Décret SREN, SecNumCloud et données sensibles : ce que cela change pour l’État
TL;DR pour les DSI : le décret n° 2024-452 du 23 mai 2024, publié au Journal officiel pour l’application de l’article 31 de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et réguler l’espace numérique (dite loi SREN), redéfinit le périmètre de confiance du cloud pour l’État. Il impose que les données sensibles traitées par certains groupements d’intérêt public (GIP) soient hébergées sur des services cloud qualifiés SecNumCloud au sens du référentiel de l’ANSSI ou disposant d’une certification européenne équivalente. Ce cadre fait basculer la stratégie numérique publique vers une logique de souveraineté numérique assumée et crée un standard de référence pour tout projet manipulant des informations critiques, y compris au-delà du périmètre strict des administrations opérateurs.
Le décret n° 2024-452 précise les conditions d’hébergement des données sensibles des groupements d’intérêt public, en s’appuyant sur la doctrine cloud de l’État et sur le référentiel SecNumCloud de l’ANSSI, qui encadre les exigences de sécurité, de gouvernance et de maîtrise de la chaîne de sous-traitance. Les informations de santé, les données sociales ou les autres jeux de données stratégiques relevant de ces GIP doivent être traités sur des services cloud qualifiés SecNumCloud ou sur des offres disposant d’un niveau de certification européen équivalent, notamment dans la perspective du futur schéma EUCS. Pour un directeur des systèmes d’information, cette nouvelle réglementation crée un précédent structurant qui dépasse largement les seules administrations opérateurs et s’impose comme un cadre de référence pour tout projet numérique exposé à des enjeux de confidentialité, de résilience ou de conformité réglementaire.
Les six GIP explicitement visés par le décret – l’Agence du numérique en santé (ANS), le Centre d’accès sécurisé aux données (CASD), le GIP Plateforme des données de santé (Health Data Hub), le GIP Union Retraite, le GIP Modernisation des déclarations sociales (GIP-MDS) et le GIP SIB – doivent désormais aligner tous leurs projets cloud sur le référentiel ANSSI SecNumCloud pour garantir la protection des données sensibles de santé et des autres informations critiques. Les services cloud utilisés par ces GIP ne peuvent plus s’appuyer sur des offres standard, car le texte impose une conformité renforcée en cybersécurité, en protection des données et en maîtrise de la chaîne de sous-traitance, ce qui renforce directement la sécurité des traitements numériques opérés pour le compte des opérateurs de l’État. Cette exigence s’étend à l’ensemble des services numériques associés, depuis l’espace numérique de santé jusqu’aux plateformes de données de logement social ou de retraite, avec un impact concret sur les appels d’offres, la rédaction des clauses contractuelles et la doctrine cloud des administrations opérateurs.
Le décret prévoit un délai de dix-huit mois à compter de sa publication au Journal officiel pour mettre en conformité les projets existants, avec une dérogation possible d’un an renouvelable si aucune offre de fournisseur cloud qualifié SecNumCloud ou équivalent n’est disponible sur le marché pour le besoin considéré. Toutes les décisions de dérogation sont rendues publiques par l’autorité compétente, ce qui crée une pression de transparence sur les administrations opérateurs et sur les opérateurs de l’État qui gèrent des données de santé ou d’autres données sensibles. Pour les DSI, cette articulation entre loi SREN, loi de sécurisation des services numériques et exigences d’ordre public numérique installe un nouveau standard de sécurité et de souveraineté qui pourrait rapidement devenir la norme implicite pour tout cloud externe traitant des données critiques, y compris en dehors du périmètre strict des GIP concernés.
Effet d’entraînement pour les DSI du privé : vers un standard de confiance SecNumCloud
Pour les entreprises, ce cadre réglementaire autour de la loi SREN et de la qualification SecNumCloud agit comme un révélateur des attentes futures en matière de sécurité et de conformité. Quand l’État impose que les services cloud manipulant des données sensibles de santé ou des données stratégiques soient opérés par des prestataires disposant d’une qualification SecNumCloud ou d’un niveau de certification équivalent, il envoie un signal clair au marché sur le niveau de cybersécurité attendu pour les offres critiques, y compris dans le secteur privé. Les DSI qui gèrent déjà des projets numériques avec des opérateurs de l’État ou avec les GIP concernés voient immédiatement l’impact sur leurs propres contrats, leurs appels d’offres, leurs choix d’architecture et leur trajectoire de souveraineté numérique.
Dans les secteurs régulés comme la santé, la finance ou les infrastructures critiques, la combinaison entre loi SREN, loi de sécurisation des systèmes d’information et référentiel ANSSI crée un socle de conformité qui dépasse la simple protection des données personnelles. Les entreprises qui opèrent des services pour l’État ou qui partagent des données de santé avec des plateformes publiques devront démontrer une protection des données au moins équivalente à celle exigée pour un cloud souverain, ce qui repositionne la doctrine cloud de nombreuses DSI autour de fournisseurs cloud européens ou de services qualifiés SecNumCloud. Cette dynamique renforce aussi le rôle du CSO et des équipes de cybersécurité, comme le montre l’analyse sur le rôle stratégique du CSO pour les DSI disponible sur ce décryptage dédié à la gouvernance sécurité.
