La souveraineté numérique désigne le contrôle qu’une organisation exerce sur ses données, ses usages de l’informatique et ses infrastructures numériques.
En clair, cela signifie surtout :
– Être au mieux protégé du vol de données par des entités extérieures (surtout quand ces données sont particulièrement sensibles, comme des données sur la santé, la situation économique, ou la vie privée des citoyens)
– Limiter au plus le risque de cyberattaque (qui peuvent empêcher la continuité du service public en bloquant certaines infrastructures et donc fortement nuire au quotidien des citoyens)
– Garder le contrôle sur les infrastructures numériques critiques comme les data centers, serveurs, satellites, logiciels… (par exemple, une collectivité utilisant des serveurs hébergés à l’étranger peut perdre le contrôle si le pays hôte impose des restrictions ou en cas de tension géopolitique.)
Comment assurer sa souveraineté numérique ?
Il existe plusieurs règles simples à suivre pour assurer sa souveraineté numérique :
– Maitriser ses données : pour cela, il faut toujours s’assurer de stocker ses données dans des serveurs en France ou en Europe, soumis au cadre protecteur du RGPD. Les collectivités peuvent notamment utiliser les clouds certifiés SecNumCloud (certification délivrée par l’ANSSI) qui assurent un haut niveau d’exigence en matière de sécurité, de confidentialité et de gouvernance.
– Réduire sa dépendance extérieure : notamment en utilisant des logiciels libres ou en open source (afin de pouvoir les auditer, adapter et héberger soi-même) et des infrastructures numériques localisées en France ou en Europe.
– Se protéger contre les cyberattaques : en mettant en place une politique active de cybersécurité : audits, tests, mises à jour régulières, pare-feux, authentification forte, formation du personnel aux gestes de cybersécurité. Mais aussi en ayant une redondance des systèmes pour limiter les potentiels blocages causés par une cyberattaque.
Les subtilités juridiques et réglementaires
La souveraineté numérique engage plusieurs textes fondamentaux pour les collectivités territoriales.
Le RGPD rend responsables les collectivités locales du traitement des données personnelles de leurs citoyens, ce qui impose donc aux collectivités de garantir la sécurité, la confidentialité et la localisation contrôlée de leurs données. Les données doivent donc être traitées dans des pays offrant un niveau de protection équivalent à celui de l’UE. Si une collectivité utilise un prestataire non européen (Ex : Microsoft 365, Google Workspace), elle reste juridiquement responsable en cas de fuite ou d’accès illégal, même si le prestataire est en faute. De même, l’usage d’un cloud soumis à des lois extraterritoriales (comme le Cloud Act américain) peut donc mettre la collectivité en infraction, même sans fuite avérée.
Le Cloud Act américain prévoit qu’une entreprise américaine (même hébergeant ses données en Europe) peut être obligée de transmettre ses données au gouvernement des États-Unis. Ainsi, si la collectivité stocke ses données en France, mais que le prestataire est américain (Ex : Microsoft, Google), ces données peuvent théoriquement être accessibles aux autorités américaines.
La loi « Informatique et Libertés » complète le RGPD à un niveau national. La CNIL a déjà sanctionné des collectivités locales, notamment pour usage de Google Analytics ou Microsoft Office 365 sans garantie suffisante de souveraineté.