Collectivités territoriales : Obligations légales pour les échanges de documents

Les collectivités territoriales sont soumises à des exigences légales qui interdisent l'utilisation des solutions internationales comme Wetransfer®, DropBox®, GoogleDrive®, Box®, etc.

Risque legal partage fichier transfert documentsNote d'information n°2016/004 du 5 avril 2016 du directeur général des collectivités locales et le directeur chargé des Archives de France

"Toutes les données numériques produites par les collectivités territoriales relèvent du régime juridique des archives publiques et ne peuvent pas sortir du territoire douanier français. L’utilisation d’un cloud non souverain (...) est donc illégal."

Cette note sur la loi applicable aux espaces de stockage et à l’archivage électronique est publiée page 43 du Bulletin Officiel N°258 mai 2016* à consulter ici (cliquez) et en copie* intégrale ci-dessous.

RGPD : Règlement Général sur la Protection des Données

RÈGLEMENT du PARLEMENT EUROPÉEN (UE) 2016/679 et du CONSEIL de l'EUROPE du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Doit être appliqué le 25 mai 2018.

Information sur le risque N°1 avec le RGPD et la façon de le prévenir en cliquant ici.

J-Doc est la solution qui permet aux collectivités territoriales
de partager des documents sur internet conformément aux
exigences réglementaires françaises et européennes. 

D'autres informations importantes pour les collectivités

A côté des exigences légales, les raisons objectives qui vous obligent à être prudent sont exposées ici.

 

 

* COPIE de la Note d’information n° 2016/004 du 5 avril 2016 relative à l’informatique en nuage (cloud computing).

Le directeur général des collectivités locales et le directeur chargé des Archives de France
à  Mmes et MM. les préfets de région et Mmes et MM. les préfets de département.

Réf SIAF : DGP/SIAF/2016/006
NOR : MCCC1614354C

Contexte
L’État a été saisi à plusieurs reprises par des collectivités territoriales envisageant de souscrire à une offre de cloud computing auprès de l’un des grands acteurs internationaux du secteur. Dans ce cadre, il semble utile de compléter par la présente note le Guide sur le cloud computing et les datacenters à l’attention des collectivités locales(1), publié par la direction générale des entreprises (DGE), la caisse des dépôts et le commissariat général à l’égalité des territoires (CGET), afin de préciser ce que le cadre légal autorise.

Le cloud computing est un mode d’organisation consistant à donner accès, par un réseau, à des ressources informatiques physiques et/ou virtuelles, distantes et adaptables aux besoins du client(2). De nombreux services logiciels peuvent être proposés en mode cloud : messageries et agenda électroniques, logiciels métier, espaces de stockage, système d’archivage électronique(3).… On distingue généralement deux principaux types de cloud : le cloud « public » et le cloud « privé ». On ajoutera à ces notions celle de cloud « souverain », c’est-à-dire un cloud dont les données sont entièrement stockées et traitées sur le territoire français(4).

Cadre juridique applicable
Les documents et données numériques produits par les collectivités territoriales relèvent du régime juridique des archives publiques dès leur création(5).
Cela recouvre aussi bien les dossiers sur support papier numérisés que les documents bureautiques issus d’un logiciel de traitement de texte, le contenu d’une base de données ou encore les courriels transmis ou reçus par une collectivité territoriale.
Toutes les archives publiques sont par ailleurs des trésors nationaux(6) en raison de l’intérêt historique qu’elles présentent ou sont susceptibles de présenter.
Les données numériques des collectivités relèvent donc du régime des trésors nationaux dès leur création.
Or, la qualité de trésor national impose un régime de circulation contraignant. Un trésor national ne peut pas sortir du territoire douanier français, sinon à titre temporaire et après autorisation du ministère de la Culture et aux seules « fins de restauration, d’expertise, de participation à une manifestation culturelle ou de dépôt dans une collection publique »(7). Tous les autres traitements doivent intervenir sur le territoire national.
L’utilisation d’un cloud non souverain, qui, par définition, ne permet pas de garantir que l’ensemble des données sont stockées et traitées sur le territoire français, est donc illégale pour toute institution produisant des archives publiques, dont les collectivités territoriales, leurs groupements et leurs établissements publics.

Bonnes pratiques
Si une collectivité territoriale désire souscrire une offre de cloud, elle pourra ainsi s’orienter uniquement vers une offre de cloud souverain, en prenant soin de prévoir des clauses liées à la localisation, la sécurité, la confidentialité, la traçabilité, l’auditabilité, la réversibilité, la portabilité et l’élimination des données dans le système. Si l’offre choisie est une offre de cloud public, elle veillera également à ce que la séparation logique des données par rapport à celles d’autres clients soit garantie.
Du fait de leur mission de contrôle scientifique et technique sur les archives publiques produites dans chaque département(8), les services d’archives départementales peuvent être sollicités par les collectivités territoriales pour être accompagnées dans la mise en œuvre de ces dispositions(9).
Enfin, avant la mise en œuvre de tout projet de cloud, il convient de se reporter aux recommandations établies par la Commission nationale de l’informatique et des libertés(10) sur le sujet, ainsi qu’a celles de l’Agence nationale de la sécurité des systèmes d’information, dans le cadre de l’élaboration du futur label Secure cloud(11).

Le directeur général des collectivités locales,
    Bruno Delsol
Le directeur chargé des Archives de France,
    Hervé Lemoine