Le décret d’application de l’article 31 de la loi SREN vient préciser les exigences imposées aux administrations lorsqu’elles externalisent leurs données sensibles vers des offres cloud privées. Une étape supplémentaire dans la structuration du “cloud de confiance”, sur fond de pression cyber accrue et d’enjeux de souveraineté.
Une doctrine qui devient contraignante
Depuis 2021, l’État s’appuie sur le référentiel SecNumCloud pour qualifier les offres les plus sécurisées du marché. La loi sur la sécurisation de l’espace numérique a introduit un principe structurant : le niveau de protection doit être aligné sur la sensibilité des données.
Le décret signé par le Premier ministre en tire les conséquences opérationnelles. Il encadre le recours aux offres cloud commerciales en posant une obligation claire : les entités relevant du périmètre de l’article 31 doivent s’appuyer sur des solutions qualifiées SecNumCloud par ANSSI.
Le périmetre : un cloud sous condition de sécurité
Le decret veut determiner “les mesures, procédures et conditions propres à assurer la sécurité et la protection des données pour les services d’informatique en nuage fournis aux administrations par le secteur privé et précise les conditions dans lesquelles
une dérogation à l’application de l’article précité peut être accordée”.
Sont donc concernés les services et les opérateurs de l’Etat ainsi que 6 groupements d’intérêt public (GPI) suivant : l’Agence du Numérique en Santé, le CASD (centre d’accès sécurisé aux données), le centre ressources prévention de la radicalisation, le CAD (collecteur analyseur de données), le GIP MDS (Groupement d’intérêt public Modernisation des Déclarations Sociales) et le système national d’enregistrement de la demande de logement social.
