Hébergement des données sensibles de l’État : le gouvernement fixe enfin le cadre réglementaire

Deux ans après la publication de la loi SREN, le Premier ministre a signé un décret d’application, qui attend encore un référentiel de l’Anssi pour entrer en vigueur.

Le Premier ministre français Sébastien Lecornu a signé, le 14 avril 2026, le décret d’application de l’article 31 de la loi du 21 mai 2024 « visant à sécuriser et réguler l’espace numérique » (SREN), portant sur l’hébergement des données sensibles de l’État. Le texte précise les conditions dans lesquelles les administrations publiques peuvent recourir à des services de cloud privés pour traiter ces informations.

Il impose notamment une protection contre les lois extraterritoriales, invitant implicitement à privilégier les opérateurs certifiés SecNumCloud, sans pour autant nommer la qualification de l’Anssi. Le décret confie d’ailleurs à cette dernière la rédaction d’un référentiel d’exigences techniques, qui devra être validé par les services de Matignon. L’entrée en vigueur de l’article 31 de la loi SREN devra donc encore attendre, l’Anssi n’ayant pas encore publié ce référentiel couvrant dix domaines clés de la sûreté des données.

Le décret évoque par ailleurs les organisations ayant des contrats en cours avec des fournisseurs non conformes. Si une offre respectant les exigences imposées par le texte existe, les entités concernées auront 18 mois pour effectuer la migration. Si aucune offre n’est disponible, une dérogation de 12 mois leur sera accordée.