Inconvénients dans l'utilisation d'un critère sur la détention du capital d'une société

En France, les prescriptions SecNumCloud sont la référence. Dans la dernière version du référentiel [1], un paragraphe [2] impose un seuil maximal de détention du capital hors de l’Union européenne. L’idée sous-jacente est que la structure capitalistique de l’entreprise détermine les lois auxquelles elle est soumise.

Cependant, cette approche présente deux inconvénients majeurs:

1) en matière de commande publique et de réglementation : elle vise explicitement à exclure les entreprises non européennes. Face au risque de contestation devant des organisations internationales qui régissent le commerce ou de tensions avec les États-Unis, ce cadre n’a pas été validé au niveau européen.

Dans cette même logique, le périmètre des données sensibles nécessitant le recours à SecNumCloud pour l’État a été progressivement réduit. En 2021 [3], ce périmètre incluait

« les données d’une sensibilité particulière, qu’elles relèvent des données personnelles des citoyens français, des données économiques relatives aux entreprises françaises, ou d’applications métiers relatives aux agents publics de l’État »

En 2023 [4], le recours à SecNumCloud a été restreint aux cas réunissant deux conditions cumulatives :

Des données, personnelles ou non, d’une sensibilité particulière (définition plus restrictive qu’en 2021 [5]) ;
Dont la violation est susceptible d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé ou à la vie des personnes, ou à la protection de la propriété intellectuelle (nouvelle mesure).

En mars 2026, un Vademecum [6] a précisé l’interprétation de ces critères. Par exemple, les « données relatives aux bulletins de notes des établissements scolaires » (ministère de l’Éducation nationale) sont considérées comme sensibles (premier critère), mais leur violation ne présente pas de risque avéré pour la sécurité, l’ordre public, la santé ou la vie des personnes, ni pour la propriété intellectuelle. Ainsi, selon ce vademecum, les départements, les régions ou le ministère de l’Éducation nationale ne peuvent pas exiger le recours à SecNumCloud pour héberger ces données.

2) aucune publication n'a à ce jour exprimé la valeur juridique de la garantie d'immunité au lois extraterritoriale apporter par ces critères. L'exemple de l'affaire Ontario/OVH [7] pourrait même suggérer que ce n'est pas le cas.

[1] Prestataires de services informatique en nuage (SecNumCloud), référentiel d’exigences (V3.2 du 3 mars 2022)

[2] §19.6

[3] Circulaire 6282-SG du 5 juillet 2021 relative à la doctrine d’utilisation de l’informatique en nuage de l’Etat

[4] Circulaire 6404/SG du 31 mai 2023 Actualisation de la doctrine d’utilisation de l’informatique en nuage de l’Etat (« cloud au centre »)

[5] - les données qui relèvent de secrets protégés par la loi, notamment au titre des articles L.311-5 et L.311-6 du code des relations entre le public et l'administration (par exemple, les secrets liés aux délibérations du Gouvernement et des autorités relevant du pouvoir exécutif, à la défense nationale, à conduite de la politique extérieure de la France, à la sûreté de l'Etat, aux procédures engagées devant les juridictions ou encore le secret de la vie privée, le secret médical, le secret des affaires qui comprend le secret des procédés, des informations économiques et financières et des stratégies commerciales ou industrielles);

- les données nécessaires à l'accomplissement des missions essentielles de l'État, notamment la sauvegarde de la sécurité nationale, le maintien de l'ordre public et la protection de la santé et de la vie des personnes.

[6] https://www.numerique.gouv.fr/offre-accompagnement/reference-vade-mecum-sensibilite-donnees/

[7] https://www.decideurs-juridiques.com/affaires-juridiques/63623-la-souverainete-des-donnees-hebergees-en-france-par-ovhcloud-mise-a-mal-par-une-decision-canadienne.html