Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 29 mai 2023

Données

Mise à jour par le gouvernement de la Doctrine cloud de l’État

• Cette circulaire précise la doctrine d’utilisation et la stratégie entourant le système d’informatique en nuage de l’État (dans le prolongement de la circulaire n° 6282-SG du 5 juillet 2021 relative à la doctrine d’utilisation de l’informatique en nuage par l’État), ainsi que les enjeux liés à l’adoption du cloud computing.
  Le système d’information de l’État est régi par le décret n° 2019-1088 du 25 octobre 2019.
  La stratégie encourage l’utilisation du cloud pour améliorer les services publics tout en préservant la maîtrise des données sensibles. Les enjeux comprennent la transformation de l’État, la souveraineté et la sécurité, ainsi que des opportunités industrielles majeures.
  L’État a mis en place une stratégie d’offre pour fournir aux équipes informatiques des capacités techniques et contractuelles pour utiliser les infrastructures cloud.
  Deux offres de services ont été créées, gérées par les ministères de l’Intérieur (cloud Pl) et des Finances (cloud NUBO), respectivement associées aux niveaux de sécurité « Diffusion restreinte » et au standard SecNumCloud. Ces offres reposent sur la technologie « open source OpenStack ».
  Les offres visent à répondre aux besoins de cloud interne de tous les ministères, à l’exception du ministère des Armées qui dispose de son propre cloud interne adapté à ses systèmes d’information opérationnels.
  Les progrès technologiques et l’évolution du marché ont permis de faire évoluer la doctrine cloud de l’État vers une approche appelée « cloud au centre ». Cette doctrine s’applique aux acteurs de l’État et aux organismes sous sa tutelle. Elle se concentre sur deux enjeux principaux : développer la demande de cloud au sein des équipes informatiques et des services utilisateurs, et centrer les efforts sur l’accompagnement des métiers et des équipes de développement pour adapter les processus et les compétences au potentiel du cloud.
  Il est rappelé que la conformité au RGPD est essentielle pour tous les systèmes et applications traitant des données à caractère personnel, y compris celles des agents publics. Il est important de prêter une attention particulière aux transferts de données en dehors de l’UE et d’assurer un niveau de protection adéquat.
  Enfin, sur la question délicate d’une potentielle violation de données sensibles, comprenant les informations couvertes par des secrets protégés par la loi, ainsi que celles indispensables à l’exécution des missions essentielles de l’État, la circulaire prévoit un mécanisme d’évaluation des critères fondamentaux de sécurité, tels que la confidentialité, l’intégrité, la disponibilité et la traçabilité. (Circ. 31 mai 2023, n° 6404/SG, portant actualisation de la doctrine d’utilisation de l’informatique en nuage par l’Etat)

Avis de la CNIL du 29 mai sur le projet relatif à la fusion de la carte d’identité et de la carte Vitale

• Le ministre des Comptes publics a récemment annoncé un projet visant à fusionner la carte d’identité et la carte Vitale dans le but de lutter contre la fraude sociale lors des prestations de soins.
  Toutefois, la Commission nationale de l’informatique et des libertés (CNIL) met en garde quant à la nécessité de respecter les principes relatifs à la protection des données.
  Dans ce contexte, les autorités publiques ont cherché à renforcer l’efficacité des dispositifs existants pour combattre la fraude sociale, notamment en confiant une mission d’analyse à l’Inspection générale des affaires sociales (IGAS) et à l’Inspection générale des finances (IGF).
  Cette mission avait pour objectif d’examiner différentes options, telles que la mise en place d’une carte Vitale biométrique ou la...