Pour un CIO, la question n’est plus seulement de choisir entre cloud public, cloud privé ou cloud interne, mais de définir un modèle de souveraineté numérique compatible avec les futures évolutions de la réglementation. Les services numériques critiques, qu’ils soient orientés clients ou internes, devront intégrer dès la conception les exigences de conformité issues du décret d’application de l’article 31, du texte de la loi SREN et du référentiel ANSSI, afin d’éviter des remises à niveau coûteuses sur des projets déjà en production. Dans ce contexte, les stratégies multi cloud et les migrations d’applications critiques vers des environnements plus sécurisés doivent être structurées avec méthode, en s’appuyant par exemple sur un plan de migration en jalons tel que celui présenté dans l’analyse sur la migration cloud d’une application critique publiée dans un guide opérationnel pour DSI.
Checklist actionnable pour les DSI du privé : identifier les services exposés à des données sensibles ou à des échanges avec l’État, cartographier les fournisseurs cloud actuels et leur niveau de conformité, intégrer les exigences SecNumCloud dans les nouveaux appels d’offres, planifier les migrations prioritaires vers des environnements de confiance, formaliser les responsabilités entre DSI, RSSI et direction juridique, et anticiper les délais de mise en conformité pour limiter les risques contractuels et réglementaires.
Marché SecNumCloud, géopolitique du cloud et feuille de route pour les CIO
Le marché du cloud souverain français se structure autour de quelques acteurs clés. Au 1er semestre 2024, S3NS, coentreprise entre Thales et Google Cloud, est déjà qualifié SecNumCloud pour certains services d’infrastructure selon les informations publiques de l’ANSSI, tandis que des initiatives comme Bleu (projet commun entre Orange et Capgemini), OVHcloud ou NumSpot sont en cours de qualification d’après les mêmes sources. Pour un directeur des systèmes d’information, le cadre posé par la loi SREN et son décret d’application transforme ces offres en leviers concrets de réduction du risque juridique lié aux législations extraterritoriales comme le Cloud Act américain, tout en renforçant la souveraineté numérique européenne. La doctrine cloud de l’État, qui privilégie des services opérés depuis l’Union européenne et protégés contre les ingérences étrangères, devient ainsi une référence implicite pour les stratégies d’architecture des grandes entreprises, même lorsque la réglementation ne leur impose pas formellement ces choix.
Cette évolution réglementaire s’inscrit dans un mouvement plus large de durcissement des exigences de cybersécurité, illustré par la directive (UE) 2022/2555 dite NIS 2 et sa transposition française, analysée en détail dans l’article consacré à la transposition NIS 2 disponible sur ce point d’étape pour les DSI. Les CIO doivent articuler ces différentes couches de réglementation pour bâtir des architectures numériques capables de protéger les données sensibles, de garantir la continuité des services et de respecter l’ordre public numérique, tout en conservant l’agilité nécessaire pour lancer de nouveaux projets. Dans cette perspective, la sélection d’un fournisseur cloud ou de plusieurs services cloud ne peut plus se limiter à des critères de coût ou de performance, car la conformité au référentiel SecNumCloud de l’ANSSI, la localisation des données et la capacité à résister aux lois extraterritoriales deviennent des critères de premier rang, au même titre que la résilience technique ou la qualité du support.
Concrètement, la feuille de route d’un CIO doit intégrer un inventaire précis des données, en distinguant les données de santé, les données sensibles métiers et les autres données, puis en cartographiant les services qui les traitent dans chaque espace numérique de l’entreprise. Les projets en lien avec des opérateurs de l’État ou des administrations opérateurs doivent être priorisés pour une mise en conformité rapide avec le décret pris pour l’application de l’article 31, la loi SREN et la loi de sécurisation des services numériques, en s’appuyant sur des offres de cloud souverain ou des services qualifiés SecNumCloud. Cette approche permet de transformer une contrainte de réglementation en avantage compétitif, en faisant de la protection des données, de la cybersécurité et de la maîtrise de la chaîne de sous-traitance un argument de confiance pour les clients, les partenaires et les autorités de contrôle.
Références
- Banque des Territoires – décryptage du décret n° 2024-452 du 23 mai 2024 pris pour l’application de l’article 31 de la loi SREN et périmètre des GIP concernés, à partir des informations publiées au Journal officiel.
- Agence nationale de la sécurité des systèmes d’information – référentiel SecNumCloud, liste des prestataires qualifiés, doctrine cloud de l’État et communication publique sur les offres en cours de qualification.
- Commission européenne – travaux sur le schéma de certification européen EUCS pour les services cloud et articulation avec les initiatives nationales de cloud de confiance, dans le cadre de la stratégie européenne pour le numérique.