Les données sensibles (enfin) explicitées dans la doctrine cloud de l’État

Clément Bohic,
Linkedin
doctrine cloud État 2023

Mise à jour, la doctrine cloud de l’État clarifie la notion de « données sensibles »… tout en éliminant une incitation à privilégier SecNumCloud.

Que recouvre la notion de « données sensibles » ? Jusqu’à présent, la doctrine cloud de l’État n’en disait pas beaucoup à ce sujet. Les choses ont changé avec la publication, ce 1er juin 2023, d’une circulaire gouvernementale.

La question des « données sensibles » se pose en cas de recours à des offres commerciales, par opposition à celles dites internes (clouds PI du ministère de l’Intérieur et NUBO du ministère des Finances). Les systèmes et applications qui traitent de telles données doivent être SecNumCloud ou respecter une qualification européenne de niveau au moins équivalent. Et être immunisés face aux réglementations extracommunautaires.

Jusqu’alors, la doctrine faisait référence aux données « d’une sensibilité particulière » en les exemplifiant ainsi : « qu’elles relèvent notamment des données personnelles des citoyens français, des données économiques relatives aux entreprises françaises, ou d’applications métiers relatives aux agents publics de l’État ».

Il est désormais précisé qu’elles recouvrent, d’une part, les données qui relèvent de secrets protégés par la loi (articles L.311-5 et L.311-6 du Code des relations entre le public et l’administration). Par exemple, celles liées aux délibérations du Gouvernement, à la défense nationale ou à la conduite de la politique extérieure de la France. Et de l’autre, celles nécessaires à l’accomplissement des missions essentielles de l’État. On parle là notamment de maintien de l’ordre public et de protection de la vie des personnes.

L’incitation à privilégier SecNumCloud a disparu de la doctrine

En l’absence de traitement de telles données, quelles consignes pour les administrations ? La doctrine mise à jour établit simplement que le recours à une offre SecNumCloud « n’est pas requis ». Auparavant, elle encourageait à privilégier tout de même ce type d’offre dans la mesure du possible…

La nouvelle circulaire apporte une autre précision, applicable quant à elle à toute offre commerciale. En substance : attention aux éventuels transferts de données personnelles hors de l’UE.

On rappellera que d’un point de vue juridique, cette doctrine est non contraignante. Elle ne fait que « donner une direction ».

À consulter pour davantage de contexte :

IT souveraine : le cloud de confiance cherche sa voie
Office 365 : l’Éducation nationale a-t-elle vraiment crevé l’abcès ?
Quand le legacy handicape les stratégies numériques nationales
Microsoft 365 : la Suisse s’interroge aussi
Les méthodes agiles, totem de la DINUM

Photo d’illustration © illustrez-vous – Fotolia