Demander une démo
Se connecter Se connecter
IT, Règlementation, Souveraineté

Décret SREN : ce que les acteurs publics doivent savoir

Jérôme Soulier
20 likes
19 juin 2026

Souveraineté numérique & conformité réglementaire

L’essentiel du décret d’application de l’article 31 de la loi SREN, en trois questions clés pour les administrations et opérateurs de l’État.

Publié au Journal officiel le 16 avril 2026, le décret d’application de l’article 31 de la loi SREN (Sécuriser et réguler l’espace numérique) marque un tournant pour la souveraineté numérique française. Il ne s’agit pas d’une formalité administrative supplémentaire, mais de la traduction juridique d’une prise de conscience : la dépendance technologique vis-à-vis de prestataires non souverains constitue un risque opérationnel réel, accentué par les tensions géopolitiques, l’instabilité des modèles économiques et les restrictions commerciales imprévisibles. Pour les organismes concernés, le compte à rebours est lancé : 18 mois pour se mettre en conformité. Cet article fait le point sur les trois questions essentielles à se poser.

1Qui est touché ?

La première erreur serait de croire que tout le monde est concerné. Le décret vise un périmètre précis et explicitement défini : les administrations de l’État, les opérateurs de l’État et une liste nominative de six groupements d’intérêt public (GIP).

Les six GIP nommément désignés

  • l’Agence du numérique en santé
  • le Centre d’accès sécurisé aux données
  • le Centre ressources prévention de la radicalisation
  • le Collecteur analyseur de données
  • la Modernisation des déclarations sociales
  • le Système national d’enregistrement de la demande de logement social

À l’inverse, une collectivité territoriale, un hôpital ou une structure parapublique qui ne figure pas dans ce périmètre n’est pas soumis aux mêmes obligations par défaut. La bonne première question n’est donc pas « que dois-je faire ? », mais « ce texte me concerne-t-il, et sur quels projets ? ».

Car même au sein des organismes visés, le décret ne s’applique pas à l’ensemble des traitements cloud. Il cible uniquement les données qui répondent à deux conditions cumulatives, c’est-à-dire qui doivent être réunies simultanément :

Condition 1

Une sensibilité particulière

La donnée relève d’un secret protégé par la loi (secret médical, secret des affaires, secret de la défense nationale, secret des procédures judiciaires) ou elle est nécessaire à l’accomplissement des missions essentielles de l’État : sécurité nationale, ordre public, protection de la santé. Le vade-mecum officiel cite des cas concrets : dossiers judiciaires du Parquet national antiterroriste, données de régulation du SAMU, messageries et outils collaboratifs des administrations, systèmes de paye des agents exerçant des missions régaliennes, ou résultats de recherche de l’INSERM et brevets de l’INPI au titre du secret des affaires.

Condition 2

Un risque caractérisé

La violation de cette donnée doit être susceptible d’engendrer une atteinte concrète : à l’ordre public, à la sécurité publique, à la santé ou à la vie des personnes, ou à la protection de la propriété intellectuelle. Ce risque doit être suffisamment caractérisé, et non simplement hypothétique.

Point capital — l’effet de contamination

Dès lors qu’une seule donnée du système d’information déclenche les deux conditions, l’ensemble des données hébergées sur la même infrastructure doit être protégé au même niveau, sauf cloisonnement technique efficace réalisable sans remettre en cause l’équilibre économique du contrat. Autrement dit, la qualification d’une donnée sensible peut « contaminer » tout un environnement d’hébergement.

2Quels sont les enjeux ?

L’enjeu central du décret est de garantir que les données publiques les plus sensibles échappent à toute forme d’ingérence étrangère. Son article 2 mandate un référentiel élaboré par l’ANSSI, couvrant dix domaines d’exigence : organisation de la sécurité, gestion des ressources humaines impliquées dans le service, sécurité des systèmes d’information, cryptologie et contrôle d’accès, continuité d’activité, réversibilité, localisation de l’hébergement, contrôle capitalistique du prestataire, et — point d’orgue du dispositif — la protection contre tout accès par des autorités publiques d’un État tiers non autorisé par le droit de l’Union européenne.

