Secteur public

Cloud souverain pour l'administration francaise et europeenne.

Doctrine d'Etat, qualification SecNumCloud, RGPD, NIS2 : reperes operationnels pour les acheteurs publics, les DSI ministeriels et les collectivites territoriales.

Contexte

La doctrine "Cloud au Centre", publiee par la DINUM en 2021 et mise a jour en 2023, encadre l'usage du cloud par l'administration francaise. La circulaire 6282/SG du Premier ministre impose l'hebergement des donnees sensibles sur un cloud interne ou sur une offre qualifiee SecNumCloud par l'ANSSI. Ce cadre est complete par le RGPD, par la directive NIS2 et, pour la sante, par la certification HDS. Les references reglementaires citees sur cette page sont consultables sur legifrance.gouv.fr et cyber.gouv.fr.

Cibles

A qui s'adresse cette doctrine

Administration centrale

Souverainete juridique sur les donnees regaliennes et les bases de souverainete.

Immunite extraterritoriale exigee pour les donnees classees DR ou superieur.

Qualification SecNumCloud rendue obligatoire par la circulaire 6282/SG pour les SI sensibles.

Collectivites territoriales

Heterogeneite des SI : maitrise progressive de la dette technique cloud.

Donnees usagers (etat civil, social, urbanisme) protegees par RGPD article 9 pour les categories sensibles.

Mutualisation possible via centrales d'achat (UGAP, GIP, syndicats mixtes).

Etablissements publics

Universites, hopitaux, agences : SI metier souvent multi-fournisseurs.

Donnees de recherche, de sante et de formation soumises a regimes specifiques.

Reversibilite contractuelle exigee lors des renouvellements de marche.

Operateurs d'importance vitale

Statut OIV ou OSE encadre par la LPM et la directive NIS2.

Hebergement national obligatoire pour les fonctions essentielles, supervision ANSSI.

Plans de continuite et de reprise documentes, audits reguliers.

Cadre reglementaire

Les references applicables

Doctrine Cloud au Centre

Publiee par la DINUM en mai 2021, mise a jour en mai 2023. Impose l'usage prioritaire d'un cloud interne de l'Etat ou d'un cloud commercial qualifie SecNumCloud pour les donnees sensibles. Source : circulaire 6282/SG accessible via legifrance.gouv.fr.

SecNumCloud (ANSSI)

Visa de securite delivre par l'ANSSI au titre du referentiel SecNumCloud v3.2. Atteste de la conformite aux exigences de souverainete, de protection contre les ingerences etrangeres et de securite operationnelle. Liste publique des prestataires qualifies sur cyber.gouv.fr.

RGPD (CNIL)

Reglement (UE) 2016/679. L'article 9 encadre les donnees sensibles (sante, opinions politiques, identifiants biometriques). La CNIL recommande l'hebergement UE et la documentation des transferts hors EEE depuis l'arret Schrems II (CJUE, 2020).

Directive NIS2

Directive (UE) 2022/2555, transposition en droit francais en cours. Etend le perimetre des entites essentielles et importantes, renforce les exigences de gestion des risques et de notification d'incidents. S'applique aux administrations et a une partie des operateurs publics.

Cas d'usage type

Trois situations recurrentes

Hebergement de donnees de sante territoriales

Exigences

Certification HDS (Hebergeur de Donnees de Sante) obligatoire.

Localisation des donnees, metadonnees et journaux en France ou dans l'UE.

Engagement ecrit sur l'immunite extraterritoriale pour les categories sensibles.

Fournisseurs candidats

Fournisseurs qualifies SecNumCloud disposant aussi de la certification HDS sur le perimetre evalue.

Plateforme d'identite numerique citoyenne

Exigences

Conformite eIDAS pour la verification d'identite et les signatures qualifiees.

Chiffrement des cles maitre dans des HSM europeens certifies.

Audit de securite annuel par un tiers accrediti.

Fournisseurs candidats

Fournisseurs qualifies SecNumCloud avec offre IAM souveraine et HSM EU certifies eIDAS.

Stockage longue duree d'archives publiques

Exigences

Conservation reglementaire (Code du patrimoine, dela d'instruction).

Reversibilite des donnees au format ouvert (PDF/A, XML normes).

Engagement de localisation UE sur l'ensemble du cycle de vie.

Fournisseurs candidats

Fournisseurs UE proposant object storage WORM, scellement et reversibilite contractuelle.

Demander un diagnostic Voir la methodologie Comparer les fournisseurs