Que recouvre la notion de « données sensibles » ? Jusqu’à présent, la doctrine cloud de l’État n’en disait pas beaucoup à ce sujet. Les choses ont changé avec la publication, ce 1er juin 2023, d’une circulaire gouvernementale.
La question des « données sensibles » se pose en cas de recours à des offres commerciales, par opposition à celles dites internes (clouds PI du ministère de l’Intérieur et NUBO du ministère des Finances). Les systèmes et applications qui traitent de telles données doivent être SecNumCloud ou respecter une qualification européenne de niveau au moins équivalent. Et être immunisés face aux réglementations extracommunautaires.
Jusqu’alors, la doctrine faisait référence aux données « d’une sensibilité particulière » en les exemplifiant ainsi : « qu’elles relèvent notamment des données personnelles des citoyens français, des données économiques relatives aux entreprises françaises, ou d’applications métiers relatives aux agents publics de l’État ».
Il est désormais précisé qu’elles recouvrent, d’une part, les données qui relèvent de secrets protégés par la loi (articles L.311-5 et L.311-6 du Code des relations entre le public et l’administration). Par exemple, celles liées aux délibérations du Gouvernement, à la défense nationale ou à la conduite de la politique extérieure de la France. Et de l’autre, celles nécessaires à l’accomplissement des missions essentielles de l’État. On parle là notamment de maintien de l’ordre public et de protection de la vie des personnes.
En l’absence de traitement de telles données, quelles consignes pour les administrations ? La doctrine mise à jour établit simplement que le recours à une offre SecNumCloud « n’est pas requis ». Auparavant, elle encourageait à privilégier tout de même ce type d’offre dans la mesure du possible…
La nouvelle circulaire apporte une autre précision, applicable quant à elle à toute offre commerciale. En substance : attention aux éventuels transferts de données personnelles hors de l’UE.
On rappellera que d’un point de vue juridique, cette doctrine est non contraignante. Elle ne fait que « donner une direction ».
À consulter pour davantage de contexte :
IT souveraine : le cloud de confiance cherche sa voie
Office 365 : l’Éducation nationale a-t-elle vraiment crevé l’abcès ?
Quand le legacy handicape les stratégies numériques nationales
Microsoft 365 : la Suisse s’interroge aussi
Les méthodes agiles, totem de la DINUM
Photo d’illustration © illustrez-vous – Fotolia
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…
Sous la bannière SpreadSheetLLM, Microsoft propose un framework destiné à optimiser le traitement des feuilles…
Selon le magazine Wired, AT&T aurait payé près de 400 000 $ à un pirate…
Confronté à un bannissement généralisé, Kaspersky va se retirer progressivement du marché américain, à partir…
Voilà X officiellement accusé d'infractions au DSA. La Commission européenne ne valide pas le système…
Un groupe de banques et de créanciers obligataires ont accepté le financement du plan de…