Le contexte
Mi-septembre était publiée une note de la Direction Numérique de l’État à tous les Secrétaires Généraux des Ministères. Elle s’appuie sur deux références : la circulaire 6282-SG du 5 juillet 2021 relative à la doctrine d’utilisation de l’informatique en nuage par l’État et sur le référentiel d’exigences SecNumCloud de l’ANSSI, complété par une exigence d’immunisation contre les réglementations extra-communautaires.
Le 15 octobre 2021, l’ANSSI a publié un appel public à commentaire pour une version (v3.2.a) de son référentiel SecNumCloud, intégrant l’exigence d’immunisation pré-citée. L’ANSSI est très claire : il s’agit de mettre le référentiel à l’heure de la protection des données à caractère personnel, et en particulier du RGPD. Derrière plane clairement l’arrêt Schrems II de la CJUE du 16 juillet 2020 et le risque de transfert par le simple recours à un prestataire soumis à l’extraterritorialité de lois non-UE.
Le contenu
Pour simplifier, voici les apports significatifs de cette v3.2.a :
§5.3.d) Le prestataire doit lister, dans un document spécifique, les risques résiduels liés à l’existence de lois extraterritoriales ayant pour objectif la collecte de données ou métadonnées des commanditaires sans leur consentement préalable.
§19.6. Immunité au droit extracommunautaire
a) Le siège statutaire, administration centrale ou principal établissement du prestataire doit être établi au sein d’un Etat membre de l’Union européenne.
b) Le capital social et les droits de vote dans la société du prestataire ne doivent pas être, directement ou indirectement :
– individuellement détenus à plus de 24% ;
– et collectivement détenus à plus de 39% ;
par des entités tierces possédant leur siège statutaire, administration centrale ou principal établissement au sein d’un Etat non membre de l’Union européenne. De plus, elles ne peuvent pas individuellement disposer d’un droit de veto, ou avoir le pouvoir de désigner une majorité des membres des organes exécutifs.
Une conséquence de l’Arrêt Schrems II
Dans ces lignes du référentiel SecNumCloud, comme dans celles non citées, transparaît clairement une réalité juridique que nous nous efforçons de décrire ici depuis juillet 2020, mais qui continue de mettre en difficulté les différentes juridictions (des Procureurs au Conseil d’État) : le droit de l’Union Européenne requiert un immunisation de tous les acteurs soumis au champ d’application du RGPD aux réglementations extra-territoriales, ce qui s’aligne en effet avec la régionalisation du monde que nous connaissons à marche forcée depuis les débuts de la crise sanitaire.
Périmètre d’application
De manière à bien comprendre l’impact de ce référentiel SecNumCloud, il s’adresse :
- à tous les acteurs de l’État (dont les Ministères) en tant qu’exigences sur lesquelles il n’est pas possible de transiger ;
- à tous les acteurs français non Étatiques comme un guide de bonne conduite, une liste de recommandations à suivre afin d’assurer sa légalité et sa sécurité.
SecNumCloud : un appui précieux
En tant que DPO et en tant qu’auditeurs de certification ISO27001 et HDS, le référentiel SecNumCloud nous sert de base pour apprécier les situations que nous devons auditer et pour produire les avis qui font partie de nos missions.
Et vous, (comment) allez-vous l’utiliser ?