Résumé
Le propriétaire des données reste responsable du respect des exigences du Règlement Général sur la Protection des Données (RGPD) lorsqu’elles sont hébergées dans le cloud souverain. De plus, il doit s’assurer que l’hébergeur respecte ces exigences.
La doctrine « Cloud au centre » impose l’utilisation du cloud pour les projets numériques de l’État tout en respectant la cybersécurité et la protection des données des citoyens et des entreprises, en favorisant l’utilisation du cloud interne de l’État ou de clouds commerciaux qualifiés SecNumCloud.
La Circulaire n° 6282-SG du 5 juillet 2021 recommande l’utilisation de solutions cloud souveraines et de prestataires qualifiés pour assurer la sécurité et la confidentialité des données dans les administrations publiques.
Lorsque les données sont hébergées dans le cloud souverain le propriétaire des données reste responsable du respect des exigences RGPD
Lorsqu’une entreprise ou une organisation confie ses données personnelles à un hébergeur dans le cloud, elle reste responsable de leur traitement. Par conséquent, elle doit s’assurer que cet hébergeur respecte les exigences du RGPD et de la Loi Informatique et Libertés.
Si l’hébergement est réalisé dans un cloud souverain, c’est-à-dire un cloud hébergé en France et soumis à la législation française en matière de protection des données, cela peut faciliter la mise en conformité avec la réglementation. En effet, cela permet d’avoir une meilleure maîtrise des données personnelles, une meilleure visibilité sur leur traitement et un recours plus facile aux autorités compétentes en cas de problèmes.
Cependant, cela ne dispense pas l’entreprise ou l’organisation de vérifier que les clauses contractuelles encadrent suffisamment les prestations et les engagements de l’hébergeur en matière de sécurité et de confidentialité des données.
La doctrine « Cloud au centre » : respecter la cybersécurité et la protection des données des citoyens et des entreprises
La doctrine « Cloud au centre » (juillet 2021) adoptée par le gouvernement français impose le cloud pour tout nouveau projet numérique au sein de l’État et toute refonte substantielle de l’architecture existante d’un site. L’objectif est d’accélérer la transformation numérique de l’administration tout en respectant la cybersécurité et la protection des données des citoyens et des entreprises.
Les produits numériques des administrations doivent donc être hébergés sur l’un des cloud interministériels internes de l’État, ou sur les offres de cloud commercial satisfaisant des critères stricts de sécurité. Tout produit numérique manipulant des données sensibles doit en effet être hébergé sur le cloud interne de l’État ou sur un cloud commercial qualifié SecNumCloud par l’ANSSI. Il est alors protégé contre certaines réglementations extracommunautaires.
Des agents de l’Etats formés au cloud
Les recrutements et les programmes de formation continue destinés aux agents publics dans la filière économique comportent désormais un volet Cloud qui leur permet de mieux appréhender les enjeux et réglementations liés au Cloud et à la cybersécurité. En somme, la réglementation française sur la protection des données adopte une doctrine complète qui renforce la souveraineté de l’État, la protection des données des citoyens, tout en favorisant une transformation numérique de qualité des administrations.
A propos de NumSpot
NumSpot est un acteur du cloud souverain et de confiance. Né de la volonté de 4 entreprises françaises de premier plan des secteurs public et privé (Banque des Territoires, Docaposte, Dassault Systèmes et Bouygues Télécom), NumSpot propose une offre de cloud indépendant, souverain et robuste adossé au IaaS d’OUTSCALE qualifié SecNumCloud. NumSpot est un cloud réversible et transparent, basé principalement sur l’open source et des solutions européennes. L’offre NumSpot s’adresse prioritairement aux secteurs confrontés à une forte sensibilité des données (secteur public, santé, services financiers et assurance, OIV et OSE) en France et en Europe, et à la recherche d’une solution souveraine et de confiance en accord avec les règlementations RGPD et européennes. NumSpot fait ainsi le choix d’œuvrer pour l’intérêt général en proposant un véritable pacte de confiance entre un fournisseur de cloud, ses clients et les citoyens européens.
