Les administrations peuvent-elles faire appel à un prestataire de cloud ?

La note d’information du 5 avril 2016 relative à l’informatique en nuage (cloud computing) rédigée par le directeur général des collectivités locales et le directeur chargé des archives de France avait fait couler beaucoup d’encre. En effet, les bonnes pratiques présentées dans cette note pouvaient laisser penser que les entités souhaitant souscrire à un service de cloud pour y verser des archives publiques (cf. lire l’article relatif à la notion d’archives publiques) devaient recourir obligatoirement aux services d’un cloud souverain.

Qu’est-ce qu’un cloud souverain ?

Selon la note du 5 avril 2016, il s’agit d’un « modèle de déploiement dans lequel l’hébergement et l’ensemble des traitements effectués sur des données par un service de cloud sont physiquement réalisés dans les limites du territoire national par une entité de droit français et en application des lois et normes françaises ».

Pour rappel, l’article R212-23 du Code du patrimoine prévoit que toute entreprise souhaitant assurer la conservation d’archives publiques et bénéficier de l’agrément délivré par le SIAF doit notamment conserver sur le territoire national les archives qui lui sont confiées.

Toutefois, il convient de distinguer les prestations de tiers-archivage d’autres types de prestations. A titre d’illustration et comme rappelé par la sous-direction de la politique archivistique des Archives de France sur son site d’information, la prestation qui consiste à héberger une application proposée en mode SaaS dans le cadre de laquelle des archives publiques pourraient être stockées, pour les besoins du service, n’est pas soumise à l’obtention d’un agrément SIAF.

Sur ce site d’information, il est précisé dans un article du 8 juin 2016 que « Dans la sphère des administrations, il convient de différencier le cloud computing d’une conservation externalisée d’archives publiques courantes et intermédiaires sur support numérique, qui est soumise à l’agrément du SIAF.

[…], le cloud est une notion générique qui peut prendre la forme de réalités très diverses, de la mise à disposition d’espaces de stockage à l’hébergement d’une application proposée en mode service à des utilisateurs. Ces plates-formes métier hébergées dans le cloud, pour la plupart, ne conservent pas des archives publiques mais se contentent de les stocker pour les besoins des services qui les utilisent. La conservation diffère du simple stockage dans le sens où elle met en œuvre l’ensemble des mécanismes d’intégrité, de traçabilité, de confidentialité et de pérennisation qui sont le propre d’un SAE. En somme, seul un système qui, reposant sur du cloud, dispose de fonctionnalités assimilées à du tiers-archivage numérique rentre dans le champ d’application de l’agrément SIAF. ».

En conclusion, en cas d’externalisation de la conservation d’archives publiques, seul un prestataire de cloud souverain pourra être choisi. Dès lors, il convient de garder à l’esprit que cela implique notamment que les redondances ne soient pas réalisées sur des serveurs étrangers…

Comment externaliser la conservation des archives publiques ?

Les producteurs d’archives publiques peuvent externaliser leur conservation sur support papier et sur support numérique, sous réserve du respect de certains critères. A noter que seules les archives courantes et intermédiaires peuvent faire l’objet d’une externalisation, à l’exclusion des archives définitives.

Les prestataires de tiers-archivage à qui les administrations souhaitent confier leurs archives publiques doivent être agréés à cet effet. C’est le SIAF qui instruit les demandes d’agrément de ces prestataires. Ces opérations de délivrance de l’agrément sont assurées par délégation par les directeurs des services départementaux d’archives ou par les missions du SIAF auprès des ministères. L’agrément est soumis à des exigences précises (normes des espaces de stockage, compétence des personnels, etc.). Il est accordé pour une durée de cinq ans pour la conservation d’archives papier et de trois ans pour celles des données électroniques.

Le saviez-vous ?

Comme prévu par l’article R1111-16 du Code de la santé publique, l’agrément accordé pour la conservation d’archives papier permet également, sous réserve du respect de certaines exigences légales, la conservation de données de santé (sur support papier évidemment).

Toute externalisation doit faire l’objet, par le producteur d’archives publiques, d’une déclaration préalable auprès de l’administration des archives. A noter que toute destruction d’une archive externalisée doit également faire préalablement l’objet d’une déclaration de destruction à la personne chargée du contrôle scientifique et technique de l’Etat sur les archives. Les autorisations d’externalisation et/ou de destruction alors délivrées par le SIAF devront être adressées au prestataire de tiers-archivage.

En outre, toute externalisation doit faire l’objet d’un contrat de dépôt. Ce contrat de dépôt doit contenir des clauses énumérées à l’article R212-22 du Code du patrimoine. Une fois rédigé, ce contrat de dépôt sera soumis au contrôle de l’administration des archives, qui dispose d’un délai d’un mois pour formuler ses observations éventuelles. La signature du contrat ne pourra intervenir qu’à l’expiration de ce délai.

Mathias Avocats se tient à votre disposition pour vous accompagner dans le cadre de la négociation et de la rédaction de tout contrat relatif à des prestations de cloud computing.