Résumé
Le propriétaire des données reste responsable du respect des exigences du Règlement Général sur la Protection des Données (RGPD) hébergées dans le cloud souverain. De plus, il doit s’assurer que l’hébergeur les respecte également.
La doctrine « Cloud au centre » impose l’utilisation du cloud pour les projets numériques de l’État tout en respectant la cybersécurité et la protection des données des citoyens et des entreprises, en favorisant l’utilisation du cloud interne de l’État ou de clouds commerciaux qualifiés SecNumCloud.
La Circulaire n° 6282-SG du 5 juillet 2021 recommande l’utilisation de solutions cloud souveraines et de prestataires qualifiés pour assurer la sécurité et la confidentialité des données dans les administrations publiques.
Lorsque les données sont hébergées dans le cloud souverain, le propriétaire des données reste responsable du respect des exigences RGPD
Si une entreprise ou une organisation confie ses données personnelles à un hébergeur dans le cloud, elle reste responsable de leur traitement. Par conséquent, elle doit s’assurer que cet hébergeur respecte les exigences du RGPD et de la Loi Informatique et Libertés.
Si l’hébergement est réalisé dans un cloud hébergé en France et soumis à la législation française en matière de protection des données, cela peut faciliter la mise en conformité avec la réglementation, en permettant d’avoir une meilleure maîtrise des données personnelles, une meilleure visibilité sur leur traitement et un recours plus facile aux autorités compétentes en cas de problème.
Pour autant, l’entreprise ou l’organisation doit toujours vérifier que les clauses contractuelles encadrent suffisamment les prestations et les engagements de l’hébergeur en matière de sécurité et de confidentialité des données.
La circulaire n°6282-SG du 5 juillet 2021 et l’administration : privilégier les solutions cloud de type « souverain » de prestataires qualifiés
La Circulaire n° 6282-SG du 5 juillet 2021 a pour objet la doctrine d’utilisation du Cloud Computing par l’État. Elle vise à définir les orientations stratégiques et les règles de sécurité à respecter pour l’utilisation de ce type de technologie dans les administrations publiques.
Cette circulaire rappelle que l’utilisation du Cloud Computing doit être encadrée par une politique de sécurité et de gestion des risques adaptée aux enjeux et aux spécificités de chaque administration et recommande de veiller à la protection des données à caractère personnel et à la confidentialité des informations échangées.
Elle précise les différents niveaux de sécurité requis en fonction de la classification des données manipulées, des services proposés par les fournisseurs de services cloud et rappelle la nécessité de réaliser une évaluation des risques avant toute migration de services vers le cloud.
La doctrine « Cloud au centre » ou comment respecter la cybersécurité et la protection des données des citoyens et des entreprises
La doctrine « Cloud au centre » (juillet 2021), adoptée par le gouvernement français impose le cloud pour tout nouveau projet numérique au sein de l’État et pour toute refonte substantielle de l’architecture existante d’un site. Son objectif : accélérer la transformation numérique de l’administration, tout en respectant la cybersécurité et la protection des données des citoyens et des entreprises.
Les produits numériques des administrations doivent donc être hébergés sur l’un des cloud interministériels internes de l’État, ou sur les offres de cloud commercial satisfaisant des critères stricts de sécurité : tout produit numérique manipulant des données sensibles doit en effet être hébergé sur le cloud interne de l’État ou sur un cloud commercial qualifié SecNumCloud par l’ANSSI pour être protégé contre certaines réglementations extracommunautaires.
En somme, la réglementation française sur la protection des données adopte une doctrine complète renforçant la souveraineté de l’État, la protection des données des citoyens, tout en favorisant une transformation numérique de qualité des administrations.
À vous de choisir
Si vous souhaitez explorer les avantages d’un cloud souverain et de confiance, nous vous encourageons à nous contacter pour en savoir plus sur la façon dont nous pouvons vous accompagner. Grâce à nos experts, nous pouvons vous aider à tirer pleinement parti des avantages d’un cloud souverain et de confiance.
A propos de NumSpot
NumSpot est un acteur du cloud souverain et de confiance. Né de la volonté de 4 entreprises françaises de premier plan des secteurs public et privé (Banque des Territoires, Docaposte, Dassault Systèmes et Bouygues Télécom), NumSpot propose une offre de cloud indépendant, souverain et robuste adossé au IaaS d’OUTSCALE qualifié SecNumCloud. NumSpot est un cloud réversible et transparent, basé principalement sur l’open source et des solutions européennes. L’offre NumSpot s’adresse prioritairement aux secteurs confrontés à une forte sensibilité des données (secteur public, santé, services financiers et assurance, OIV et OSE) en France et en Europe, et à la recherche d’une solution souveraine et de confiance en accord avec les règlementations RGPD et européennes. NumSpot fait ainsi le choix d’œuvrer pour l’intérêt général en proposant un véritable pacte de confiance entre un fournisseur de cloud, ses clients et les citoyens européens.