Juridique

Hervé Le Dû (SAE) : rien n'interdit au secteur public de recourir au Cloud, bien au contraire

Hervé Le Dû (SAE) : rien n'interdit au secteur public de recourir au Cloud, bien au contraire

Hervé Le Dû, qui pilote aujourd'hui l'ensemble des achats au SAE (Service des Achats de l'Etat), réaffirme que les acheteurs publics peuvent recourir au Cloud. Avec quelques réserves cependant.

PublicitéAprès avoir dirigé les achats IT au SAE (Service des Achats de l'Etat), Hervé Le Dû en est aujourd'hui directeur du département des opérations. Il pilote de ce fait l'ensemble du coeur de l'activité du SAE, la coordination des achats par les administrations centrales et déconcentrées. Pour lui, le cloud doit être une option étudiée par les acheteurs publics lors des appels d'offres. Ni plus, ni moins. Et, surtout, rien n'interdit dans l'absolu le recours au Cloud.

« Cinq critères de performance doivent être pris en compte par les acheteurs publics : économique, environnementale, sociale, en matière d'innovation et enfin en termes d'accès des PME à la commande publique » rappelle-t-il. Il n'existe aucune réglementation dédiée au Cloud et les appels d'offres qui en feraient mention ou qui le permettraient doivent donc suivre les règles générales.

Des dispositions très générales

Des précautions particulières doivent cependant être prises. Comme pour toute externalisation, la première est la sécurité.

En deuxième lieu, la durée de contractualisation peut être un sujet de débat. « J'estime que pour profiter pleinement du Cloud, il faut une durée de contractualisation de l'ordre de 9-10 ans, ce qui ne pose pas de problème vis-à-vis du Code des Marchés Publics » note Hervé Le Dû. Ce code permet en effet de conclure des marchés publics pour une durée de plus de quatre ans si cela est justifié.

Enfin et surtout, la localisation des données est évidemment importante à préciser. Hervé Le Dû observe : « il n'existe pas de dispositions dans le Code des Marchés Publics à ce sujet mais il existe des dispositions réglementaires sur les données elles-mêmes. Il serait en effet très gênant que des données confidentielles de l'Etat français puissent être consultées par un Etat tiers. Le Patriot Act américain pose de fait un grave problème. »

Il n'existe pas de textes explicites dédiés au sujet. Il n'y a pas plus de jurisprudence. On peut donc considérer que des questions spécifiques restent en suspend. Malgré tout, « les fonctionnaires sont tenus au secret professionnel et à garantir la confidentialité des données qu'ils traitent » insiste Hervé Le Dû. Cette règle très générale pourrait peut-être devenir un motif de sanction d'un fonctionnaire qui aurait eu recours à un service de type Cloud sans prendre les précautions nécessaires.

Privilégier le cahier des charges fonctionnel



Privilégier le cahier des charges fonctionnel

Or, avec le SaaS, par exemple, le client est réputé obtenir un service, avec une certaine qualité de service, sans se préoccuper du comment. Un acheteur public ne peut bien sûr pas accepter de renoncer à examiner un minimum ce comment, ne serait-ce que pour garantir la sécurité des données.

PublicitéLe SAE préconise, dans l'esprit et la lettre du Code des Marchés Publics, de réaliser des cahiers des charges fonctionnels et pas techniques. Hervé Le Dû juge en effet : « c'est le meilleur moyen d'obtenir un maximum de réponses et de répondants grâce à une ouverture maximale ». Le SAE se refuse donc à privilégier a priori telle modalité (comme le Cloud) ou telle autre : à l'acheteur public de juger de la pertinence de tel ou tel choix en fonction de sa pertinence, de son coût complet... et de la stratégie sous-jacente. Opter pour un mode locatif externalisé (comme avec le Cloud) n'est évidemment pas la même chose qu'acheter des serveurs qu'il faudra héberger et administrer. L'acheteur public doit donc respecter la stratégie définie par le DSI de son organisation.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    UTILISATION DES COOKIES

    En poursuivant votre navigation sur ce site,
    vous acceptez l'utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d'intérêts.

    Pour en savoir plus, consultez notre politique relative à la vie privée.

    La question du moment
    Etes-vous en mesure de détecter des connexions à des services cloud non-prévus à partir de votre entreprise (shadow IT), notamment de stockage et d’échanges (Google Drive, WeTransfer…) ?