Quel rôle pour le cloud souverain dans les collectivités territoriales ?



La transformation numérique des collectivités territoriales est une nécessité pour répondre, entre autres, aux enjeux croissants de la relation aux usagers et du travail collaboratif. À l’heure ou le cloud s’immisce dans notre quotidien et que le gouvernement s’empare du sujet pour en faire sa stratégie de développement des e-services, les collectivités territoriales s’interrogent sur sa place dans leur stratégie numérique.

Ce faisant, elles doivent être attentives aux questions de souveraineté (évoquées dans notre article précédent) lorsqu’elles engagent une migration vers le cloud. Plus précisément, nous expliquerons pourquoi certaines réserves émergent en matière de recours au cloud, en particulier quand une approche fondée sur les usages et les données est adoptée.

Après deux billets de blog respectivement dédiés à la souveraineté numérique et au cloud souverain, ce troisième et dernier billet de blog de notre série se penche sur l’utilisation du cloud dans les collectivités territoriales et sur le recours au cloud souverain.

Une source d’opportunités presque sans limites

Le cloud est une extraordinaire source d’opportunités pour accompagner la transformation numérique des collectivités territoriales et ce sur plusieurs aspects : réduction des coûts, amélioration de la sécurité, de la fiabilité et de la performance, développement de nouvelles pratiques (collaboratives par exemple) et d’offres personnalisées de services en ligne, incitation à l’innovation, simplification des démarches, etc.

A titre d’exemple, la dématérialisation – sujet plébiscité par les collectivités tant le cadre réglementaire se renforce (marchés publics, services rendus aux usagers) – s’inscrit pleinement dans l’utilisation croissante du cloud.

 » La dématérialisation réside en une opération consistant à remplacer un support matériel par un support informatique : un document sera produit au format numérique directement à partir du système d’information. « 

Néanmoins, cette transition/migration vers le cloud exige une évolution des pratiques, des usages numériques et de la façon de conduire les projets. Evolution qui passe en partie par la mise en place d’une politique de gouvernance de la donnée.

La gouvernance de la donnée, fer de lance du cloud souverain

Le cloud, avec tous les avantages qu’il propose, doit être déployé dans le cadre d’une gouvernance de la donnée établie. En effet, une attention particulière doit être portée sur les questions de protection des données (notamment personnelles) et de sécurité des infrastructures. Les collectivités territoriales sont amenées à collecter une quantité significative de données personnelles mais toutes ne sont pas traitées et exploitées. Il n’est donc plus question aujourd’hui de collecter des données dans une simple logique d’accumulation : réduire la quantité de données collectées contribue en partie à la réduction des risques de violation.

La gouvernance de la donnée au sein des collectivités territoriales doit également inclure le cadre règlementaire qui s’impose en la matière (par exemple, le RGPD, le Référentiel Général de Sécurité, etc.). C’est en particulier cet aspect règlementaire qui pousse aujourd’hui les organisations à adopter des solutions cloud souveraines.

Le recours au cloud souverain, une obligation ?

Ayant saisi la nécessité du passage au cloud, l’Etat français a publié en 2018 une circulaire qui identifie le cloud comme un « chantier prioritaire de la transformation numérique » de l’Etat et des collectivités territoriales. C’est dans sa continuité que la doctrine gouvernementale « Cloud au centre » du 5 juillet 2021 a été formalisée, encourageant les acteurs publics à développer le cloud dans leur organisation et leurs services, avec comme principales préoccupations la souveraineté numérique, la protection des données et la cybersécurité.

Cette doctrine ne s’applique pour le moment qu’aux administrations publiques d’Etat et donc pas directement aux collectivités territoriales. Néanmoins, ces dernières pourraient avoir tout intérêt à suivre la démarche entreprise par l’Etat, dans la mesure ou la doctrine « Cloud au centre » peut être vue comme un recueil de bonnes pratiques. Une doctrine similaire pourrait même s’appliquer aux collectivités territoriales dans un futur plus ou moins proche (voir encart ci-dessous).

