La doctrine “cloud” de l’État, entre volontarisme politique et incertitude juridique

Article rédigé par Osiris Moukoko Priso, juriste en droit du numérique public chez Numéricité

D’après le Conseil d’État, la souveraineté est la capacité de décider en dernier ressort et d’imposer sa décision, sur un territoire et à une population donnée. Elle peut recouvrir plusieurs éléments, souveraineté numérique, industrielle, politique mais aussi juridique. Le numérique et son droit sont désormais omniprésents dans les vies privées et publiques des États, de sorte que ceux-ci doivent composer avec leurs acteurs quels qu’ils soient.

En France, le sujet est appréhendé dès 2021 avec la circulaire « Castex » et renforcé en 2023 avec la circulaire « Borne ». Il s’agit pour le gouvernement d’établir une doctrine commune de l’utilisation du « cloud » informatique par les administrations de l’État. Particulièrement, cela vise à répondre à plusieurs enjeux posés à l’État : la transformation de l’administration, la sécurité des données des citoyens, et la souveraineté de l’action de l’État.

Désormais, ce sont les dispositions de l’article 31 de la loi dite « SREN » [1] qui reprennent le « R9 » de la circulaire « cloud au centre » de 2023. Elles exigent de tous les projets et systèmes informatiques des personnes publiques, sous certaines conditions, ayant recours à une offre commerciale cloud de choisir un hébergeur bénéficiant de la certification « SecNumCloud ». La nouvelle législation se présente comme un levier de souveraineté. Il semble intéressant de savoir dans quel cadre juridique ce levier de souveraineté peut s’appliquer. Davantage encore, nous souhaitons démontrer la pertinence d’intégrer ce levier au cœur d’une stratégie politique, numérique et industrielle à l’échelle adéquate. La France pourra-t-elle porter seule une doctrine mobilisant l’immunité aux législations extraterritoriales ? Fera-t-on de SecNumCloud une certification purement « française » ? Le risque étant, à rebours de la volonté politique, de ne sécuriser ni les administrations [2], ni les acteurs économiques français et européens [3] ; la France étant, rappelons-le, partie à la fois à l’Organisation mondiale du commerce et à l’Union européenne.

Si le cadre juridique proposé par la doctrine cloud demeure épars et d’une interprétation incertaine (I), la norme SecNumCloud doit s’appréhender comme un défi de souveraineté à l’échelle européenne (II).

I – Un cadre juridique éparse et d’une interprétation incertaine.

Si l’étendue de la protection des données stratégiques et sensibles est imprécise (A), elle entraine un risque d’applications divergentes de la doctrine « cloud » par les administrations (B).

A – L’étendue imprécise de la protection des données stratégiques et sensibles dans le cadre des marchés de l’informatique en nuage.

Dès 2021, l’Etat a mobilisé le droit pour encadrer les modalités d’utilisation des clouds informatique en nuage. Outre les obligations relatives au RGPD et à l’hébergement de données de santé, les administrations de l’Etat [4] devaient « impérativement respecter la qualification SecNumCloud » (ou une qualification au moins équivalente) et être immunisée contre toute réglementation extracommunautaire. Cette obligation s’appliquait dès lors que le système ou l’application informatique manipulait des données d’une sensibilité particulière. Cette obligation « R9 » a été précisée, notamment en ce qui concerne la notion de données sensibilité particulière, en y ajoutant la condition que la violation des données de l’application devait être susceptible d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé et la vie des personnes ou à la protection de la propriété intellectuelle.

Si, la définition de ces données a été reprise par le législateur dans la loi « SREN », celui-ci a souhaité préciser le régime de protection des données stratégiques et sensibles sur le marché de l’informatique en nuage et n’a pas repris l’obligation de « respecter la qualification SecNumCloud » (ou de niveau équivalent). Ce régime concerne exclusivement les administrations de l’Etat, opérateurs ou certains Groupement d’intérêt public lorsqu’ils ont recours à un prestataire « cloud » en nuage.