Ce dernier critère est le cœur du sujet. Il vise directement les lois à portée extraterritoriale (de type Cloud Act) qui permettent à un État étranger d’exiger l’accès à des données hébergées par un prestataire relevant de sa juridiction, même si ces données sont physiquement stockées en Europe. C’est cette vulnérabilité que le décret entend neutraliser.

En pratique, ce référentiel reprend très largement les exigences de SecNumCloud, qui constitue à ce jour le seul niveau de conformité réellement opérationnel pour satisfaire à l’article 2. Le texte laisse la porte ouverte à une certification européenne d’un niveau au moins équivalent (le schéma EUCS niveau High+), mais ce dernier n’existe pas encore sur le marché. Concrètement, les organismes concernés n’ont donc, pour l’instant, qu’une voie crédible.

Le deuxième enjeu est procédural et concerne les achats. Le décret introduit la notion d’« offre acceptable » : une offre est jugée acceptable si elle répond au besoin fonctionnel du projet, en tenant compte de son coût. Cette définition, en apparence anodine, change la donne dans les marchés publics. Elle oblige les acheteurs à documenter leur analyse de marché : quelles offres conformes existent, à quel prix, et pourquoi elles répondent (ou non) au besoin.

Trois conséquences en découlent pour les consultations à venir. D’abord, les critères de qualification cloud (conformité au référentiel, SecNumCloud) doivent apparaître explicitement dans les dossiers d’appel d’offres. Ensuite, les arbitrages économiques doivent être étayés par écrit, et non simplement invoqués. Enfin, la réversibilité — la capacité à récupérer et migrer ses données — devient un critère à part entière : un prestataire incapable de garantir la portabilité s’expose à une exclusion documentée.

L’enjeu de fond

Un double impératif : technique (héberger au bon niveau de sécurité) et juridique (être capable de justifier, par écrit et de façon traçable, chaque choix cloud).

3Comment répondre à cette obligation ?

Le délai de 18 mois peut sembler confortable ; il ne l’est pas, compte tenu de la complexité des migrations d’infrastructure et des contraintes de marchés publics. Voici la marche à suivre.

1

Cartographier les projets cloud portant sur des données sensibles

C’est le préalable indispensable. Il faut distinguer les projets en cours (qui peuvent bénéficier d’une dérogation et dont la migration doit être planifiée) des projets futurs (qui doivent être conçus conformes dès le départ). Cette cartographie permet d’identifier précisément le périmètre réellement soumis au décret, plutôt que de surréagir sur l’ensemble du SI.

2

Anticiper la question de la dérogation

Les organisations utilisant des offres non conformes sur des données sensibles disposent de 18 mois pour migrer, ou pour obtenir une dérogation renouvelable si aucune offre conforme n’est disponible. Attention : pour les projets engagés avant la publication du décret, cette dérogation n’est pas automatique. La demande est adressée à la DINUM via le ministre dont relève le projet ; la DINUM instruit le dossier sous deux mois, puis transmet un avis au Premier ministre. Les décisions sont publiées de façon motivée : vos justifications peuvent donc devenir publiques.

3

Réviser les critères d’appels d’offres

En associant dès l’amont les fonctions achats, juridique et sécurité. La grille de décision commune n’est plus optionnelle : les critères de qualification cloud, les arbitrages économiques et la réversibilité doivent y figurer de manière structurée.

4

Documenter les arbitrages dès maintenant

C’est sans doute le conseil le plus important. Puisque les choix cloud devront pouvoir être expliqués, voire publiés, il vaut bien mieux formaliser les décisions au fil de l’eau qu’essayer de les reconstituer sous la pression d’un contrôle. Une traçabilité écrite des analyses de marché, des critères retenus et des raisons d’un choix constitue la meilleure protection.

Conclusion

Le décret SREN ne crée pas seulement une obligation technique d’hébergement souverain : il instaure une culture de la justification documentée des choix cloud pour les données sensibles de l’État. Les organismes concernés ont tout intérêt à ne pas attendre la fin du délai de 18 mois. Identifier son périmètre, planifier ses migrations, outiller ses appels d’offres et tracer ses décisions : ce sont les quatre chantiers à engager dès aujourd’hui pour aborder l’échéance sereinement, plutôt que dans l’urgence.

