Petit à petit, le Gouvernement peaufine sa stratégie cloud. Il vient en effet de réviser cette doctrine à travers une circulaire publiée au JO de ce jour en spécifiant le périmètre des données sensibles et de leur hébergement. Pour mémoire, en mai 2021, Amélie de Montchallin, alors ministre de la transformation et de la fonction publiques avait posé les bases de la stratégie cloud de l’Etat baptisée « Cloud au centre ».

La règle est simple, « le cloud est l’hébergement par défaut des services numériques de l’Etat, soit dans un cloud interne, soit dans un cloud externe qualifié par l’Anssi comme un cloud de confiance ». Une circulaire datant de juillet 2021 est venue préciser certains points comme l’exigence pour les données d’une sensibilité particulière de recourir à des solutions disposant de la qualification SecNumCloud délivrées par l’Anssi et immunisées contre toute réglementation extracommunautaires.

Des précisions et des dérogations

Elisabeth Borne, la première ministre, estime dans un courrier accompagnant la circulaire du 25 mai 2023, « nécessaire de mieux délimiter le périmètre des données d’une sensibilité particulière ». Dans le texte, l’exécutif distingue deux cas de figure : les données qui relèvent de secrets protégés par la loi et les données nécessaires à l’accomplissement des missions essentielles de l’Etat. Pour le premier, le gouvernement donne des exemples, les articles L.311-5 et L.311-6 du code des relations entre le public et l'administration (par exemple, les secrets liés aux délibérations du Gouvernement et des autorités relevant du pouvoir exécutif, à la défense nationale, à conduite de la politique extérieure de la France, à la sûreté de l'Etat, aux procédures engagées devant les juridictions ou encore le secret de la vie privée, le secret médical, le secret des affaires qui comprend le secret des procédés, des informations économiques et financières et des stratégies commerciales ou industrielles). Dans le second cas, les données concernées sont relatives à la sauvegarde de la sécurité nationale, le maintien de l'ordre public et la protection de la santé et de la vie des personnes.

Pour l’ensemble de ces informations, le recours à un fournisseur labelisé SecNumCloud est requis. Mais la circulaire prévoit des dérogations notamment pour les projets déjà engagés. Elle souligne que les exemptions peuvent être accordées par les ministres de tutelle, « sans qu’elle ne puisse aller au-delà de 12 mois après la date à laquelle une offre de cloud acceptable (c’est-à-dire dont les éventuels inconvénients sont supportables ou compensables) sera disponible en France ». Sur ce point, la question de l’hébergement du Health Data Hub sur Microsoft Azure est devenue récurrente et symbolique. Récemment, le député Philippe Latombe a publié un communiqué montrant que la migration vers un cloud de confiance de la plateforme de données de santé était reportée au 3ème trimestre 2025…