D’une part, ceux-ci doivent veiller à ce que le prestataire en question respecte un niveau de sécurité élevé et d’autre part elles doivent s’assurer que le prestataire garantit une immunité contre tout accès d’autorités publiques tiers non autorisé par le droit de l’Union ou le droit national. L’interdiction juridique principale qui en découle (déjà depuis la circulaire de 2023 et sa version de la norme « R9 ») est l’exclusion des marchés publics des prestataires de « cloud » dont la maison-mère est soumise à un droit extraterritorial.

L’empire de cette obligation est l’enjeu majeur de notre interrogation. Deux conditions cumulatives ont été posées par le législateur. Les administrations mentionnées à l’article 31 de la loi SREN n’y seront soumises que si :

• Elles traitent des données d’une sensibilité particulière ou nécessaires à l’accomplissement des missions essentielles de l’Etat et que ;
• Ces « traitements » soient susceptibles d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé et la vie des personnes ou à la protection de la propriété intellectuelle.

S’il existe en droit européen [5] une définition de la donnée sensible ou « catégorie particulière de données », la notion de « données d’une sensibilité particulière » est définie d’une manière ouvrant à interprétation. Le législateur a renvoyé à plusieurs notions juridiques, reprenant les errements de la circulaire n°6404/SG. D’une part, ces données recouvrent les données révélant des secrets protégés par la loi, comprenant notamment celui de la vie privée par renvoi à l’article L311-6 du Code des relations entre le public et l’administration. Le juge interprétant largement les données relevant de la vie privée des personnes, faut-il comprendre que la notion de données d’une sensibilité particulière comprendrait la quasi-totalité des données à caractère personnel y compris celles d’une sensibilité contestable [6] ? A contrario, le RGPD [7] définit les données « sensibles » ou « catégories particulières » de manière limitative [8]. Cette définition, plutôt similaire à la notion civiliste de « données d’intimité », ne correspond pas du tout à l’acception très large prévue par renvoi au CRPA. La question demeure de savoir si le nom, le prénom ou l’adresse électronique peuvent être par nature des données d’une sensibilité particulière.

En ce qui concerne la notion d’atteinte à la vie des personnes. La loi n’offre aucune précision de l’appréhension de la vie, cela renvoie-t-il aussi à la vie privée, auquel cas pourquoi ne pas l’avoir précisé ou à la vie stricto-sensu (comprenant plutôt les atteintes aux personnes pouvant leur coûter la vie) ?

Dans un cas comme dans un autre, l’étendue du champ d’application est singulièrement différente selon l’interprétation choisie. Juridiquement, le risque n’est rien de moins que l’inconstitutionnalité. Le juge n’hésite pas à censurer des dispositions législatives dont la portée normative est incertaine, notamment qui peuvent faire courir un risque d’arbitraire ou d’ambiguïté [9]. Nul doute que des dispositions dont on ne sait pas si elle prévoit une règle juridique concernant quasiment toutes les données à caractère personnel ou seules les données sensibles, voire enfin une catégorie qu’on ne sait pas réellement définir, fait courir un risque important d’ambiguïté. Au surplus, force est de constater que cette disposition de la loi SREN pourrait connaitre un déclassement par le Conseil constitutionnel compte tenu du périmètre administratif couvert par elle. Cette série d’incertitudes amène des applications à géométrie variable par des administrations qui connaissent un cadre budgétaire particulièrement contraint.

B – Les risques d’applications divergentes du R9 de la doctrine « cloud au centre » selon les administrations.