Périmètre d’application

Le périmètre réel : qui est concerné ? Trois bassins d’organismes visés, au-delà des six GIP souvent cités.

Le décret est souvent présenté à travers la liste des six groupements d’intérêt public. C’est la partie la plus restreinte du dispositif. En réalité, trois catégories d’organismes sont visées, et le gros du volume se situe ailleurs.

Les trois bassins visés par le décret

Catégorie d’organismes Volume Source de référence
Administrations centrales et services déconcentrés de l’État ~200 Annuaire de l’administration, FSSI ministériels
Opérateurs de l’État (PLF 2026) 431 Jaune budgétaire opérateurs, data.gouv.fr
Groupements d’intérêt public nommément désignés 6 Article 1 du décret n° 2026-272

Les six GIP nommément désignés

  • Agence du numérique en santé
  • Centre d’accès sécurisé aux données
  • Centre ressources prévention de la radicalisation
  • Collecteur analyseur de données
  • Modernisation des déclarations sociales
  • Système national d’enregistrement de la demande de logement social

⚠ Point de vigilance — un dispositif encore incomplet

Le décret ne fixe que les grandes lignes du cadre. L’essentiel des exigences opérationnelles est renvoyé à un référentiel de l’ANSSI qui n’est pas encore publié. SecNumCloud reste à ce jour le seul niveau de conformité réellement opérationnel pour y répondre, mais le référentiel final pourra préciser ou compléter ces exigences. Le schéma européen EUCS niveau High, voie alternative prévue par le texte, n’existe pas encore sur le marché.

4Téléchargements et liens

Télécharger l’ensemble du décret n° 2026-272 du 14 avril 2026 (article 31 de la loi SREN).

Retrouver l’ensemble de l’analyse et guide complet TransfertPro.

 

Related posts

Souveraineté numérique : pourquoi l’hébergement de vos fichiers ne peut pas être hors de France
Données clients, Partage et stockage, Sécurité, Souveraineté

Souveraineté numérique : pourquoi l’hébergement de vos fichiers ne peut pas être hors de France

Jérôme Soulier
76 likes
Un hébergement sécurisé pour tous, un parfait complément !
IT, Sécurité

Un hébergement sécurisé pour tous, un parfait complément !

Jérôme Soulier
103 likes
Guide des Aides à la Cybersécurité pour les collectivités Territoriales
Aides, IT, Sécurité

Guide des Aides à la Cybersécurité pour les collectivités Territoriales

Jérôme Soulier
116 likes
Cybersécurité 2025 : Une année cruciale pour la conformité, l’IA et la lutte contre les cyberattaques
Règlementation, Sécurité

Cybersécurité 2025 : Une année cruciale pour la conformité, l’IA et la lutte contre les cyberattaques

Jean-Romain BOUQUET
294 likes
Certification HDS : assurer la sécurité des données de santé dans le cloud
Règlementation, Santé

Certification HDS : assurer la sécurité des données de santé dans le cloud

Jean-Romain BOUQUET
258 likes
Directive NIS2 : Des normes de cybersécurité renforcées pour garantir la résilience des entreprises et collectivités françaises
Règlementation, Sécurité

Directive NIS2 : Des normes de cybersécurité renforcées pour garantir la résilience des entreprises et collectivités françaises

Jean-Romain BOUQUET
302 likes
Blockchains et RGPD : l’UE démystifie sans trancher
Données clients, Règlementation, Sécurité

Blockchains et RGPD : l’UE démystifie sans trancher

Aryo Husson
607 likes
La cybersécurité : un enjeu majeur pour les organisations !
IT, Sécurité

La cybersécurité : un enjeu majeur pour les organisations !

Jean-Romain BOUQUET
608 likes
Dépenses IT : 3,2% de croissance attendue en 2019 grâce au Cloud
IT

Dépenses IT : 3,2% de croissance attendue en 2019 grâce au Cloud

Jean-Romain BOUQUET
484 likes






Entrez votre recherche

Se connecter