Recevez chaque jour toute l'actualité du numérique

x

L'offre cloud Microsoft 365 bannie des ministères pour protéger "les données sensibles"

Vu ailleurs Le cloud oui, celui de Microsoft non. Voilà comment on pourrait résumer la doctrine gouvernementale sur l'hébergement de données au sein des ministères. Il est désormais interdit aux agents publics d'utiliser Microsoft 365, suite bureautique hébergée sur le cloud, sauf pour les projets de migration déjà très avancés. Cette interdiction vise à protéger "les données sensibles" des griffes des autorités américaines.
Twitter Facebook Linkedin Flipboard Email
×

L'offre cloud Microsoft 365 bannie des ministères pour protéger les données sensibles
L'offre cloud Microsoft 365 bannie des ministères pour protéger "les données sensibles" © Microsoft

Poussés vers le cloud depuis plusieurs années, les ministères ne doivent pas confier leurs données à n'importe quelle entreprise. Le directeur interministériel du numérique (Dnium), Nadi Bou Hanna, a publié une circulaire le 15 septembre, consultée par Acteurs publics, indiquant que l'offre Microsoft 365 (anciennement Office 365) n'est pas "conforme à la doctrine Cloud au centre". 

Protéger les données des Etats-Unis
Cette doctrine présentée en mai dernier impose aux ministères et administrations de recourir uniquement à des clouds sécurisés et immunisés contre les réglementations extracommunautaires. Dans la ligne de mire du gouvernement : les Etats-Unis qui, grâce au CLOUD Act, peuvent ordonner la divulgation des données stockées en Europe par des entreprises américaines quelle que soit leur localisation. Et Microsoft 365 est bien évidemment hébergé sur Azure, la solution de cloud computing de Microsoft. 

Comme le précise Acteurs publics, les agents publics pourront toujours utiliser les logiciels contenus dans la suite Office mais ne pourront bénéficier de leur version cloud. "Les solutions collaboratives, bureautiques et de messagerie proposées aux agents publics relèvent des systèmes manipulant des données sensibles (...)", argue le directeur interministériel pour justifier l'interdiction.

En pratique, sont concernées "des données personnelles des citoyens français, des données économiques relatives aux entreprises françaises, ou d'applications métiers relatives aux agents publics de l'Etat", précise le Dnium.   

Des dérogations pour les projets avancés
Mais la doctrine gouvernementale est assortie de dérogations. Ainsi, les projets de migration "très avancés au 5 juillet 2021" pourront demander une dérogation de 12 mois à leur ministre pour les "seuls services de messagerie et de drive personnel". Ces deux services dérogent à la règle car ils ne sont pas encore ouverts par "le sac à dos numérique de l'agent public" (Snap). Il s'agit d'un environnement de travail numérique s'appuyant uniquement sur des solutions françaises et open source. Il devrait être lancé début 2022.

En revanche, cette dérogation ne concerne pas les services “documentaires, collaboratifs, de messagerie instantanée, d’audioconférence, de visioconférence et de webinaire, qui sont couverts par l’offre interministérielle Snap, déjà conforme à Cloud au centre ou en passe de le devenir très prochainement”, précise Nadi Bou Hanna. 

Se tourner vers les offres "SecNumCloud"
En remplacement, les ministères sont tenus d'utiliser la solution cloud interne de l'Etat ou une offre ayant reçu le label "SecNumCloud" délivré par l'Agence nationale de la sécurité des systèmes d'information (Anssi). A l'heure actuelle, seules trois entreprises – Oodrive, 3DS Outscale, OVHcloud – ont reçu ce précieux sésame pour certaines de leurs activités.

Les agents publics pourront également recourir aux offres de Bleu, une société créée par Orange et Capgemini. A travers cette structure, Microsoft pourra proposer les suites de collaboration et de productivité Microsoft 365 ainsi que l’ensemble des services de la plateforme cloud Microsoft Azure.

Les trois partenaires affirment que les autorités américaines ne pourront pas accéder aux données stockées par les solutions commercialisées par leur société car Capgemini et Orange seront les investisseurs majoritaires. De plus, toutes les données seront hébergées dans des data centers situés en France, séparés des data centers de Microsoft. 

La Cnil dit non aux outils collaboratifs américains
La Commission nationale de l'informatique et des libertés (Cnil) a pris une position similaire fin mai dernier. En réponse à la Conférence des grandes écoles (CGE) et la Conférence des présidents d’université (CPU), elle estimait qu'il était désormais nécessaire de trouver des solutions alternatives aux outils collaboratifs édités par des entreprises américaines dans l'enseignement supérieur et de la recherche. Dans certains cas, "des transferts de données personnelles vers les États-Unis dans le cadre de l’utilisation des suites collaboratives pour l’éducation" peuvent se produire, alertait l'autorité française. 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.