📝 Article

L’article 31 de la loi SREN est désormais pleinement opérationnel : son décret d’application est paru !

Libralis
20 avril 2026 · de lecture

Rappel : L’article 31[1] vise à transcrire dans la loi la doctrine "Cloud au centre" et définit les conditions de recours au SecNumCloud.

Qui est concerné ?

·       Selon l’alinéa I :

o   Les administrations de l’État.

o   Leurs opérateurs (liste annexée au projet de loi de finances).

o   Les GIP (Groupements d’Intérêt Public) fixés par décret en Conseil d’État.

·       Selon l’alinéa IV :

o   Le PDS (Pôle de Données de Santé), plus connu sous le nom de HDH (Hébergement de Données de Santé).

·       Selon le décret d’application[2], la liste des GIP concernés inclut :

o   Agence du numérique en santé ;

o   Centre d’accès sécurisé aux données ;

o   Centre ressources prévention de la radicalisation ;

o   Collecteur analyseur de données ;

o   Modernisation des déclarations sociales ;

o   Système national d’enregistrement de la demande de logement social.

Remarque : Les opérateurs comme la CNAM, CNAF, CNAV ou l’UCN, ainsi que les collectivités territoriales (projet en cours ?), ne sont pas concernés.

Quoi?

·       Le recours au cloud public via un prestataire privé (ne concerne pas les clouds de l’État, comme Cloud Pi ou Nubo).

·       Pour les données répondant aux deux conditions cumulatives (alinéas I et II) :

o   D’une sensibilité particulière[3].

o   Dont la violation est susceptible d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé ou à la vie des personnes, ou à la protection de la propriété intellectuelle.

Un vade-mecum[4] a été publié par la DINUM pour accompagner cette mise en œuvre.

Conséquences

·       Recours obligatoire à un prestataire qualifié SecNumCloud (article 2 du décret).

·       À partir de quand ?

o   Immédiatement, sauf dérogation accordée par le ministre de tutelle après validation par le Premier ministre.

o   La dérogation est accordée pour :

§  Une durée maximale de 18 mois à partir de la disponibilité d’une offre acceptable pour les projets déjà lancés.

§  Une durée d’un an renouvelable tant qu’une offre SecNumCloud acceptable n’est pas disponible.

o   Un arrêté[5] précise la procédure de saisine de la DINUM.

·       Condition d’acceptabilité d’une offre SecNumCloud :

o   Elle doit répondre « au besoin fonctionnel de l’administration ou de l’organisme concerné, en prenant en compte son coût ».

·       Transparence :

o   Les décisions de dérogation et leurs motivations seront rendues publiques.


[1] https://www.legifrance.gouv.fr/loda/article_lc/LEGIARTI000049565888/2024-05-23

[2] https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000053900789

[3] 1° Les données qui relèvent de secrets protégés par la loi, notamment au titre des articles L. 311-5 et L. 311-6 du code des relations entre le public et l'administration ;
2° Les données nécessaires à l'accomplissement des missions essentielles de l'Etat, notamment la sauvegarde de la sécurité nationale, le maintien de l'ordre public et la protection de la santé et de la vie des personnes.

[4] https://www.numerique.gouv.fr/offre-accompagnement/reference-vade-mecum-sensibilite-donnees/

[5] https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000053900806

← Retour aux actualités