Ce premier opus réunit Franck Poquin - Maire de Saint-Léger-de-Linières, Vice-président d'Angers Loire Métropole et Président de SIRI49, Syndicat Intercommunal des Ressources Informatiques du Maine-et-Loire, et Audrey Maurel - avocate en droit public des affaires et spécialisée dans l’accompagnement des collectivités sur les sujets numériques. Ils décryptent les éléments fondamentaux à prendre en compte face aux enjeux de responsabilité liés aux données et évoquent l’exemple de SIRI49.
Quand la mutualisation devient un outil essentiel pour garantir la sécurité et la souveraineté numérique locale notamment pour des collectivités de petite ou taille moyenne…
Quand la mutualisation devient un outil essentiel pour garantir la sécurité et la souveraineté numérique locale notamment pour des collectivités de petite ou taille moyenne…
SIRI49, l’exemple d’une stratégie collective gagnante
Confrontées à des moyens limités et à une responsabilité croissante dans la gestion de la donnée, les collectivités territoriales sont obligées de repenser leur stratégie informatique et juridique. Le Syndicat Intercommunal des Ressources Informatiques (SIRI49) du Maine-et-Loire, qui regroupe cinq communes (de 1 500 à 15 000 habitants) a été créé pour assurer le fonctionnement informatique de ses membres et la sécurisation de leurs données. Autrement dit, « sortir de l'âge de pierre informatique » comme le rappelle en souriant Franck Poquin.
Le syndicat repose sur une équipe de six agents spécialisés (en système et réseau, sécurité, avec des administrateurs, techniciens et un directeur), permettant d’atteindre un niveau de compétence jusqu’alors inaccessible pour des collectivités isolées.
Le syndicat repose sur une équipe de six agents spécialisés (en système et réseau, sécurité, avec des administrateurs, techniciens et un directeur), permettant d’atteindre un niveau de compétence jusqu’alors inaccessible pour des collectivités isolées.
Il a fait le choix politique d’opter pour des solutions souveraines, privilégiant les équipes et les logiciels basés en France ou en Europe, que ce soit pour leur hébergement (quatre serveurs répliqués dans deux centres de données « Green IT » basés en Loire-Atlantique, classés Tier 3+) comme pour les outils logiciels (ex. : messagerie Blue Mind, coffre-fort numérique Lock Self, …).
Le droit, précieux allié...
Des choix dont Audrey Maurel confirme la pertinence en insistant sur le fait que la sécurité est l'apanage de toutes les collectivités, quelle que soit leur taille, quand bien même elles ne sont pas assujetties au même niveau de contrainte ou de sanction par la directive NIS 2 : la protection des données doit être un objectif d’intérêt général.
Ces données (personnelles, d’intérêt général, de santé), qui constituent un véritable patrimoine, peuvent ainsi être protégées aujourd’hui par deux leviers d’action majeurs : la commande publique et l’hébergement.
L'hébergement, qui n’est évidemment pas dissociable de la propriété des données évoquée ci-dessus, doit quant à lui être souverain. Mais souveraineté ne rime pas nécessairement avec data center public… SIRI49 en fait la parfaite démonstration. L’enjeu étant de s'assurer que les conditions d’hébergement retenues répondent au besoin de certification et de sécurité requis pour bénéficier d’un niveau de sauvegarde adapté et accessible pour la collectivité.
Les deux experts s’accordent ainsi sur le rôle crucial de la mutualisation, seule stratégie permettant d'inverser le rapport de force avec les fournisseurs privés de logiciels métiers ou de solutions d'intelligence artificielle. En se regroupant, les collectivités peuvent établir des bases contractuelles solides, transposer efficacement le risque de responsabilité sur le titulaire privé, contrôler ce dernier, mais aussi partager et s'entraider, tout en mutualisant les coûts…
Ces données (personnelles, d’intérêt général, de santé), qui constituent un véritable patrimoine, peuvent ainsi être protégées aujourd’hui par deux leviers d’action majeurs : la commande publique et l’hébergement.
Le premier levier consiste à prendre conscience qu'en tant que propriétaires de leurs données, les collectivités doivent faire peser leurs obligations de sécurité sur leurs co-contractants via leurs marchés publics ou contrats de concession : « Il faut insérer dans les contrats des clauses robustes portant sur la cybersécurité, la propriété des données, la réversibilité et l’hébergement », conseille l’avocate.
L'hébergement, qui n’est évidemment pas dissociable de la propriété des données évoquée ci-dessus, doit quant à lui être souverain. Mais souveraineté ne rime pas nécessairement avec data center public… SIRI49 en fait la parfaite démonstration. L’enjeu étant de s'assurer que les conditions d’hébergement retenues répondent au besoin de certification et de sécurité requis pour bénéficier d’un niveau de sauvegarde adapté et accessible pour la collectivité.
Les deux experts s’accordent ainsi sur le rôle crucial de la mutualisation, seule stratégie permettant d'inverser le rapport de force avec les fournisseurs privés de logiciels métiers ou de solutions d'intelligence artificielle. En se regroupant, les collectivités peuvent établir des bases contractuelles solides, transposer efficacement le risque de responsabilité sur le titulaire privé, contrôler ce dernier, mais aussi partager et s'entraider, tout en mutualisant les coûts…
