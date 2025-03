La DINUM estime que Microsoft 365 n'est pas conforme à la stratégie « Cloud au centre » de l'État français,

dans une circulaire adressée aux secrétaires généraux des ministères.

[R1] pour tout nouveau projet numérique, quelle que soit sa taille, une solution cloud doit être recherchée : si le « cloud pour les utilisateurs » ne permet pas de remplir le besoin, une solution dédiée doit être envisagée sur une plateforme du « cloud pour les équipes informatiques ». Dans les deux cas, le mode produit doit être privilégié, incluant l’autonomie des équipes, la prise en charge continue des opérations, la confrontation rapide avec les utilisateurs du produit, et un jalonnement par l’impact permettant d’arrêter, d’infléchir ou d’accélérer la trajectoire du produit en fonction des résultats constatés ;

[R2] les recrutements et les programmes de formation continue d’agents relevant à la fois des équipes informatiques et des directions sponsors des projets et des produits numériques, devront comporter un volet cloud computing. Il en va de même pour leurs managers. Les équipes qui expérimentent pour la première fois les approches cloud pourront bénéficier d’un accompagnement spécifique (coaching), mis en place par leur ministère, avec l’appui de la DINUM ;

[R3] il appartient à chaque administration de mettre en place les processus d’incitation et de contrôle de cette politique, qui mesure le niveau d’adoption par les équipes, identifie les freins et tient à jour le plan d’action visant à leur levée ;

[R4] tout projet relevant d'offres cloud commerciales devra comporter des conditions de fin de contrat et de réversibilité soutenables pour son administration, et provisionner les ressources financières, techniques et humaines correspondantes dès le lancement du projet, afin de rendre cette réversibilité activable effectivement. L’adéquation avec les règles1 de GAIA-X, notamment d’interopérabilité et de portabilité, devra également être recherchée dans la mesure du possible ;

[R5] pour tout nouveau projet informatique, les équipes informatiques de l’État et leurs prestataires doivent par défaut s’appuyer sur une ou plusieurs des offres de cloud internes ou commerciales pour couvrir l’intégralité du cycle de production des applications (développement, recette, production, secours, éventuelles plateformes bac à sable et formation). Les ministères choisissent, en fonction de critères qui leur sont propres, et notamment le niveau de sécurité, le coût complet de possession, l’expertise RH dont ils disposent en leur sein, leurs besoins techniques et fonctionnels, les choix d’urbanisation préalable, s’ils recourent pour leurs produits numériques au cloud interne de l’État ou à une offre cloud commerciale ;

[R5b] la règle [R5] s’applique par extension à tout produit numérique existant qui donne lieu à une évolution majeure (changement de prestataire, évolutions représentant au moins 50 % du coût de fabrication du produit initial ;

[R6] les équipes qui souhaitent déroger à [R5] et [R5b] doivent le documenter auprès de la DINUM pour tout projet présentant un coût complet d’au moins 1 M€, en produisant une étude comparative sur les aspects économiques, juridiques, métiers ou de sécurité entre les scénarios ;

[R7] le contrôle de la doctrine « cloud au centre » est désormais intégré à la procédure dite « article 3 » de contrôle de conception des grands projets informatiques de l’État, au-delà du seuil de 9 M€. Sous ce seuil, ce contrôle relève des ministères ;

[R8] dans le cas d’un recours à une offre de cloud commerciale, les systèmes informatiques en production et en recette, incluant les éléments nécessaires à leur résilience, doivent respecter la règle suivante :

tous les systèmes et applications informatiques manipulant des données à caractère personnel doivent être conformes au RGPD. Pour les systèmes contenant des données de santé, l’hébergeur doit de plus être conforme à la législation sur l’hébergement de données de santé, si le système ou l’application informatique manipule des données d’une sensibilité particulière, qu’elles relèvent notamment des données personnelles des citoyens français, des données économiques relatives aux entreprises françaises, ou d’applications métiers relatives aux agents publics de l’État : l’offre de cloud commercial retenue devra impérativement respecter la qualification SecNumCloud (ou une qualification européenne d’un niveau au moins équivalent) et être immunisée contre toute réglementation extracommunautaire, sinon, l’administration en charge du système choisit la solution adaptée en fonction de ses propres critères, en privilégiant chaque fois que possible une offre qualifiée SecNumCloud et immunisée aux réglementations extracommunautaires, à titre transitoire, pour les projets déjà engagés, une dérogation à ces deux derniers alinéas pourra être accordée sous la responsabilité du ministre dont relève le projet, sans qu’elle ne puisse aller au-delà de 12 mois après la date à laquelle une offre de cloud acceptable (c’est-à-dire dont les éventuels inconvénients sont supportables ou compensables) sera disponible en France ;



[R9] la portabilité multi-clouds doit être assurée. A cette fin les équipes informatiques s’assureront que les adhérences techniques et fonctionnelles à la plateforme cloud retenue n’entravent pas notablement cette capacité de réversibilité et de changement de fournisseur de cloud. Dans le cas où cette adhérence est néanmoins légitimée par des gains opérationnels immédiats, le surcoût de la réversibilité doit être financé par ces gains ;

