Les groupements d’intérêt public mentionnés au I de l’article 31 de la loi du 21 mai 2024 susvisée sont les suivants :
– agence du numérique en santé ;
– centre d’accès sécurisé aux données ;
– centre ressources prévention de la radicalisation ;
– collecteur analyseur de données ;
– modernisation des déclarations sociales ;
– système national d’enregistrement de la demande de logement social.
Un référentiel élaboré par l’Agence nationale de la sécurité des systèmes d’information et approuvé par arrêté du Premier ministre détermine les exigences à respecter au titre du deuxième alinéa du I de l’article 31 de la loi du 21 mai 2024 susvisée pour assurer la sécurité et la protection des données d’une sensibilité particulière traitées par un service d’informatique en nuage fourni par un prestataire privé. Ce référentiel fixe le niveau d’exigence requis, au regard de la sensibilité particulière des données concernées et des risques présentés par leur traitement, dans les domaines suivants :
1° L’organisation de la sécurité de l’information et de l’exploitation du service ainsi que la gestion des risques, y compris au niveau de la chaîne de sous-traitance ;
2° La gestion des ressources humaines pour les personnels impliqués dans la fourniture du service, comprenant en particulier la mise en œuvre d’un plan de formation concernant la sécurité de l’information adapté au service ;
3° La gestion des relations avec les tiers participant à la mise en œuvre du service ;
4° La gestion des équipements mettant en œuvre le service, comprenant notamment des mesures de sécurité physique et environnementale ;
5° La sécurité des systèmes d’information, comprenant notamment des mesures de cryptologie, de contrôle d’accès aux données du service et de gestions des identités des utilisateurs participant à la mise en œuvre du service ;
6° La gestion des incidents concernant la sécurité de l’information et la continuité de l’activité ;
7° L’utilisation de la langue française ;
8° Les clauses obligatoires de la convention de service, qui portent notamment sur le principe de réversibilité, permettant la récupération des données, et ses modalités techniques de mise en œuvre, ainsi que le droit applicable à cette convention ;
9° La localisation de l’hébergement des données du service, les conditions de transfert de ces données vers un Etat tiers, la localisation du lieu du siège ou du principal établissement du prestataire et les modalités de son contrôle, au travers notamment de la détention, directe ou indirecte, de son capital social et de ses droits de vote ;
10° La protection des données du service contre tout accès par des autorités publiques d’un Etat tiers non autorisé par le droit de l’Union européenne ou les engagements internationaux de la France.
La conformité d’un service d’informatique en nuage fourni par un prestataire privé aux exigences énoncées par ce référentiel est attestée par une qualification attribuée dans les conditions prévues par le chapitre III du décret du 27 mars 2015 susvisé ou par une certification de l’Union européenne ou d’un Etat partie à l’espace économique européen d’un niveau au moins équivalent.
Une administration ou un opérateur de l’Etat ou un groupement mentionné à l’article 1er qui a engagé un projet relevant de l’article 31 de la loi du 21 mai 2024 susvisée avant la date de publication du présent décret en recourant à un service d’informatique en nuage fourni par un prestataire privé non conforme aux exigences définies à l’article 2 du présent décret sollicite une dérogation auprès du ministre dont relève ce projet, selon des modalités fixées par un arrêté du Premier ministre qui précise notamment le contenu du dossier de demande.
Le ministre dont relève le projet décide dans un délai de deux mois d’accorder ou non la dérogation après validation par le Premier ministre selon des modalités fixées par ce même arrêté. Si une offre de services d’informatique en nuage acceptable pour le projet concerné est disponible en France, la dérogation est accordée pour une durée maximum de dix-huit mois courant depuis la date à laquelle cette offre est disponible en France. A défaut, la dérogation est accordée pour une durée d’un an renouvelable jusqu’à ce qu’une telle offre soit disponible.
Une offre de services d’informatique en nuage conforme aux exigences définies à l’article 2 est considérée comme acceptable si elle répond au besoin fonctionnel de l’administration ou de l’organisme concerné pour son projet, en prenant en considération son coût.
La décision accordant ou refusant la dérogation est rendue publique avec sa motivation sur un site internet relevant du Premier ministre.
Le ministre de l’économie, des finances et de la souveraineté industrielle, énergétique et numérique et le ministre de l’action et des comptes publics sont chargés, chacun en ce qui le concerne, de l’exécution du présent décret, qui sera publié au Journal officiel de la République française.