Les collectivités locales bientôt obligées d'utiliser un cloud souverain pour leurs données sensibles ?

La proposition de loi sénatoriale relative à la sécurisation des marchés publics numériques a été adoptée par la commission des lois de l'Assemblée nationale le 25 février 2026. Rapportée par Philippe Latombe (Les Démocrates, Vendée), la nouvelle rédaction de l'article unique précise le champ des entités concernées et la notion de données sensibles.

Concrètement, l'amendement de Philippe Latombe modifie la loi visant à sécuriser et réguler l'espace numérique (Sren) du 21 mai 2024 pour soumettre aux mêmes exigences que l'État, les régions, départements, communes et communautés de communes de plus de 30.000 habitants, communautés d'agglomération, métropoles, Sdis et centres de gestion de la fonction publique territoriale. En pratique, toutes ces entités traitant des "données sensibles" devront utiliser des solutions respectant le standard SecNumCloud de l'Anssi.

Dans les faits, toutes devraient être impactées car l'amendement étend la notion de "données à sensibilité particulière" à celles liées aux "compétences essentielles" des collectivités : "gestion des crises, prévention des risques, maintien de l'ordre public, protection de la santé".

Une clause dérogatoire est prévue pour les projets déjà engagés à l'entrée en vigueur du texte, mais strictement encadrée : durée limitée à dix-huit mois, décision motivée, rendue publique et soumise à délibération. Les collectivités conservent par ailleurs la possibilité de résilier leurs contrats avec des prestataires ne satisfaisant pas aux critères de sécurité requis.

Le texte doit être examiné en séance publique à l'Assemblée le 26 mars 2026.