L’insécurité juridique appert tout autant de l’instabilité des textes, d’offres commerciales bariolées qui amènent, parfois pour des raisons louables, des interprétations divergentes de la norme par les administrations. Ces dernières pourraient, en effet, avoir une interprétation non uniforme (et c’est compréhensible !) de l’obligation d’immunité aux règles juridiques extracommunautaires. Devront-elles retenir la vie des personnes ou leur vie privée, ou encore un critère ou une conception des données sensibles ne correspondant pas à celle du RGPD, mais à celles de la loi renvoyant aux articles L311-6 du Code des relations entre le public et l’administration. Le risque serait alors que pour une même personne publique, l’Etat, les prestataires ne soient pas logés à la même enseigne dans leurs réponses aux différents pouvoirs adjudicateurs.

Similairement, un régime dérogatoire est prévu par la loi SREN et la circulaire, autorisant les projets numériques déjà entamés à bénéficier d’une dérogation autorisée par le premier ministre. Si la loi est venue étendre les 12 mois prévus en 18 mois pour s’y conformer, elle renvoie à un décret en Conseil d’Etat le soin de prévoir les critères pouvant donner droit au régime de dérogations. On peut imaginer la peine des personnes chargées de la rédaction de ce décret qui doivent éclairer la norme, sans dépasser le mandat du décret d’application. Pour autant, on peut supposer qu’en observant a contrario la liste des opérateurs non-concernés par cette mesure, on pourra extrapoler l’interprétation des deux critères cumulatifs relatifs à la sensibilité des données et les atteintes envisagées. Ainsi, gageons que les ministères cherchent à faire bénéficier largement leurs projets en cours du régime d’exception, alors même qu’en réalité la circulaire imposait déjà cette obligation (et qu’elle reste en vigueur).

Pour les administrations qui n’entrent pas dans le cadre dérogatoire, elles feront des choix différents, à moins d’une clarification, lors de la construction de systèmes d’informations, non en raison de l’importance pour elles de la souveraineté numérique, mais eu égard aux moyens financiers, techniques et humains dont elles disposent. Paradoxalement, on peut envisager un pis-aller où l’administration pour se protéger soit amenée à renoncer à basculer sur une offre commerciale cloud et à multiplier le recours à différents experts issus de cabinets de conseil pour mener des analyses et contre-analyses [10]. Cet aléa fragilisera la création d’offres commerciales innovantes et paradoxalement pourrait renforcer les offres de clouds internes proposées par certains ministères. Ainsi on peut envisager un scénario où les principaux concurrents d’une offre commerciale nationale soit une offre ministérielle. Plus prosaïquement, il faut également rappeler que les administrations pour de nombreuses politiques publiques, dont certaines régaliennes, interagissent en coalition ou collaboration internationale serrée. On peut aisément imaginer le casse-tête pour le ministère des Armées à s’interfacer avec le système d’information de l’OTAN pour mener des projets innovants.

L’incertitude de la règle fait courir un risque de contournement et d’asymétrie dans l’application de la doctrine, à l’instar de ce qui a déjà pu se faire pour d’autres projets numériques régis par des textes complexes, ambigus et d’interprétation diverses [11]. L’intérêt d’une norme qui n’unifie pas les pratiques, paralyse ou ralentit la réalisation de projets numériques de l’Etat et ne permet pas de bâtir une approche industrielle, parait aussi contraire à la volonté de souveraineté affichée.

Si les problématiques relatives au champ d’application des dispositions entendant participer à la « protection des données stratégiques et sensibles sur le marché de l’informatique en nuage » sont réelles et indiscutables, il convient d’appréhender la certification SecNumCloud comme une prise en compte de la souveraineté en France, qui demeure un défi majeur.

II – La norme SecNumCloud, un défi pour la souveraineté européenne ?

Alors que l’édiction d’une norme de cybersécurité exigeante dénote de la prise en compte d’un combat salutaire pour la souveraineté européenne (A), la multiplicité des labels révèle une conciliation progressive entre les souverainetés nationales et la souveraineté européenne (B).

A – Un combat salutaire pour la souveraineté technologique, industrielle, sécuritaire et juridique.

