Mme Anne Le Hénanff appelle l'attention de M. le Premier ministre sur l'application de la doctrine dite « cloud au centre ». Introduite en 2021 par la circulaire n° 6282-SG du 5 juillet 2021 relative à la doctrine d'utilisation de l'informatique en nuage par l'État et actualisée en 2023, la doctrine « cloud au centre » a fait du cloud le mode d'hébergement et de production par défaut des services numériques de l'État. Ces derniers doivent impérativement être hébergés sur l'un des deux cloud interministériels internes de l'État ou sur une des offres de cloud proposées par les industriels qualifiées SecNumCloud. Depuis lors, si cette doctrine a permis la croissance significative de l'utilisation des services de cloud nationaux comme en atteste le montant annuel des commandes adressées aux fournisseurs de cloud sur le marché opéré par l'Union des groupements d'achats publics (UGAP) a cru de 70 % entre 2022 et 2023 et les offres des cloud internes interministériels Pi et Nubo ont également vu leurs capacités augmenter rapidement, d'après la direction interministérielle du numérique (DINUM). Malgré ce bilan positif dont on ne peut que se réjouir, de nombreuses administrations et projets numériques de l'État semblent encore bénéficier de dérogations aux règles de la doctrine « cloud au centre », préférant ainsi recourir aux services d'acteurs extra-européens dont les services ne sont pas qualifiés SecNumCloud. Aussi, dans ce contexte et en amont de l'application de l'article 31 de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique (SREN) qui vient entériner cette doctrine et l'élargir, Mme la députée souhaite connaître le bilan détaillé de l'application de la doctrine « cloud au centre ». Elle souhaite également savoir combien de dérogations à cette doctrine ont été recensées ainsi que les raisons qui les ont motivées. Enfin, elle souhaite savoir quel contrôle est effectué et par qui, afin de s'assurer que les ministères, leur administration ainsi que les organismes d'État concernés respectent cette doctrine.

La doctrine dite « cloud au centre » a fait du cloud le mode d'hébergement par défaut pour tous les nouveaux projets numériques ou refontes majeures de systèmes d'information de l'État ou des opérateurs placés sous sa tutelle. Pour ce faire, les administrations ont le choix de se tourner vers l'une des deux offres de clouds interministériels de l'État (Pi et Nubo) ou vers les acteurs commerciaux. L'objectif premier de cette doctrine est d'engager les administrations dans la transformation numérique de leurs organisations, tout en veillant à ne pas fragiliser la sécurité des systèmes d'information de l'État. Outre le recours au cloud, la doctrine de l'Etat en matière de recours à l'informatique en nuage engage à privilégier le mode produit dans la conduite des projets numériques depuis juillet 2021, afin de soutenir la transformation des organisations publiques, tout en veillant à la souveraineté numérique de la France et au soutien de l'écosystème cloud national. Les progrès se mesurent sur trois axes : - l'adoption du mode produit, le choix d'un socle ou d'architectures de référence cloud ; - l'alignement des politiques d'infrastructure des administrations sur les prescriptions de la doctrine, qui limitent les choix aux clouds interministériels et aux offres commerciales ; - le recours à des hébergements de confiance pour toutes les données sensibles. Des obstacles au plein déploiement de la doctrine ont été identifiés. Notamment : - les effort à fournir pour changer d'hébergement ; - certains établissements publics ont estimé ne pas être soumis à la doctrine en raison de leur indépendance statutaire. Le recours au cloud poursuit néanmoins sa croissance avec une consommation soutenue. Les ministères ont par ailleurs pris le réflexe du cloud, et notamment du cloud de confiance pour leurs données sensibles. Pour consolider ces acquis, la direction interministérielle du numérique (DINUM) poursuit ses efforts afin : - d'améliorer la mesure de l'adoption du cloud ; - de guider et d'encourager les efforts des industriels dans l'amélioration de leurs offres, notamment SecNumCloud ; - de construire une offre de cloud interministériel ; - de mieux suivre la dépense numérique globale, cloud compris. Dans le cas particulier de données d'une sensibilité particulière, la doctrine et désormais l'article 31 de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique (SREN), imposent que l'hébergement soit impérativement effectué dans le « cloud de confiance » (i.e. sur l'un des deux clouds interministériels internes de l'État, ou sur une des offres commerciales qualifiées SecNumCloud par l'agence nationale de la sécurité des systèmes d'information (ANSSI) ou par une qualification équivalente offrant des garanties d'isolation aux normes extra-européennes). Une dérogation à la doctrine était prévue pour les projets qui ne seraient pas en conformité et qui auraient été déjà engagés au moment de la parution de la doctrine. Dans ce cas, les projets devaient solliciter une dérogation auprès du Premier ministre. Les seuls cas de dérogation connus à date sont : - la plateforme des données de santé ; - certaines suites de travail collaboratif.