technique par toute société hors UE intervenant dans le
340
traitement d’accéder aux données traitées (y compris les données techniques).
341
342
La CNIL considère que SecNumCloud fournit
une réponse conforme by design aux
343
exigences de la CJUE en matière de protection des données identifiés dans son
344
arrêt Schrems 2 et elle recommande le recours à un prestataire de niveau SecNumCloud
345
pour les responsables de traitement qui veulent garantir un haut niveau de protection des
346
données à caractère personnel15.
347
348
Par ailleurs, le Gouvernement a lancé fin 2022 un dispositif d’accompagnement à la
349
qualification SecNumCloud pour les PME et start-ups de la sphère SaaS/PaaS16, piloté par la
350
DGE et la DGRI opéré par Bpifrance.
351
352
À ce jour, cinq fournisseurs sont qualifiés SecNumCloud :
353
• Cloud Temple : offre « Secure Temple » (IaaS) ;
354
• Oodrive : suite collaborative « Meet », « Work », et « Share » (SaaS) ;
355
• Outscale : offre « IaaS Cloud on Demand » (IaaS) ;
356
• OVH : offre « Private Cloud » (IaaS) ;
357
• Worldline : offre « Secured IaaS » (IaaS).
358
359
Selon le gouvernement, la stratégie nationale pour le
cloud a permis aux administrations de
360
doubler leur volume de marchés passés avec des offres SecNumCloud17.
361
362
Six autres fournisseurs sont en cours de qualification :
363
• Cloud Solutions : suite collaborative « Wimi Entreprise » (SaaS) ;
364
• Idnomic : Infrastructure de clés publiques et identité numérique (SaaS) ;
365
• Index Education : Suite logicielle incluant Pronote (SaaS) ;
15 L’ANSSI actualise le référentiel SecNumCloud : https://www.ssi.gouv.fr/actualite/lanssi-actualise-le-referentiel-
secnumcloud/
16 France 2030 : vers un renforcement de l’offre cloud de confiance
https://presse.economie.gouv.fr/06042023-cp-france-2030-vers-un-renforcement-de-loffre-cloud-de-confiance/
17 Un premier bilan positif : https://www.economie.gouv.fr/cloud-cinq-nouveaux-dispositifs-soutenir-developpement-
secteur
15
366
• Cegedim : offre « CegNumCloud « (IaaS) ;
367
• Whaller : suite collaborative « Donjon » (SaaS) ;
368
• Orange : Cloud Avenue (IaaS).
369
Axe 3 : La stratégie d’accélération cloud
370
371
Dans le cadre du programme « France 2030 » et du programme d’investissements d’avenir
372
2021-2025, l’État soutient financièrement les projets industriels de développement de
373
services
cloud français (1,8 Md€).
374
375
Ce soutien s’est renforcé depuis septembre 2022, avec la définition de cinq nouvelles
376
mesures18 annoncées par le gouvernement pour poursuivre la stratégie d’accélération :
377
378
• l’accompagnement de l’ANSSI pour obtenir le label SecNumCloud pour les PME et
379
start-ups proposant des services SaaS ou PaaS ;
380
381
• l’accompagnement des administrations – notamment celles traitant des données
382
sensibles – dans leur migration vers le cloud via une mission d’appui pilotée par la
383
DINUM ;
384
385
• la poursuite des travaux sur le schéma de certification de la sécurité du cloud (EUCS)
386
porté par l’ENISA et sur le projet de règlement « Data Act » ;
387
388
• un soutien à l’innovation dans le
cloud via un Projet Important d’Intérêt Européen
389
Commun (PIIEC) dédié ;
390
391
• la création d’un Comité Stratégique de Filière numérique de confiance (CSF
392
numérique), présidé par Michel Paulin, DG d’OVHcloud.
393
394
Un premier appel à projets concernant les « suites bureautiques collaboratives
cloud », visant
395
à soutenir le développement de suites collaboratives qualifiées SecNumCloud, a été ouvert au
396
printemps 2022. Trois projets lauréats ont été annoncés en avril 2023 : Wimi, Jamespot et
397
Interstis.
18 Cloud : cinq nouveaux dispositifs pour soutenir le développement du secteur https://www.economie.gouv.fr/cloud-cinq-
nouveaux-dispositifs-soutenir-developpement-secteur
16