Le droit international public a défini la souveraineté comme l’exclusivité de la puissance d’un Etat sur son territoire, qui s’opère également entre les États reconnus [12]. Alors qu’il est classiquement, il est envisagé sous l’angle des relations entre les états [13], il est désormais un élément des relations entre les États et les entreprises.

Depuis quelques années, l’intégration de l’extraterritorialité du droit américain, de l’atteinte à la souveraineté qu’elle peut causer et de la réponse à apporter est désormais une bataille portée par le législateur européen et français [14]. Deux raisons peuvent l’expliquer. La première est la volonté de maîtriser la dépendance technologique des grands projets numériques de l’Etat. Pour rappel la doctrine « cloud au centre » oblige la réalisation d’une étude par les administrations elles-mêmes. En cas de dérogation à l’utilisation du cloud, les administrations de l’Etat sont tenues de demander l’avis de la Direction interministérielle du numérique, notamment sur les choix technologiques et techniques opérés dans une logique d’uniformisation. La seconde est l’interdiction ou la limitation de l’accès non autorisé aux informations stratégiques par les administrations étrangères. La loi « SREN », doctrine « cloud » et le norme « R9 » s’inscrivent dans cette logique de limitation et d’influence par le droit à l’échelle française. Une logique dont le législateur européen s’est également emparé par d’autres instruments comme le RGPD et son caractère extraterritorial. C’est ce que le Conseil d’Etat, parlant du droit des données à caractère personnel, appelle la souveraineté du numérique [15]. En son sein, notons donc le régime juridique particulier des traitements mis en œuvre par les administrations, susceptibles par leur ampleur et leur sensibilité d’atteintes particulièrement graves à la vie privée et à la souveraineté industrielle des États.

Néanmoins, il serait erroné de penser que la bataille est gagnée. Les Etats-Unis ont contesté devant l’Organisation mondiale du Commerce cette norme SecNumCloud, y voyant de leur côté une atteinte à la compétitivité et à l’excellence de leurs entreprises [16]. Sur ce point, la question de la conformité au droit international de la loi sera tranchée, d’autant plus que jusqu’à présent seule des entreprises françaises ont obtenu le précieux sésame.

La nouveauté tient désormais de l’appréhension dans la notion de souveraineté, des rapports entre les États et les grandes entreprises, notamment les GAFAM. Le Conseil d’Etat a observé que la taille du marché européen est un moteur essentiel dans les effets produits sur les actions des grands acteurs américains du cloud [17], même si les débats demeurent pour savoir l’échelon de souveraineté le plus pertinent. La réplique industrielle [18] et juridique [19] sur le sujet de la souveraineté menée tant par l’Union européenne comme la France ne peut ignorer les règles de droit établies, dont l’opposabilité du droit de la concurrence. Celle-ci, dont la protection est constitutionnelle [20] et européenne [21], enjoint les personnes publiques à ne pas prendre de dispositions avalisant manifestement une pratique anticoncurrentielle [22] (et donc un avantage indu) sans qu’un intérêt public suffisant le justifie [23] et seulement si ces dispositions ou restrictions sont proportionnées.

