SecNumCloud : six GIP assujettis, les données sensibles enfin définies

Publié le  par  Olivier Devillers , pour Localtis
Numérique, Sécurité

Près de deux ans après la loi visant à sécuriser et réguler l'espace numérique (Sren), le décret nᵒ 2026-272 du 14 avril 2026 rend enfin opposable l'obligation pour l'État de recourir à des prestataires cloud qualifiés SecNumCloud pour l'hébergement de certaines données sensibles. Six GIP gestionnaires de données devront obligatoirement recourir à un hébergement souverain. Parallèlement, l'État a clarifié la notion de données sensibles en publiant un vademecum à destination des administrations.

© Adobe stock

Au-delà de la plateforme des données de santé mentionnée explicitement par la loi de sécurisation de l'espace numérique (Sren), l'article 31 entendait étendre les obligations d'hébergement souverain à d'autres GIP. Le décret n 2026-272 du 14 avril 2026 liste six GIP supplémentaires : l'agence du numérique en santé, le centre d'accès sécurisé aux données, le centre ressources prévention de la radicalisation, le collecteur analyseur de données, le GIP Modernisation des déclarations sociales, et le système national d'enregistrement de la demande de logement social – ce dernier étant un outil usuel des collectivités pour l'attribution des logements HLM.

Dérogations temporaires

En pratique, ces GIP doivent utiliser des services d'hébergement sécurisés et à l'abri des législations extraterritoriales. Le décret confie à l'Anssi l'élaboration d'un référentiel technique approuvé par arrêté du Premier ministre, couvrant dix domaines allant de la cryptologie à la localisation de l'actionnariat du prestataire. La conformité sera attestée par la qualification SecNumCloud ou une certification européenne équivalente (EUCS).

Enfin, il organise un régime de dérogation pour les projets cloud engagés avant sa publication avec des prestataires non conformes. Il leur donne dix-huit mois au maximum pour migrer si une offre conforme est disponible en France. À défaut, la dérogation est accordée pour une durée d'un an renouvelable jusqu'à ce qu'une offre adaptée soit disponible. Toutes les décisions de dérogation sont publiques.

SecNumCloud prend du galon

Le décret ne crée rien de nouveau sur le plan technique. Le référentiel SecNumCloud 3.2 existe depuis mars 2022 et compte une dizaine de prestataires qualifiés. Ce que le décret apporte, c'est une base réglementaire opposable là où il n'y avait jusqu'ici que des circulaires. L'arrêté d'approbation du Premier ministre, encore à paraître, rendra le dispositif pleinement opérationnel.

La référence à la certification européenne en matière de cloud (EUCS) représente cependant un potentiel point de fragilité : jusqu'à présent la France n'a pas réussi à convaincre ses partenaires européens de l'intérêt d'intégrer des critères de souveraineté/localisation à cette norme technique. Le DG de l'Anssi, Vincent Strubel, a concédé en mars 2026, à l'occasion de la journée "L'État dans le nuage", que les négociations autour de EUCS "High+" n’avaient pas abouti… pour le moment, car les discussions sont toujours en cours. 

Vademecum sur les "données sensibles"

Parallèlement, l'État a clarifié la notion de données sensibles. L'article 31 se bornait en effet à citer des catégories telles que les secrets protégés par le CRPA ou les données nécessaires aux missions essentielles de l'État. Or cette définition a été jugée comme trop générale pour être opérationnelle pour une administration.

Un vademecum a été publié récemment pour clarifier l'article. L'obligation ne s'applique que lorsque deux critères sont réunis simultanément. Les données doivent d'abord présenter une sensibilité particulière, soit parce qu'elles relèvent de secrets protégés par la loi (secret défense, secret médical, secret des affaires, secret des procédures judiciaires, protection de la vie privée…), soit parce qu'elles sont nécessaires aux missions essentielles de l'État (sécurité nationale, ordre public, protection de la santé). Ensuite, leur violation doit être susceptible d'engendrer une atteinte concrète et suffisamment caractérisée à l'ordre public, à la sécurité publique, à la santé ou à la vie des personnes, ou à la protection de la propriété intellectuelle. Les administrations sont invitées à mener des études préalables pour définir le type d'hébergement nécessaire.

Cadastre et notes des élèves pas concernés

Point notable : dès lors que certaines données d'un système d'information remplissent les deux conditions, l'ensemble des données hébergées sur la même infrastructure bascule dans l'obligation — sauf si un cloisonnement technique efficace peut être mis en place sans remettre en cause l'équilibre économique du contrat. Ce vademecum est enrichi d'un tableau avec des exemples concrets : le cadastre, les notes des élèves et le contrôle de légalité ne sont pas concernés. Celles sur la chaîne d'alerte des secours ou la paie des agents publics remplissent en revanche les deux critères et sont donc soumises à SecNumCloud.

Le député Philippe Latombe, rapporteur de la proposition de loi relative à la sécurisation des marchés publics numériques venue du Sénat, propose d'aller un cran plus loin en étendant explicitement aux régions, départements, communes et EPCI de plus de 30.000 habitants, Sdis et centres de gestion les obligations SecNumCloud. Il définit surtout un périmètre pour les données sensibles intégrant la prévention des risques de toute nature, la gestion des crises, le maintien de l’ordre public et la protection de la santé et de la vie des personnes. Le texte est en attente de discussion à l'Assemblée nationale.

 

Pour aller plus loin

Voir aussi

    Abonnez-vous à Localtis !

    Recevez le détail de notre édition quotidienne ou notre synthèse hebdomadaire sur l’actualité des politiques publiques. Merci de confirmer votre abonnement dans le mail que vous recevrez suite à votre inscription.

    Découvrir Localtis

    Back to Top of the Page