Garantir et renforcer la souveraineté des données publiques : un défi majeur à relever
Les grandes entreprises de services numériques exercent actuellement un contrôle important sur les systèmes de gestion et d'hébergement des données, soulevant ainsi des interrogations quant à leur souveraineté (1), d’autant plus lorsqu’il s’agit de données publiques hébergées dans des centres d’hébergement privés. Il est aujourd’hui essentiel pour les institutions publiques de se doter de mécanismes puissants pour assurer la souveraineté de leurs données. C’est toutefois une démarche ardue, qui nécessite de mobiliser de nombreux leviers organisationnels, technologiques et règlementaires.
La protection des données sensibles, la confidentialité des informations et la préservation de l'autonomie des institutions publiques représentent des enjeux majeurs pour le secteur public. Comment relever ces défis et mettre en place des stratégies efficaces pour garantir et préserver la souveraineté des données publiques ?
La localisation des données : un élément essentiel
Composante primordiale de la souveraineté des données, la localisation des données permet non seulement lestockage des données dans une zone géographique précise, mais offre également un cadre réglementairedéfini qui vise à ériger des frontières dans l’espace numérique. Par ailleurs, en fonction du niveau de sensibilité des données, il pourrait être envisageable de recourir à des structures particulières : data centers locaux ou sauvegarde des données sur des supports physiques.
L’enjeu derrière cette localisation des données est de répondre à des questions majeures concernant l’usagedes données La localisation des données vise à garantir la maîtrise de l’usage et de l’accès aux données : qui y a accès ? Comment et entre quels pays circulent-elles ? Quel est leur degré de vulnérabilité ? Qui peut s’en servir, éventuellement contre nous ?
Cependant, il est important de souligner que la localisation des données sur le sol français se heurte à laproblématique de l’écosystème de services. Cet écosystème de services qui assure le maintien en condition opérationnelle des solutions d’hébergement est souvent situé en dehors du territoire, ce qui réduit la possibilité de garantir la souveraineté des données sur toute la chaine d’intervenants.
Une règlementation harmonisée au service de la protection des données
Pour assurer la souveraineté et la protection des données dans le secteur public, il est indispensable de mettre en place des normes et réglementations spécifiques. Entré en vigueur le 25 mai 2018, le Règlement Général sur laProtection des Données (RGPD)encourage la souveraineté des données en visant à rendre plus éthique et responsable le traitement des données personnelles par les organisations publiques et privées.
Hormis le Règlement Général sur la Protection des Données, il n'existe pas encore de normes internationalesharmonisées concernant la protection des données. Par exemple, le CLOUD Act (pour Clarifying LawfulOverseas Use of Data Act)permet aux autorités judiciaires américaines d'accéder aux données stockées à l’étranger par les entreprises américaines2. Face au défi de l’application des lois au-delà des juridictions nationales ou territoriales, le secteur public doit réfléchir à une logique de « coopération ». Les grandes entreprises américaines dominant l’écosystème global actuel, élaborer des alternatives viables n’est pas chose aisée. Face à ce constat et pour garantir la souveraineté de leurs données, l’ANSSI recommande aux acteurs du secteur public de choisirdes hébergeurs certifiés SecNumCloud. L’objectif de ce référentiel est d'assurer une « bonne hygiène informatique chez les prestataires et de protéger les données conformément au droit européen3 ».
Respecter les principes de transparence et de responsabilité
Transparence et responsabilité sont également des principes essentiels dans la gestion des données publiques. Latransparence implique que les modalités de traitement des données collectées, utilisées ou transforméessoient clairement communiquées aux personnes concernées. Cela signifie que les informations relatives au traitement des données doivent être facilement accessibles, compréhensibles et formulées en des « termes clairs et simples4 ».
La responsabilité du secteur public vis-à-vis des données qu’il traite dans le cadre du service fourni auxusagers renforce la confiance de ces derniers quant à l’usage qui en sera fait. Néanmoins, cette responsabilité demeure partagée avec l’usage. Ce dernier peut créer une distorsion dans la chaine de souveraineté en ayant recours à des solutions non-souveraine pour accéder aux plateformes numériques du service public. Par exemple, le fait de pouvoir associer des services publics et privés, en utilisant la même adresse électronique peut entraîner la perte de souveraineté des données au profit de pays qui appliquent leurs propres législations.
Garantir la protection et la sécurité des données
La dernière composante essentielle pour assurer la souveraineté des données est la protection de ces dernières. Lasouveraineté des données ne peut être garantie que si les données sont sécurisées: si les infrastructures qui hébergent ces données sont vulnérables, il est impossible de se déclarer souverain de ces données. Cette composante nécessite non seulement une attention sur le volet numérique (mise en place d’une ligne de cybersécurité appropriée), mais aussi sur le plan de la résilience informatique (« capacité à assurer la continuité du système d’information, même en cas d’incident ou de piratage5 »).
Pour garantir la sécurité de ces données, il faut également prendre en compte la « Triade CIA » (pour Confidentiality, Integrity, Availability). Tout d’abord, les mesures de confidentialité doivent respecter le modèle du « Zero Trust », « qui repose sur une authentification renforcée, empêchant tout accès ou transfert de données sur un réseau privé6 », et être en accord avec des normes de sécurité comme la certification SecNumCloud ou le dispositif SAIV, qui « vise à assurer la continuité des activités dont l'interruption porterait atteinte aux intérêts fondamentaux de la Nation7»). Les données doivent être disponibles pour répondre au besoin de continuité de service public. Enfin, il est nécessaire de protéger et préserver l’intégrité des données, par la mise en place de la redondance des donnéeset des systèmes de reprise entre les centres d’hébergement des données.
Pour garantir la souveraineté de ses données, le secteur public doit faire face à différents défis majeurs : la localisation des données, le respect et l’harmonisation des différentes règlementations, la garantie des principes de transparence et de responsabilité, ainsi que la sécurisation des données. Mais il faut également réussir à coordonner les différents niveaux d’action (politique, fournisseurs de services numériques, secteur public, autorités de contrôle). Pour assurer la souveraineté des données, il est nécessaire que tous les acteursparviennent à un niveau de maturité comparable sur cette question et qu’ils s’accordent sur une définitionclaire et commune.
1 La souveraineté des données désigne « le moyen pour des individus, des organisations, ou des pays de conserver, dans une certaine mesure, l’indépendance et le contrôle de leurs données » selon Couture & Toupin, « What does the notion of “sovereignty” mean when referring to the digital ? », in New Media & Society (2019).
2Article « CLOUD Act », LeMagIT
3 Article « SecNumCloud pour les fournisseurs de services de Cloud » (2023)
5 Article « Résilience informatique »