La question se pose dès lors de la légalité de l’article 31, IV de la loi « SREN » qui prévoit d’intégrer dans les critères de « sécurité et de protection » la détention du capital des prestataires de service d’informatique en nuage. Le décret en Conseil d’Etat qui sera pris permettra certainement l’analyse de la proportionnalité, mais il convient de relever que par principe les investissements étrangers en France sont « libres ». Si des dérogations existent déjà, à ce titre l’article L151-3 du Code monétaire et financier prévoit déjà une procédure d’autorisation préalable lorsque la personne participe à l’exercice de l’autorité publique ou relève de certains domaines, la cohérence d’ensemble méritera d’être analysée. L’article R151-2 du Code monétaire et financier considère déjà que, selon le type de pays (les Etats-Unis ayant conclu une convention d’assistance administrative avec la France) seules les prises de contrôle les plus importantes doivent être autorisées par le ministère de l’économie [24]. L’articulation entre le Code monétaire et financier et la loi SREN sera impérative, il serait curieux qu’une l’Etat autorise la montée ou l’entrée au capital d’une entreprise dans des domaines stratégiques [25] pour finalement l’exclure de ses marchés, y compris ceux traitant de données « stratégiques » ou « sensibles ».
Sur la notion de proportion, l’Autorité de la concurrence estime dans son avis [26] récent concernant les marchés du « cloud » que la sécurité des systèmes d’information de l’Etat peut constituer un intérêt public suffisant pour porter atteinte au droit de la concurrence. Néanmoins, elle considère que l’élargissement des règles « SecNumCloud » à des acteurs et s’agissant de données actuellement non concernés, engendrerait une augmentation du risque de barrière à l’entrée du marché « cloud », et donc de risques anticoncurrentiels [27]. Nous revenons à l’incertitude du champ d’application de SecNumCloud (et des données concernées). Il découle de l’avis, qu’une lecture littérale de la loi conduirait à un risque important eu égard au droit de la concurrence.

En tout état de cause, l’idée ou l’espoir de se saisir des règles de protection en matière numérique pour renforcer une politique industrielle semble partagée. La CNIL, prenant position sur le sujet de l’immunité aux normes de droit extraterritoriales et de son importance pour la protection des données à caractère personnel [28], y voit une occasion de faire émerger des acteurs européens du « cloud » tout en protégeant souveraineté et vie privée (en y reprenant lecture de « données sensibles » plutôt conforme à une lecture restrictive). De son côté, l’Autorité de la concurrence voit cette norme comme une opportunité économique et concurrentielle (sous réserve de l’ampleur de son champ d’application) sur un marché plutôt concentré. Elle analyse que présentement, même si la certification « SecNumCloud » influence bel et bien le comportement de la demande, cette influence n’est pas de nature à bloquer l’entrée sur le marché du cloud, ni (pour le moment) à créer un nouveau marché pertinent. Plus encore, pour elle, les aides et subventions proposées par l’Etat, ainsi que la création d’un marché (ou sous-marché) d’accompagnement d’obtention de SecNumCloud sont, à priori, des éléments de diminution de l’atteinte concurrentielle [29].

Les efforts, même risqués, de mobiliser les armes juridiques précédemment énoncées méritent néanmoins d’être salués.

B – Multiplicité des labels, une conciliation difficile des souverainetés françaises et européennes.

La multiplicité des labels pose doublement question, la coexistence entre l’arrivée du label européen et l’existence de labels nationaux et l’empilement de label français (HDS, SecNumCloud).
Depuis une dizaine d’années, le nombre de référentiels et de normes relatifs aux services de confiance augmente très nettement. En effet, chaque Etat membre de l’UE crée ses propres référentiels ; citons en guise d’exemples : l’Allemagne (C5 : Cloud Computing Compliance Controls Catalogue), l’Italie ou encore l’Espagne (ENS) [30]. De son côté, la Commission européenne a toujours été attachée à la création de dispositifs susceptibles de favoriser l’émergence d’un marché commun et plus généralement facilitant les échanges transfrontaliers. Elle œuvre ainsi à l’émergence de bon nombre de normes européennes communes. Sur la question de l’informatique en nuage, dans la foulée du Cyber Act, un projet de certification appelé « EUCS » (European Cybersecurity Certification Schema for Cloud Services) est discuté pour homogénéiser les exigences en matière de cybersécurité des différents Etats membres.

