Écrit le 29/04/2026
Pris pour l’application de l’article 31 de la loi SREN, le décret n° 2026-272 du 14 avril 2026 précise les conditions dans lesquelles les administrations de l’État peuvent recourir à des services d’informatique en nuage pour traiter des données sensibles. Il encadre strictement la protection de ces données, notamment face aux risques d’accès par des autorités étrangères, et définit les exigences de sécurité, ainsi que les modalités de dérogation temporaire.
L’article 31 de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique (loi SREN) prévoit des dispositions destinées à assurer la protection des données stratégiques et sensibles de l’Etat sur le marché de l'informatique en nuage. Ces dispositions concernent les administrations de l'État, certains de ses opérateurs, et certains groupements d'intérêt public dont la liste a été fixée par le décret du 14 avril 2026.
Un cadre juridique renforcé pour les données sensibles de l’État dans le cloud
Dans les cas où ces organismes auront recours à un service d'informatique en nuage fourni par un prestataire privé pour traiter des données d’une sensibilité particulière et dont la violation est susceptible d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé ou à la vie des personnes ou à la protection de la propriété intellectuelle, ce service devra respecter des critères de sécurité et de protection des données garantissant notamment la protection des données contre tout accès par des autorités publiques d'Etats tiers non autorisé par le droit de l'Union européenne (UE) ou d'un État membre. Lorsque ces organismes ont déjà engagé, à la date de l’entrée en vigueur de l’article 31 de la loi SREN, un projet nécessitant le recours à un service d’informatique en nuage, ils peuvent solliciter une dérogation à cette obligation. Cette dérogation ne peut excéder dix-huit mois à compter de la date à laquelle une offre de services d’informatique en nuage acceptable sera disponible en France (III et V et l’article 31).
Le champ d’application de cette obligation légale est limité aux systèmes d’informations contenant des données qui répondent à deux critères cumulatifs tenant, d’une part, à leur sensibilité particulière et, d’autre part, à l’atteinte à l’ordre public, à la sécurité publique, à la santé ou à la vie des personnes ou à la protection de la propriété intellectuelle que serait susceptible d’entraîner leur violation.
- S’agissant de la première condition, l’article 31 de la loi SREN définit les « données d’une sensibilité particulière » comme suit : « 1° Les données qui relèvent des secrets protégés par la loi, notamment au titre des articles L. 311-5 et L. 311-6 du code des relations entre le public et l’administration ; / 2° Les données nécessaires à l’accomplissement des missions essentielles de l’Etat, notamment la sauvegarde de la sécurité nationale, le maintien de l’ordre public et la protection de la santé et de la vie des personnes ».
- S’agissant de la seconde condition, elle apparaît constituer le filtre principal pour déterminer si des données entrent ou non dans le champ d’application de la loi : la violation de ces données doit être « susceptible d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé ou à la vie des personnes ou à la protection de la propriété intellectuelle ».
Tout d’abord, si l’article 31 mentionne la protection des données « contre tout accès par des autorités publiques d’Etats tiers non autorisé par le droit de l’Union européenne ou d’un Etat membre », l’accès extraterritorial non autorisé n’est pas exclusif d’autres violations, telles que la compromission ou le blocage des données. En effet, la Commission nationale de l’informatique et des libertés (CNIL) précise qu’une violation de données se caractérise par la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé à des données, de manière accidentelle ou illicite et qu’il s’agit de « tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité des données ».
Ensuite, le risque d’atteinte à l’ordre et à la sécurité publics, et autres enjeux visés par la loi SREN, doit être suffisamment caractérisé et constituer la conséquence de la violation contre laquelle il est entendu se prémunir.
Des exigences de sécurité élevées définies par un référentiel national
Le décret du 14 avril 2026, portant application de cet article, outre qu’il fixe la liste de six GIP soumis aux exigences prévues par l’article 31 de la loi SREN, détermine les mesures, procédures et conditions propres à assurer la sécurité et la protection des données pour les services d’informatique en nuage fournis aux administrations par le secteur privé.
L’article 31 prévoit par ailleurs l’adoption d’un décret en Conseil d’Etat précisant les modalités d’application de ce dispositif, et notamment les critères de sécurité et de protection, y compris en termes de détention du capital, des données qui entrent dans son champ d’application.
A ce titre, le décret du 14 avril 2026 fixe les domaines dans lesquels un référentiel élaboré par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et approuvé par un arrêté du Premier ministre détermine les exigences à respecter pour assurer la sécurité et la protection des données d’une sensibilité particulière traitées par un service d’informatique en nuage fourni par un prestataire privé. Il prévoit ainsi que ce référentiel fixe le niveau d’exigence requis, au regard de la sensibilité particulière des données concernées et des risques présentés par leur traitement, dans un certain nombre de domaines, notamment en matière de sécurité des systèmes d’information, de localisation de l’hébergement des données du service ou de protection contre tout accès par des autorités publiques d’un Etat tiers non autorisé par le droit de l’UE ou les engagements internationaux de la France. Enfin, il précise que la conformité d’un service à ces exigences devra être attestée par une qualification délivrée par l’ANSSI ou par une certification de l’UE ou d’un Etat partie à l’espace économique européen d’un niveau au moins équivalent.
Un dispositif encadré assorti de dérogations temporaires
Ce décret précise également les conditions dans lesquelles une dérogation provisoire à l’application de l’article 31 de la loi SREN peut être accordée.
En effet, l’article 31 dispose que son décret d’application précise également les conditions dans lesquelles une dérogation motivée et rendue publique peut être accordée sous la responsabilité du ministre dont relève le projet déjà engagé et après validation par le Premier ministre, et, éventuellement, les critères selon lesquels une offre d’informatique en nuage disponible en France peut être considérée comme acceptable.
Le décret du 14 avril 2026 prévoit ainsi qu’une administration ayant engagé un projet relevant de l’article 31 de la loi SREN avant la publication de ce décret peut solliciter une dérogation auprès du ministre dont relève ce projet, qui dispose alors d’un délai de deux mois pour accorder ou non la dérogation après validation par le Premier ministre. La dérogation est accordée pour une durée maximum de dix-huit mois courant depuis la date à laquelle cette offre est disponible en France ou à défaut pour une durée d'un an renouvelable jusqu'à ce qu'une telle offre soit disponible. Les modalités de cette demande de dérogation ont été fixées par l’arrêté du 14 avril 2026 relatif aux modalités de dérogation prévue par l’article 3 du décret n° 2026-272 du 14 avril 2026, qui prévoit qu’une telle demande doit faire l’objet d’un avis rendu par la direction interministérielle du Numérique.