Destinée à actualiser la doctrine « Cloud au centre » de l’Etat, la circulaire n° 6404/SG pose 15 règles que l’Etat et les organismes placés sous sa tutelle devront respecter. Etant rattachés à l’Etat, les établissements de santé publics sont concernés. Et nul doute que c’est, au moins en partie, en considération de cela que la règle n° 9 a été élaborée.
Elle commence par imposer la conformité au RGPD, notamment pour les transferts de données hors UE, et ce y compris lorsqu’il concerne les données relatives à des agents publics. Désormais classique, ce rappel d’une obligation légale préexistante fait écho à une publication de mai 2021. La CNIL y avait précisé que le recours à des outils de télécommunication extraeuropéens était exclu par définition, les données des agents et métadonnées ne pouvant être chiffrées. La « recommandation » de la CNIL étant de toute évidence restée lettre morte, celle du Premier Ministre aura-t-elle plus de chance?
Le texte poursuit en évoquant l’HDS. Mais à l’instar de l’ANS – qui avait annoncé une réflexion sur le sujet fin 2020 – aucune position claire n’est prise quant aux services extra européens, mais bénéficiant de ladite certification. Affiner la doctrine, peut-être, mais pas l’éclaircir.
Faux, pourrait-on rétorquer à la lecture du paragraphe suivant, imposant de respecter la qualification SecNumcloud – mais pas de l’avoir obtenu! – pour le traitement de données couvertes par le secret médical. Alors oui, la version 3.2 de ce référentiel – endossé par le référentiel HDS v2 en projet – comporte des exigences d’immunité aux lois extraeuropéennes. Mais pour les SIE comme pour l’HDS, le prestataire devra alors se livrer à une appréciation des risques sur le sujet, notamment, et pourra en accepter des « résiduels ». L’adjectif ne doit pas tromper: résiduel ne signifie pas « léger », mais qui demeure après traitement du risque.
Réglementer par renvoi à des textes qui ne règlent pas la question étiole la doctrine de l’Etat, plus qu’il ne l’affine.
Ceci étant, le premier acte souverain n’eût-il pas été d’évoquer la traduction parue au Journal officiel du 24 avril 2010 et du 6 juin 2010 du terme « Cloud computing »?