En 2016, une circulaire gouvernementale a imposé aux collectivités territoriales de conserver les données produites sur le territoire français. Ces données étaient assimilées à des archives publiques, ces dernières étant considérées comme des trésors nationaux par le Code du patrimoine qui imposait alors de les conserver sur le territoire français. Néanmoins, la circulaire n’avait plus lieu d’être avec l’entrée en vigueur du RGPD qui interdit les exigences de localisation (sauf pour les motifs de sécurité publique, ce qui ne concerne que les archives définitives et historiques).

Néanmoins, ces démarches normatives pourraient être conditionnées par l’(in)action de l’Union Européenne vis-à-vis de la souveraineté numérique et en particulier au travers des futurs règlements et directives qui seront adoptés (ou non).

Le recours au cloud souverain, une nécessité ?

Dans toute organisation utilisant le cloud, qu’elle soit privée ou publique, il n’y a rarement qu’une seule solution cloud qui est utilisée : c’est ce qu’on appelle le multicloud[1] et l’hybridation[2]. Cette utilisation diversifiée du cloud se justifie par les usages et pratiques qu’elle permet, mais aussi et surtout par le niveau de sécurité qui en résulte. A l’image des pièces des locaux physiques d’une organisation, sécurisées en fonction de leur importance et ce qu’elles contiennent, les dispositifs de sécurité d’une solution cloud doivent être adaptés à la sensibilité des données qu’elle héberge.

Par ailleurs, de nombreuses collectivités territoriales disposent de solutions on-premise[3]. Il s’avère parfois que ce type de solution soit privilégié en raison de leur coût ou leurs modalités de maintenance. Le multicloud et l’hybridation ont cet avantage d’intégrer les solutions on-premise au système d’information global de l’organisation[4].

Le recours au cloud souverain doit aussi être nuancé par le coût budgétaire qu’il est susceptible d’engendrer pour les collectivités du fait des mesures de sécurité qui doivent être mises en œuvre. Celles-ci générant par ailleurs un impact environnemental non négligeable dont les collectivités vont dorénavant devoir considérer avec attention (cf. loi REEN du 15 novembre 2021[5]).

Les collectivités devront ainsi composer entre protection de leur données, respect des budgets et limitation de l’empreinte environnementale du numérique…

Le juste équilibre n’étant pas évident à trouver, l’analyse des usages semble être l’approche la plus pertinente pour identifier le niveau de protection adéquat : protection maximale pour les données le nécessitant et protection plus légère pour les données moins sensibles. Chaque collectivité devra ainsi adopter les mesures souveraines les plus appropriées à son organisation et son fonctionnement, selon le niveau de sensibilité et de criticité de ses données.

Ce dernier billet de blog marque la fin de notre série d’articles sur le cloud souverain, l’étude actuelle du Lab des Usages. Cette étude se conclura par la publication d’un livre blanc qui s’attachera à développer plus en détails les éléments abordés dans les articles et qui soulèvera d’autres axes de réflexion sur le cloud souverain.


[1] Le multicloud consiste à l’utilisation de plusieurs clouds différents pour former un seul système d’information.

[2] L’hybridation consiste à utiliser à la fois des clouds publics et privés.

[3] Solutions hébergées sur des serveurs situés dans les locaux d’une organisation (et non dans le cloud). Livre blanc multicloud (energys.com)

[4] Freyermuth J. Carpini R. E’nergys. 2020. Les nouvelles dimensions du multicloud : décrypter les tendances pour mieux structurer sa stratégie.

[5] Loi n°2021-1485 du 15 novembre 2021 visant à réduire l’empreinte environnementale du numérique en France (dite loi REEN)

Sources

Qu’est-ce que la dématérialisation ? – Locarchives

Le Big data et l’Open data au service des collectivités | Cairn.info

20-103-BDT-Guide Gestion des données-web.pdf (banquedesterritoires.fr)

Cloud au centre : la doctrine de l’État | numerique.gouv.fr

Par Alexia NAY