Le 5 avril dernier, le directeur général des collectivités locales (ministère de l'Intérieur) et le directeur des archives de France (ministère de la Culture) adressaient une note commune aux préfets de région et de département. Il était ni plus ni moins question de cloud souverain. La note rendant obligatoire pour les collectivités territoriales françaises l'hébergement en France de leurs archives. Or, la note spécifie que juridiquement une archive comprend tous les « documents bureautiques issus d'un logiciel de traitement de texte, le contenu d'une base de données ou encore les courriels transmis ou reçus » (*). En clair : la messagerie, les données stockées et échangées, les applications métier, les sites web.
Cette note a suscité beaucoup d'interrogations, de rapprochements avec les malheureux exemples de CloudWatt et de Numergy. Le directeur général d'un hébergeur nantais, Christophe Lejeune d'Alfa Safety formule plusieurs objections. Pour lui, cette obligation est impossible à respecter. « Prenons l'exemple très simple de la messagerie en ligne, Microsoft avec Office365 détient près de 85% du marché, Google et ses Apps 15%. Quelques acteurs se partagent les miettes, aucun n'a la taille suffisante pour proposer une alternative française. Et on imagine mal les collectivités territoriales se couper du monde Microsoft, ce qui entraînerait des coûts et des difficultés de migration et de formation. »
Raisonner à l'échelle européenne
Deuxième objection, la sécurité. « Il faut être conscient que l'hébergement sur le sol français n'est pas une garantie de sécurité ». Les services SaaS proposés par les grands hébergeurs mondiaux sont nettement mieux sécurisés que les hébergeurs dédiés de proximité, selon Christophe Lejeune. Il estime enfin qu'un acteur français protégé n'a aucune chance dans le monde actuel, il faut raisonner à l'échelle européenne. « Nous sommes dans un métier de travail à distance, la conception des sites des collectivités doit se faire avec des acteurs de proximité qui connaissent les collectivités, c'est compréhensible, mais l'hébergement c'est différent. Un site de collectivité ce n'est pas quand même du secret-défense. »
D'une manière générale, Christophe Lejeune se demande si on ne veut pas règlementer comme il y a quarante ans. Par principe et sans tenir compte d'Internet et du cloud. L'agrément pour devenir hébergeur de santé a laissé des traces. « Devenir hébergeur de santé demande plus de compétences de juriste que d'informaticien, les délais d'homologation vont jusqu'à 3 ans, les normes évoluant entre les premiers homologués et les derniers, les exigences de sécurité entraînent des coûts colossaux ». Les établissements qui hébergent eux-mêmes n'ont en revanche aucune contrainte alors que le risque est le même.
La note semble détachée des réalités de l'hébergement et donc difficilement applicable et même compréhensible. Soumises à des contraintes budgétaires fortes et à des obligations de mutualisation ou même de fusion, les collectivités territoriales s'intéressent pourtant de près aux solutions de cloud computing et ont besoin de clarification.
(*) La note introduit même une autre notion, celle de « trésor national », expliquant que « toutes les archives publiques sont par ailleurs des trésors nationaux en raison de l'intérêt historique qu'elles présentent ou sont susceptibles de présenter. Les données numériques des collectivités relèvent donc du régime des trésors nationaux dès leur création. Or, la qualité de trésor national impose un régime de circulation contraignant. Un trésor national ne peut pas sortir du territoire douanier français, sinon à titre temporaire et après autorisation du ministère de la Culture et aux seuls fins de restauration d'expertise, de participation à une manifestation culturelle ou de dépôt dans une collection publique. Tous les autres traitements doivent intervenir sur le territoire national ». En clair, les données numériques sont comme la Joconde !