Nouvelle fiche technique sur la mise en œuvre de l’article 31 de la loi du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique associée à des clauses-types visant à renforcer la souveraineté des achats numériques

Cette nouvelle fiche technique relative à la mise en œuvre par les acheteurs publics du décret d’application de l’article 31 de la loi SREN vise à les accompagner dans l’identification et la sécurisation des achats de services d’informatique en nuage (cloud) portant sur des données d’une sensibilité particulière. 

Elle précise ainsi le champ d’application matériel de l’article 31 de la loi SREN et de son décret d’application, ainsi que les obligations issues du cadre juridique applicable, notamment en matière de protection des données contre les accès non autorisés par des autorités publiques d’États tiers, et les conditions dans lesquelles les acheteurs peuvent recourir à des services de cloud fournis par des prestataires privés pour le traitement de données d’une sensibilité particulière.

Cette fiche détaille par ailleurs les modalités de mise en conformité avec les exigences fixées par le décret, notamment à travers le recours à des services qualifiés au sens du référentiel de sécurité de l’ANSSI SecNumCloud et précise le régime de dérogation temporaire en l’absence d’offre adéquate. 

Elle recense enfin des bonnes pratiques et est complétée par des clauses-types, indépendantes du CCAG TIC, afin d’accompagner les acheteurs concernés dans l’élaboration des documents contractuels en vue de renforcer la sécurité, la réversibilité et la souveraineté des achats numériques, dans un contexte d’exigences accrues en la matière.