Dans un rapport, la Cour des comptes revient sur la stratégie de souveraineté numérique de la France en soulignant quelques incohérences. Elle donne des recommandations autour de la sensibilité des données et de la rationalisation des clouds interministériels.
Le sujet de la souveraineté monte en puissance en France et en Europe, et la Cour des comptes vient apporter son tribut au débat en publiant un rapport sur « Les enjeux de souveraineté des systèmes d’informations civils de l’Etat ». Dans ce document, la juridiction administrative et financière dresse un constat mitigé sur la doctrine et la stratégie de l’Etat en la matière. En préambule, elle constate que la France, mais plus globalement l’Europe, a perdu la bataille sur la partie matériels et logiciels. A ceci s’ajoute les inquiétudes autour de « la grande opacité » des lois extraterritoriales (Cloud Act, section 702 du FISA,…).
Seul axe pour garantir une vraie souveraineté numérique, la maîtrise des données sensibles, qui trouve toute son importance avec le développement des offres cloud nationales. La Cour des comptes salue la doctrine cloud au centre décidée en juillet 2021, mais constate que les évolutions ont limité les exigences de protection des données. Sur la partie cloud, les juges regrettent l’absence de convergence des deux clouds ministériels existants (Nubo pour le ministère des Finances et Pi pour le ministère de l’Intérieur). Ils « restent peu utilisés, non seulement par les services des ministères qui les ont créés, mais aussi par les autres administrations ». Et d’ajouter, « la gamme des services offerts demeure limitée (en termes de disponibilité, d’expérience utilisateur ou de capacité à recourir à l’intelligence artificielle) et leur tarification apparaît inadaptée ».
Des incohérences sur la définition des données sensibles
Le problème de cohérence est également cité par la Cour des comptes sur la définition de la sensibilité des données. Ainsi, elle cite l’exemple du SIRH nommé Virtuo du ministère de l’Education nationale qui est opéré en mode cloud par une entreprise appartenant à un groupe américain. Le ministère a estimé que les données traitées ne rentraient pas dans les obligations nécessitant un cloud de confiance.
Autre exemple, « le portail public chargé de la généralisation de la facturation électronique, porté par le ministère des finances, est hébergé dans un environnement souverain. En revanche, tel n’est pas encore le cas de la plateforme d’achat public ». Bien évidemment, il y a le cas emblématique du Health Data Hub pour des données médicales, qui a retenu Azure de Microsoft comme hébergement.
La Dinum et l’Anssi mises à contribution
Fort de ces constats, la Cour des comptes émet cinq recommandations à l’attention de l’Etat. Elle souhaite que la Dinum (direction interministérielle du numérique) mette en place en 2026 – avec les ministères – un calendrier de déploiement d’outils de bureautique et de communication respectant la souveraineté des données. Elle devra par ailleurs s’atteler à la convergence des clouds ministériels et s’assurer de la souveraineté des hébergeurs de données de santé en rapprochant la certification de ces derniers à la qualification SecNumCloud de l’Anssi.
L’Agence de la sécurité des systèmes d’information est mise également à contribution avec la Dinum pour réaliser l’année prochaine une cartographie de l’ensemble des données sensibles à héberger de manière souveraine. L’objectif de l’ensemble de ces propositions est d’avoir une stratégie plus lisible et efficace dans le domaine de l’autonomie numérique de l’Etat.