Le projet de cloud du gouvernement roumain éclipsé par une controverse

Les premières mesures prises par les autorités roumaines pour légiférer sur le « cloud gouvernemental » ont suscité de vives réactions de la part des représentants de la société civile et même de certaines institutions publiques qui sont censées rejoindre ce cloud. [Shutterstock/Pakhnyushchy]

Le projet roumain de création d’un cloud est la pièce maîtresse du plan de numérisation du gouvernement, qui devrait bénéficier de 500 millions d’euros de fonds de l’UE et permettre au pays de se rapprocher des objectifs européens dans le domaine de l’administration en ligne. Toutefois, jusqu’à présent, la proposition a surtout réussi à susciter la controverse.

Les premières mesures prises par les autorités roumaines pour légiférer sur le « cloud gouvernemental » ont suscité de vives réactions de la part des représentants de la société civile et même de certaines institutions publiques qui sont censées rejoindre ce cloud.

Conformément aux objectifs de l’Europe en matière d’administration en ligne, Bucarest s’est engagé à assurer un accès universel aux services publics en ligne. Il y aurait, par exemple, un historique en ligne des interactions du citoyen avec l’État, et les données et documents personnels seraient protégés par des systèmes de cybersécurité performants.

« Le cloud gouvernemental facilite la transition vers une économie axée sur les données, sécurisée et dynamique, une économie numérique alignée sur les orientations stratégiques pour l’action de l’Union européenne en matière de gouvernance des données », a déclaré Dragoș Vlad, président de l’Autorité roumaine de numérisation.

Le plan national pour la reprise et la résilience comme feuille de route pour la transition numérique

Le cloud gouvernemental est le produit central du plan national pour la reprise et la résilience de la Roumanie dans le domaine de la numérisation.

Les réformes prévues ont pour objectif la mise en place de ce cloud, « d’assurer l’interopérabilité, d’améliorer la connectivité, de renforcer la protection et la cybersécurité des organismes publics et privés ainsi que de développer les compétences numériques dans le secteur public ».

Le plan national pour la reprise et la résilience prévoit — directement ou indirectement — un financement d’environ 500 millions d’euros pour le cloud gouvernemental. Il s’agira d’une infrastructure informatique complétée par les mesures nécessaires en termes de cybersécurité qui hébergera des applications et des bases de données publiques dans quatre centres de données.

Selon la feuille de route de la Roumanie, ce cadre législatif doit être mis en place avant le 30 juin. En outre, la loi sur la cyberdéfense et la sécurité doit être finalisée et entrer en vigueur d’ici à la fin de 2022.

Le scandale de l’ordonnance d’urgence

Dans le contexte de l’urgence de ces mesures, le gouvernement a publié un projet d’ordonnance d’urgence — un instrument législatif fréquemment utilisé en Roumanie — qui a suscité de vives réactions au sein du secteur informatique, du secteur non gouvernemental et même de certaines institutions centrales.

Selon ce projet, la mise en œuvre et la maintenance du cloud public seraient déléguées au Service spécial des télécommunications, un service de renseignement spécialisé. Le service de renseignement roumain (SRI) serait alors chargé de sa cybersécurité.

« Le SRI ne peut pas assurer la sécurité des données personnelles, car son objectif légal est de collecter des informations », a averti l’Association pour la technologie et l’Internet (APTI), présidée par l’avocat Bogdan Manolea.

Le ministère de la Numérisation a rejeté les préoccupations relatives à la confidentialité des informations, soulignant que le SRI ne serait pas en mesure d’accéder au contenu des données dans le cloud.

Anton Rog, responsable du centre national de cyberinformation du SRI, a confié à la chaîne de télévision Digi24 que le cloud gouvernemental était une infrastructure cruciale et que, depuis sept ans que le centre assure la cybersécurité de 61 institutions publiques, il n’y a pas eu une seule plainte concernant la capacité du SRI à accéder à leurs données.

Cependant, les inquiétudes demeurent, notamment en ce qui concerne la collecte par le SRI des données relatives au trafic, à savoir les données qui se cachent derrière chaque communication, car il est impossible de fournir des services de cybersécurité sans elles.

Radu Puchiu, entrepreneur dans le domaine des technologies de l’information et envoyé du plan d’action du Partenariat pour un gouvernement ouvert, a qualifié de « plus qu’étrange » le choix de déléguer le cloud gouvernemental à STS (Special Telecommunications Service), étant donné que le ministère des Finances dispose d’un département informatique de plusieurs centaines de personnes et que le ministère de l’Intérieur gère également une base de données critique.

Pour M. Puchiu, la structure qui se dessine est d’emblée très rigide, ce qui entravera son développement futur.

L’industrie informatique a également critiqué le projet de législation. L’Association des employeurs de l’industrie du logiciel (ANIS) a averti que si les dispositions du projet de législation étaient conservées, il ne serait pas possible d’utiliser des technologies non propriétaires ou des technologies open source dans la création du cloud.

Le ministère de la Numérisation a démenti ces propos, affirmant que le secteur privé serait en mesure de développer des solutions et des services pour les applications du cloud gouvernemental.

Les institutions publiques ne sont pas satisfaites non plus

Les détracteurs de l’implication du SRI dans le projet de cloud gouvernemental ne viennent pas seulement de la société civile, mais aussi des institutions étatiques.

Le SRI, le STS et l’Autorité roumaine de numérisation ont envoyé en février un questionnaire technique sur la migration vers le cloud à 108 autorités et institutions publiques en Roumanie. Deux semaines plus tard, seules 83 institutions avaient rempli le questionnaire.

Parmi celles qui n’ont toujours pas répondu, six refusent de migrer leurs applications et leurs données vers le cloud gouvernemental. Il s’agit d’institutions extrêmement importantes comme l’Autorité électorale permanente, la Cour constitutionnelle et la Direction nationale anticorruption.

« Nous estimons qu’il n’est pas normal que le STS et le SRI aient accès à toutes les données et à tous les documents que l’Autorité électorale permanente (AEP) prépare pour les élections », a expliqué le chef de l’AEP, Constantin Mitulețu-Buică, au journal Libertatea.

De même, les fonctionnaires de la Direction nationale anticorruption ont mis en place leurs propres applications informatiques avec des équipements de pointe pour protéger le flux et le stockage d’informations sensibles liées aux enquêtes en cours sur des affaires criminelles.

En avril, le ministre de la Numérisation a tenté de calmer la polémique : « Il n’a jamais été question que l’opérationnalisation et l’utilisation des bases de données soient faites par quelqu’un d’autre que l’Autorité roumaine de numérisation », a déclaré Marcel Boloș, ministre de la Recherche et de la Numérisation à l’époque, et ministre des Investissements et des Projets européens depuis le 3 mai.

M. Boloș a souligné que le contrôle des bases de données publiques serait maintenu « dans le domaine civil ».

Data Act : la Commission européenne détaille les implications juridiques aux États membres

Ces dernières semaines, la Commission européenne a fait une série de présentations aux pays de l’UE qui ont demandé plus de clarté sur la manière dont la nouvelle loi sur les données s’appliquera et comment elle interagira avec d’autres législations.

Subscribe to our newsletters

Subscribe