Les collectivités locales doivent héberger leurs documents numériques sur le territoire national chez un prestataire de droit français. C’est ce qui ressort d’une note consignée par la Direction générale des collectivités locales du ministère de l’intérieur et par la Direction générale des patrimoines du ministère de la culture et de la communication et mise en ligne par NextImpact. « L’Etat a été saisi à plusieurs reprises par des collectivités territoriales envisageant de souscrire à une offre de cloud ciomputing auprès de l’un des grands acteurs internationaux du secteur. Dans ce cadre il semble utile de compléter par la présente note le guide sur le cloud computing et les datacenters à l’attention des collectivités locales, publié par la Direction Générale des Entreprises (DGE), la Caisse des Dépôts et le Commissariat Général à l’Egalité des Territoires (CGET), afin de préciser le cadre légal autorisé », précise la note. Les documents et données numériques produits par les collectivités territoriales sont des archives publiques et à ce titre considérés comme des trésors nationaux « en raison de l’intérêt historique qu’elles présentent ou son susceptibles de présenter » et relèvent du régime des trésors nationaux « dès leur création ». Or un trésor national ne peut pas sortir du territoire français sinon à titre temporaire et dans certains cas précis (exposition, restauration, expertise…). De ce fait, le recours à un cloud « non souverain, qui, par définition, ne permet pas de garantir que l’ensemble des données sont stockées et traitées sur le territoire français, est donc illégale » pour lesdites collectivités.
Le document précise encore qu’avant de mettre en oeuvre un projet de cloud computing, les collectivités doivent se reporter aux recommandations de la CNIL et de l’ANSSI (Agence nationale de la sécurité des systèmes d’information). Cette dernière, en coopération avec l’AFNOR, prépare un référentiel d’exigences destinés aux fournisseurs de services cloud en matière de compétences des personnes, contrôle d’accès et gestion des identités, cryptologie, sécurité liée à l’exploitation et à la gestion des incidents liés…Les entreprises qui répondront à ces exigences se verront attribuer le label Secure Cloud. Le référentiel devrait être opérationnel dans les prochains mois. Une fois son choix fait, la collectivité doit encore prévoir dans son contrat des clauses liées à la localisation, la sécurité, la traçabilité, la réversibilité, la portabilité et l’élimination des données dans le système. Enfin, dans le cas du choix d’un cloud public, elle doit s’assurer de la séparation logique entre ses données et celles d’autres clients.