Le projet européen de certification cloud a débuté en 2019. A ce jour, 3 niveaux de certification sont prévus : basique (minimisation des risques fondamentaux connus), substantiel (minimiser les risques connus et faire face à des acteurs disposant de ressources limitées) et élevé (minimiser les risques de cyberattaques de pointe). Le niveau élevé est subdivisé avec une catégorie 4 (élevé+) exigeant du prestataire que toutes les activités de traitement des données aient lieu au sein de l’UE, à moins que les clients n’acceptent certaines exceptions limitées. C’est sur ce niveau 4 que le référentiel SecNumCloud entend se positionner, malgré l’arrivée d’une certification européenne. C’est bien sur la question de l’immunité aux règles extraterritoriales notamment américaines, que les Etats européens sont en désaccords. Pour certains, la dépendance aux entreprises américaines est une situation de fait pour laquelle il n’y a pas de solution réelle et qu’ils n’appréhendent pas comme une atteinte à la souveraineté. Pour d’autres, la reprise de cette règle à l’échelle européenne est une nécessité.

En cas de défaite des partisans d’une souveraineté utilisant le droit national du numérique, le principe des compétences partagées [31] risquerait de conduire à une fin prématurée des obligations portées par l’article 31 de la loi SREN et dans une moindre mesure un coup de canif dans l’actuel label « SecNumCloud », qui serait aisément contourné (notamment par la dérogation de certification « équivalente ». En principe, la France sera tenue de notifier le décret d’application de l’article 31 à la Commission européenne. Cette dernière aura alors le loisir d’observer la conventionnalité du décret et de la lettre de la loi. Sans qu’on puisse garantir le résultat de cette analyse, notamment au regard du critère de détention de capitale. En cas d’illégalité, la Commission pourrait exiger la modification du texte et une loi portant diverses dispositions d’adaptation au droit de l’Union européenne serait prise pour l’intégration des remarques (et possiblement du nouveau label européen). Là où le bât blesse est que la volonté politique en France est de maintenir, même en cas d’un label européen et si celui-ci ne prenait pas en compte l’immunité aux règles extraterritoriales, des règles de protection de l’immunité.

Enfin, à l’échelon français nous constatons également une multiplication des labels confusante. Cette remarque n’est pas nouvelle, c’était le cas en 2014 ou les acteurs du plan cloud réclamait une unification des labels préexistants [32]. Aujourd’hui outre SecNumCloud, le label HDS « hébergeur de données de santé » devrait permettre l’hébergement de données de santé ou de grandes plateformes. Pourtant, les critiques de la récente décision de la CNIL de confirmer le choix de Microsoft comme hébergeur du Health Data hub notent cette ambiguïté et le risque de rendre les labels concurrents, voire antagoniste [33]. Peut-on être certifié comme pouvant héberger des données de santé, tout en étant considéré comme portant atteinte à l’une des conditions de la souveraineté française ?

En tout état de cause, il est dommage qu’il n’y ait pas de stratégie à l’échelle européenne, à l’instar de ce qui a pu être fait au niveau de l’aéronautique. Les divergences stratégiques des Etats sur la question de l’immunité aux règles extraterritoriales expliquent peut-être cette absence qui a néanmoins pour conséquence de mettre en concurrence les souverainetés des pays européens, dans un marché où, comme l’a soulevé le Conseil d’Etat, la taille « européenne » compte pour faire respecter ses choix politiques aux grandes entreprises.

Il semble impératif que des expériences comme celles de Lidl [34] se conjuguent avec leurs homologues français ou européens (OVH, Scalingo) pour renforcer leurs réussites respectives.

Pour conclure, nous devons noter les difficultés juridiques qu’induisent l’affirmation d’une souveraineté juridique limitant l’accès au marché européen. Outre les différentes approches et visions, elle peut faire l’objet d’une contestation intérieure comme extérieure sur l’étendue des données stratégiques, mais également sur la place des normes extraterritoriales.

D’une certaine manière, des approches de la souveraineté. En l’absence de définition claires au service d’une véritable stratégie industrielle européenne et justifié par un intérêt public européen, une telle entreprise parait délicate. La prise en charge de ce sujet par les politiques publiques parait néanmoins vitale pour l’industrie du numérique européenne.