Loi SREN : nouvelle fiche technique pour sécuriser le cloud public

La Direction des affaires juridiques (DAJ) a publié une fiche technique détaillant l'application de l'article 31 de la loi n° 2024-449 du 21 mai 2024, dite « loi SREN », et de son décret n° 2026-272 du 14 avril 2026. Ce document vise à accompagner les acheteurs publics dans la sécurisation de leurs achats de services d'informatique en nuage (cloud) traitant des données sensibles, un enjeu majeur pour les entreprises répondant aux marchés publics.

Comprendre la loi SREN et ses exigences pour le cloud

L'article 31 de la loi visant à sécuriser et à réguler l'espace numérique (SREN) et son décret d'application du 14 avril 2026 établissent un cadre juridique pour la protection des données sensibles traitées via des services d'informatique en nuage commerciaux. La fiche technique de la DAJ, publiée le 6 mai 2026, a pour objectif de guider les acheteurs publics (administrations, opérateurs et groupements d'intérêt public de l'État) dans l'identification, l'évaluation et la sécurisation de ces services.

Le document clarifie le champ d'application matériel de ces nouvelles dispositions. Il s'agit de garantir la sécurité et la protection des données, notamment contre les accès non autorisés par des autorités publiques d'États tiers. Pour les TPE et PME qui interviennent sur les marchés publics, comprendre ces exigences est essentiel, car elles peuvent impacter la manière dont les prestations sont réalisées ou les outils numériques utilisés.

Protection des données sensibles et référentiel SecNumCloud

La fiche technique insiste sur les obligations de protection des données d'une sensibilité particulière. Elle précise les conditions dans lesquelles les acheteurs peuvent recourir à des services d'informatique en nuage fournis par des prestataires privés. La mise en conformité passe notamment par le recours à des services qualifiés au sens du référentiel de sécurité de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) SecNumCloud. Cette qualification atteste d'un niveau élevé de sécurité et de souveraineté pour les infrastructures et services cloud.

En l'absence d'offre adéquate répondant aux exigences SecNumCloud, un régime de dérogation temporaire est prévu. Cette flexibilité permet aux acheteurs de ne pas bloquer leurs projets tout en maintenant un objectif de sécurité élevé. Pour les entreprises souhaitant se positionner comme prestataires de services numériques pour le secteur public, l'obtention de cette qualification ou la collaboration avec des partenaires qualifiés devient un avantage stratégique. La confidentialité des données est un enjeu majeur dans les marchés publics, comme nous l'avons déjà abordé concernant l'utilisation de l'IA et la protection des offres. Pour en savoir plus sur les défis liés aux données, consultez notre article sur l' IA et confidentialité des offres : les vraies questions à se poser.

Renforcer la souveraineté et la réversibilité des achats numériques

Au-delà de la simple sécurité, la fiche technique et les clauses-types associées visent à renforcer la souveraineté et la réversibilité des achats numériques. La souveraineté des achats numériques est un objectif national. Cela signifie que les données des entités publiques doivent être hébergées et traitées dans des conditions qui garantissent leur non-accessibilité par des lois étrangères. La réversibilité, quant à elle, assure la capacité de récupérer facilement les données et de changer de prestataire sans entrave, garantissant ainsi l'autonomie de l'acheteur public.

Ces clauses-types, indépendantes du CCAG TIC (Cahier des clauses administratives générales applicables aux marchés publics de techniques de l'information et de la communication), sont conçues pour aider les acheteurs à élaborer leurs documents contractuels. Pour les PME, comprendre ces clauses permet d'anticiper les exigences des dossiers de consultation et d'adapter leurs propositions. Une bonne compréhension des documents de consultation est d'ailleurs un facteur clé de succès, comme détaillé dans notre guide sur comment analyser un DCE efficacement avant de décider de répondre. Les questions de protection des données sont également fondamentales, notamment avec l'évolution des régulations telles que le RGPD en lien avec l'IA dans les marchés publics. Pour approfondir ce sujet, lisez notre article sur le RGPD et IA dans les marchés publics : ce que dit la réglementation.

Ce que ça change pour vous, TPE et PME

Bien que la fiche technique s'adresse principalement aux acheteurs publics, les TPE et PME des secteurs du bâtiment, de l'architecture, du nettoyage, des bureaux d'études BTP ou de la sécurité sont indirectement concernées. Si votre entreprise utilise des services d'informatique en nuage pour la gestion de ses projets, la collaboration avec ses clients publics ou le stockage de données sensibles liées à des marchés, les attentes de vos clients publics en matière de sécurité et de souveraineté numérique vont évoluer. Vous pourriez être interrogé sur les mesures de sécurité de vos propres outils ou celles de vos sous-traitants.

Pour les bureaux d'études BTP ou les architectes qui pourraient proposer des solutions logicielles ou des plateformes collaboratives à des entités publiques, cette réglementation crée de nouvelles exigences. Il est crucial d'être en mesure de démontrer la conformité de vos services ou de vos pratiques aux standards de sécurité attendus, notamment SecNumCloud, ou d'expliquer comment vous gérez la protection des données sensibles.

Anticiper ces nouvelles exigences permet de renforcer la compétitivité de votre offre. Cela implique de revoir vos pratiques en matière de gestion des données, de choisir des prestataires cloud respectant ces standards et d'être prêt à intégrer des clauses contractuelles spécifiques lors de la réponse aux appels d'offres.

Questions fréquentes

Q : Cette nouvelle réglementation sur le cloud me concerne-t-elle si mon entreprise ne fournit pas directement des services d'informatique en nuage ? R : Oui, indirectement. Si vous travaillez pour des acheteurs publics, ils seront tenus d'appliquer ces règles pour leurs propres achats de cloud. Ils pourraient donc exiger de leurs prestataires, même non cloud, des garanties sur la manière dont les données sensibles sont traitées ou stockées si vous utilisez des services numériques dans le cadre de votre prestation.

Q : Qu'est-ce que le référentiel SecNumCloud de l'ANSSI et pourquoi devrais-je m'y intéresser ? R : SecNumCloud est une certification de sécurité de l'ANSSI pour les services cloud, garantissant un niveau élevé de protection et de souveraineté des données. Les acheteurs publics sont encouragés à recourir à des services qualifiés SecNumCloud. S'y intéresser permet de comprendre les standards de sécurité exigés et d'adapter vos propres pratiques ou le choix de vos fournisseurs cloud pour rester compétitif sur les marchés publics.

Q : Comment puis-je m'assurer que mes outils numériques ou mes pratiques sont conformes aux attentes des acheteurs publics face à cette nouvelle réglementation ? R : Il est recommandé de lire attentivement les exigences de sécurité des données dans les futurs dossiers de consultation. Évaluez la conformité de vos propres services cloud ou ceux de vos sous-traitants avec les standards comme SecNumCloud. Vous pouvez aussi vous appuyer sur les bonnes pratiques et clauses-types publiées par la DAJ pour anticiper les demandes contractuelles.