Que recouvre la notion de « données sensibles » ? Jusqu’à présent, la doctrine cloud de l’État n’en disait pas beaucoup à ce sujet. Les choses ont changé avec la publication, ce 1er juin 2023, d’une circulaire gouvernementale.
La question des « données sensibles » se pose en cas de recours à des offres commerciales, par opposition à celles dites internes (clouds PI du ministère de l’Intérieur et NUBO du ministère des Finances). Les systèmes et applications qui traitent de telles données doivent être SecNumCloud ou respecter une qualification européenne de niveau au moins équivalent. Et être immunisés face aux réglementations extracommunautaires.
Jusqu’alors, la doctrine faisait référence aux données « d’une sensibilité particulière » en les exemplifiant ainsi : « qu’elles relèvent notamment des données personnelles des citoyens français, des données économiques relatives aux entreprises françaises, ou d’applications métiers relatives aux agents publics de l’État ».
Il est désormais précisé qu’elles recouvrent, d’une part, les données qui relèvent de secrets protégés par la loi (articles L.311-5 et L.311-6 du Code des relations entre le public et l’administration). Par exemple, celles liées aux délibérations du Gouvernement, à la défense nationale ou à la conduite de la politique extérieure de la France. Et de l’autre, celles nécessaires à l’accomplissement des missions essentielles de l’État. On parle là notamment de maintien de l’ordre public et de protection de la vie des personnes.
En l’absence de traitement de telles données, quelles consignes pour les administrations ? La doctrine mise à jour établit simplement que le recours à une offre SecNumCloud « n’est pas requis ». Auparavant, elle encourageait à privilégier tout de même ce type d’offre dans la mesure du possible…
La nouvelle circulaire apporte une autre précision, applicable quant à elle à toute offre commerciale. En substance : attention aux éventuels transferts de données personnelles hors de l’UE.
On rappellera que d’un point de vue juridique, cette doctrine est non contraignante. Elle ne fait que « donner une direction ».
À consulter pour davantage de contexte :
IT souveraine : le cloud de confiance cherche sa voie
Office 365 : l’Éducation nationale a-t-elle vraiment crevé l’abcès ?
Quand le legacy handicape les stratégies numériques nationales
Microsoft 365 : la Suisse s’interroge aussi
Les méthodes agiles, totem de la DINUM
Photo d’illustration © illustrez-vous – Fotolia
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.