À l’heure de la digitalisation des sociétés, et alors que la Principauté poursuit activement sa transition numérique, la protection des données sensibles et des systèmes d’information demeure une priorité étatique. Comment faire face aux cyberattaques, de plus en plus récurrentes et sophistiquées, ou aux catastrophes naturelles comme un séisme ou un raz-de-marée sans risquer de tout perdre et de mettre à l’arrêt une partie du pays ?

Décision a été prise par le gouvernement princier, en complément d’autres actions, de dupliquer le cloud souverain - un coffre-fort numérique hébergeant ces données à Monaco - dans un data center au Luxembourg. Pour cela, un accord bilatéral a été signé le 15 juillet 2021 entre le ministre d’État, Pierre Dartout, et le Premier ministre du Grand-Duché, Xavier Bettel.

En votant à l’unanimité le projet de loi 1076, le 13 avril dernier, les élus du Conseil national ont approuvé la ratification dudit accord.

On vous résume le dossier.

Pourquoi dupliquer hors de Monaco?

Les normes de sécurité préconisent, en matière d’éloignement géographique, un minimum de 150 km entre le data center principal et celui de secours. Avec une superficie étriquée de 2,02 km², la Principauté ne pouvait naturellement pas répondre à ces standards, d’où la volonté de se tourner vers un pays étranger, le Luxembourg, doté de sites hautement sécurisés. "En l’occurrence, la marge de sécurité est plus conséquente puisque les données et systèmes seront situés à très exactement 1 034 km de Monaco", a précisé Pierre Dartout.

Pourquoi avoir choisi le Luxembourg?

Car le pays est précurseur en matière de sécurité numérique. L’OTAN, l’Union européenne mais aussi l’Estonie, y hébergent déjà une sauvegarde de leurs données sensibles. En 2018, les autorités monégasques avaient entamé des discussions avec l’État du Luxembourg puis, en décembre de cette même année, avaient visité le data center de Bissen, situé en pleine campagne à 30 kilomètres de la capitale du Grand-Duché. Une déclaration d’intention avait été signée entre les représentants des deux pays, avant l’accord définitif de juillet 2021.

Quelles données y seront abritées?

C’est dans une pièce dédiée à la Principauté, que nous avions visitée à l’époque, que l’on retrouvera d’ici fin 2023/début 2024 les données actuellement stockées sur le cloud souverain, à savoir celles de l’État monégasque, des organismes d’importance vitale et des acteurs privés du pays.

Des garanties d'inviolabilité et d'immunité

"La création de ce ‘‘jumeau’’ du cloud souverain ne pouvait se concevoir qu’à la condition de bénéficier de toutes les garanties d’inviolabilité et d’immunité d’exécution proches de celles accordées à une ambassade", est intervenu l’élu Fabrice Notari, rapporteur au nom de la Commission pour le développement du numérique. L’accord signé entre les deux pays acte cette préservation de la souveraineté monégasque. L’article 4 précise ainsi que les locaux "ne peuvent faire l’objet d’aucune perquisition, réquisition, saisie ou mesure d’exécution".

Seuls des représentants officiels de la Principauté, ses mandataires habilités et des représentants de l’autorité judiciaire monégasque pourront accéder aux locaux. Les autorités luxembourgeoises, qu’elles soient administratives, judiciaires, militaires ou policières, ne pourront y pénétrer sans le consentement préalable de la Principauté.

Un contrôle strict

Une procédure sera mise en place avec la Direction de la Sûreté publique afin d’identifier les personnes physiques et morales autorisées à pénétrer dans les locaux pour des interventions techniques et leur profil sera validé avant le début de leur mission, « à l’exception de l’autorité judiciaire monégasque ».

Conseil national.

L'arsenal répressif renforcé Lors de la séance publique législative du 13 avril, un autre projet de loi a été voté à l’unanimité des 21 conseillers nationaux présents. Modifiant les articles 7 et 8 du Code de procédure pénale, le texte a pour objet "d’apporter une protection juridique au bénéfice du centre de données monégasque situé au Luxembourg, dans le prolongement de l’accord entre le Grand-Duché de Luxembourg et la Principauté de Monaco concernant l’hébergement des données et de systèmes d’information", a expliqué l’élu Nicolas Croesi, rapporteur au nom de la Commission pour le Développement du numérique. En bref, il sécurise le corpus législatif et permet à la Principauté de disposer des outils juridiques et procéduraux pour assurer une répression efficace contre quiconque porterait atteinte au futur « jumeau » du cloud souverain basé au Luxembourg. Une question de souveraineté nationale, là encore, alors que les cyberattaques menacent les pays du monde entier, y compris la Principauté. Les juridictions monégasques pourront ainsi poursuivre, juger et sanctionner, à Monaco, les personnes de nationalité étrangère, situées en dehors des frontières de Monaco, qui s’attaqueraient à un centre de données situé à l’étranger, en l’occurrence le data center basé au Luxembourg. Mais aussi tout auteur, coauteur, ou complice, qu’il soit monégasque ou étranger, interpellé en Principauté et qui aurait commis les mêmes infractions en dehors du territoire monégasque.