Synthèse de l’article
- Le décret du 16 avril 2026 impose aux administrations et opérateurs de l’État d’héberger leurs données sensibles chez un prestataire conforme au référentiel ANSSI (SecNumCloud).
- L’obligation ne s’applique qu’aux données remplissant deux conditions cumulatives : sensibilité particulière et risque caractérisé en cas de violation.
- 18 mois pour migrer, une dérogation possible mais motivée et publique : les arbitrages cloud doivent désormais être documentés.
- Oodrive, premier éditeur SaaS qualifié SecNumCloud par l’ANSSI, offre une réponse opérationnelle immédiate aux nouvelles obligations du décret SREN.
La souveraineté numérique vient de franchir un cap décisif. Le décret d’application de l’article 31 de la loi SREN est paru au Journal officiel le 16 avril 2026. Il impose aux administrations, opérateurs de l’État et certains GIP d’héberger leurs données sensibles uniquement auprès de prestataires conformes au référentiel de l’ANSSI, et fixe un délai de 18 mois pour migrer vers des offres conformes.
Ce texte n’est pas une contrainte administrative de plus. Il traduit une prise de conscience réelle : la dépendance technologique est un risque opérationnel. Tensions géopolitiques, instabilité des modèles économiques, restrictions commerciales imprévisibles : les signaux s’accumulent depuis plusieurs années. Le décret leur donne une réponse juridique concrète.
À qui s’applique le décret, et sur quoi ?
Le texte vise explicitement les administrations de l’État, les opérateurs de l’État et une liste nominative de GIP. Ils ne sont pas tous concernés par défaut : une collectivité, un hôpital ou une structure parapublique non listée n’est pas soumise aux mêmes obligations.
Les GIP visés par le décret sont au nombre de six :
- L’agence du numérique en santé,
- Le Centre d’accès sécurisé aux données,
- Le Centre ressources prévention de la radicalisation,
- Le Collecteur analyseur de données,
- La Modernisation des déclarations sociales,
- Et le Système national d’enregistrement de la demande de logement social.
Le décret ne s’applique pas non plus à tous vos traitements cloud mais uniquement à ceux qui portent sur des données d’une sensibilité particulière (cf doctrine Cloud au centre) . La première question à se poser n’est pas « que dois-je faire ? » mais « est-ce que ce texte me concerne, et sur quels projets ? »
Données sensibles : une double condition cumulative à vérifier
C’est le point que beaucoup d’organisations vont sous-estimer. Le décret ne s’applique pas à toutes vos données mais à celles qui remplissent deux conditions simultanément.
Condition 1 : la donnée est d’une sensibilité particulière. Elle relève de secrets protégés par la loi (secret médical, secret des affaires, secret de la défense nationale, secret des procédures judiciaires) ou est nécessaire à l’accomplissement des missions essentielles de l’État : sécurité nationale, ordre public, protection de la santé.
Concrètement, cela couvre des cas très opérationnels. Le vade-mecum officiel cite les dossiers judiciaires traités par le Parquet national antiterroriste, les données de régulation des interventions du SAMU, les messageries et outils collaboratifs des administrations, les systèmes de paye des agents publics exerçant des missions régaliennes, ou encore les résultats de recherche de l’INSERM et les brevets de l’INPI au titre du secret des affaires.
Sécurité et conformité : protégez vraiment vos données
Qualifié SecNumCloud par l’ANSSI depuis 2019, Oodrive garantit le plus haut niveau de protection des données sensibles.
Condition 2 : La violation de cette donnée doit être susceptible d’engendrer une atteinte concrète : à l’ordre public, à la sécurité publique, à la santé ou à la vie des personnes, ou à la protection de la propriété intellectuelle. Ce risque doit être suffisamment caractérisé et non simplement hypothétique.
Un point souvent ignoré : dès lors qu’une donnée de votre système d’information déclenche les deux conditions, l’ensemble des données hébergées sur la même infrastructure doit être protégé au même niveau, sauf si un cloisonnement technique efficace est possible sans remettre en cause l’équilibre économique du contrat.
SecNumCloud : le standard opérationnel
SecNumCloud devient le référentiel de conformité pour les données publiques sensibles.
L’article 2 du décret mandate un référentiel élaboré par l’ANSSI, couvrant dix domaines d’exigence : organisation de la sécurité, gestion des ressources humaines impliquées dans le service, sécurité des SI, cryptologie et contrôle d’accès, continuité d’activité, réversibilité, localisation de l’hébergement, contrôle capitalistique du prestataire, et en point de clôture, la protection contre tout accès par des autorités publiques d’un État tiers non autorisé par le droit de l’UE.
Ce référentiel reprend très largement les exigences de SecNumCloud. À ce stade, c’est le seul niveau de conformité opérationnel réellement disponible pour satisfaire aux exigences de l’article 2. Le texte prévoit qu’une certification européenne d’un niveau au moins équivalent pourra être acceptée : c’est la porte laissée ouverte à l’EUCS niveau High+. Mais ce schéma européen n’existe pas encore sur le marché.
Les projets en cours : 18 mois pour migrer, une dérogation à construire
Les organisations qui utilisent des offres non conformes sur des données sensibles disposent de 18 mois pour migrer ou bénéficier d’une dérogation renouvelable si aucune offre conforme n’est disponible. Pour les projets engagés avant la publication du décret, cette dérogation peut être demandée mais elle n’est pas automatique.
La demande est adressée à la DINUM via le ministre dont relève le projet. La DINUM instruit le dossier dans un délai de deux mois, puis émet un avis transmis au Premier ministre. Les décisions sont publiées de façon motivée : vos justifications peuvent devenir publiques.
Protégez vos données sensibles
Découvrez toutes nos solutions qualifiées SecNumCloud 3.2 de bout en bout : de l’infrastructure au logiciel.
L’offre acceptable : la notion qui remodèle vos appels d’offres
Le décret introduit une définition précise opérationnelle : une offre est acceptable si elle répond au besoin fonctionnel du projet, en prenant en considération son coût. Cette formulation oblige les acheteurs à documenter leur analyse de marché : quelles offres conformes existent, à quel prix, et pourquoi elles répondent ou non au besoin.
En pratique, cela change trois choses dans vos consultations. Les critères de qualification cloud (conformité, SecNumCloud) doivent apparaître explicitement dans les dossiers. Les arbitrages économiques doivent être étayés par écrit, pas seulement invoqués. Et la réversibilité devient un critère à part entière : un prestataire incapable de garantir la portabilité des données s’expose à une exclusion documentée.
En pratique, vos prochains appels d’offres sur données sensibles devront intégrer explicitement les critères de qualification cloud, justifier les arbitrages économiques par écrit, et traiter la réversibilité comme un critère à part entière, et non une clause accessoire.
Ce que vous pouvez faire dès maintenant
Cartographiez vos projets cloud portant sur des données sensibles, en distinguant les projets en cours (dérogation possible, migration à planifier) des projets futurs (conformité dès le départ).
Révisez vos critères d’appels d’offres avec achats, juridique et sécurité. La grille de décision commune n’est plus optionnelle.
Documentez vos arbitrages dès maintenant ; les décisions de choix cloud devront pouvoir être expliquées et publiées. Mieux vaut les formaliser aujourd’hui que les reconstituer sous pression.