[R10] la DINUM est chargée de piloter, avec le concours des DNUM, la conception et la mise en œuvre de l’offre SNAP de services numériques interministériels, accessible à la demande par tous les agents de l’État ;

[R11] les ministères qui souhaiteraient proposer à leurs agents des services logiciels à la demande additionnels à ceux disponibles dans SNAP sont incités à se regrouper et à mutualiser leurs moyens à cet effet, avec l’appui de la DINUM, sans que cela ne conduise à empêcher les agents d’accéder à SNAP ;

[R12] les administrations peuvent souscrire en complément des solutions relevant de [R10] et [R11] à des offres logicielles à la demande de leur choix ; Ces offres doivent répondre aux attentes de leurs utilisateurs, tout en s’inscrivant dans les moyens humains et financiers dont ils disposent.

[R13] les administrations ne doivent pas chercher à créer et maintenir de nouveaux logiciels sur mesure qui trouvent déjà leur équivalent dans les sphères publique ou privée. Elles doivent répondre aux besoins de leurs agents et des citoyens en privilégiant les solutions disponibles, soit en y recourant sous forme de souscription de logiciel à la demande (offres SaaS commerciales), soit en intégrant, adaptant et déployant ces solutions sur le cloud interne de l’État (offres SaaS internes). En l’absence de solutions sur étagère, elles peuvent engager un développement sur mesure limité au périmètre spécifique en question ;

[R14] pour les services précités en [R10], [R11] et [R12], la conformité des infrastructures de cet éditeur à la règle [R8] est impérative. A titre transitoire, et pour accompagner la montée en maturité des offres et des hébergements qui respectent cette règle, cette conformité devra être obtenue au maximum 12 mois après la date à laquelle une offre fonctionnellement acceptable et conforme à [R8] sera disponible en France ;

[R15] la diversité des fournisseurs doit être recherchée à l’échelle de l’État sur chaque segment des services aux utilisateurs, pour éviter la création de marchés captifs. Les administrations doivent, chaque fois que possible, évaluer plusieurs offres couvrant leurs besoins, en particulier dans les domaines de la micro-informatique, de la bureautique, de la messagerie et des solutions collaboratives.

Microsoft 365 n'est pas conforme à la doctrine Cloud au centre, selon Nadi Bou Hanna

La crise sanitaire actuelle a mis en évidence la caractère essentiel des outils numériques pour la résilience de la société. Les organisations publiques comme privées ont accéléré fortement leur numérisation pour maintenir leur activité et proposer de nouveaux services. La plupart de ces services existent aujourd’hui grâce aux technologies de cloud computing qui permettent d’héberger et de traiter les données des entreprises, des administrations et des citoyens.Le cloud représente trois enjeux majeurs pour la France : la transformation des entreprises et des administrations, la souveraineté numérique et la compétitivité économique.Compte tenu de ce triple enjeu, transformation, compétitivité et souveraineté, le Gouvernement a décidé la mise en œuvre d’une stratégie nationale portant sur les technologies cloud, en cohérence avec les initiatives européennes en la matière. Cette stratégie s’articule autour de 3 piliers que sont le label Cloud de confiance, la politique « Cloud au centre » des administrations et enfin une politique industrielle mise en œuvre dans le prolongement de France Relance. L'objectif annoncé est de « protéger toujours mieux les données des entreprises, des administrations et des citoyens français tout en affirmant notre souveraineté ».Avec l’adoption de la doctrine « Cloud au centre », le Gouvernement fait du cloud un prérequis pour tout nouveau projet numérique au sein de l’État ou refonte substantielle de l’architecture applicative existante. Le Gouvernement espère accélérer la transformation numérique au bénéfice des usagers et dans le strict respect de la cybersécurité et de la protection des données des citoyens et des entreprises.Voici les règles autour desquelles s'articule la doctrine :La stratégie « Cloud au Centre » encourage donc toutes les administrations à migrer vers le cloud mais en précise le contexte ; ce cloud peut être un « cloud interne » maîtrisé par l’État pour les applications sensibles et les données à diffusion restreinte, ou encore un « cloud de confiance » (cloud certifié SecNumCloud et opéré par une entité européenne). Bien entendu, les offres cloud génériques des hyperscalers ne sont pas interdites mais leur usage est restreint « à l’hébergement de données non sensibles et aux services non essentiels au fonctionnement des administrations… ».Ainsi, dans une circulaire aux secrétaires généraux des ministères, Nadi Bou Hanna, Directeur interministériel du numérique, a estimé que Microsoft 365 n'est pas conforme à la directive Cloud au centre. Une conclusion plutôt logique étant donné que, bien que les services Microsoft 365 sont opérés sur des datacenters Microsoft situés en France, ils ne sont pas immunisés contre les réglementations extracommunautaires.Et d'indiquer que :« Certaines administrations étudient l’opportunité de recourir à l’offre Office 365, proposée par Microsoft sur ses propres infrastructures cloud (Azure), en remplacement des solutions bureautiques et de messagerie (MS Exchange...