B. LA FRANCE DISPOSE D'UN CADRE JURIDIQUE PRÉCURSEUR EN MATIÈRE DE PROTECTION DES DONNÉES DES ENTITÉS PUBLIQUES
Afin de se prémunir contre les risques d'interception de données européennes à la demande d'autorités étrangères, l'Union européenne et la France ont renforcé leur cadre juridique au cours des dernières années.
Au niveau communautaire, les exigences en matière de protection des données relèvent essentiellement du règlement général sur la protection des données2(*) (RGPD) qui interdit le transfert de données vers tout État tiers pour lequel la Commission n'aurait pas reconnu une équivalence de protection des données.
En France, depuis 2023, la doctrine « cloud au centre » prévoit le recours à des prestataires souverains et immuns aux législations étrangères pour l'hébergement des données sensibles des services et des organisations publiques. L'immunité des solutions d'hébergement contre toute règlementation extraterritoriale est notamment garantie par le recours à des offres disposant de la qualification SecNumCloud. Délivrée par l'agence nationale de sécurisation des systèmes d'information (ANSSI), cette certification atteste d'un haut niveau d'exigences d'un point de vue technique, opérationnel ou juridique et donc d'un niveau de sécurité globale, notamment en matière de protection face à l'application de lois extraterritoriales.
Par son article 31, la loi visant à sécuriser et réguler l'espace numérique (SREN)3(*) a transcrit ces obligations réglementaires au niveau législatif, faisant de la France le premier État de l'Union européenne s'étant doté d'un tel niveau de protection des données publiques.
Schéma de prise de décision concernant l'offre d'hébergement adapté selon la doctrine cloud au centre et l'article 31 de la loi SREN
Source : Direction interministérielle du numérique.
* 2 Règlement (UE) 2016/6709 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD).
* 3 Loi n° 2024-449 du 21 mai 2024 visant à sécuriser et réguler l'espace numérique.