Aller au contenu
NNextHop
Secteur public

Cloud souverain pour l'administration française et européenne.

Doctrine d'État, qualification SecNumCloud, RGPD, NIS2 : repères opérationnels pour les acheteurs publics, les DSI ministériels et les collectivités territoriales.

Contexte

La doctrine "Cloud au Centre", publiée par la DINUM en 2021 et mise à jour en 2023, encadre l'usage du cloud par l'administration française. La circulaire 6282/SG du Premier ministre impose l'hébergement des données sensibles sur un cloud interne ou sur une offre qualifiée SecNumCloud par l'ANSSI. Ce cadre est complété par le RGPD, par la directive NIS2 et, pour la santé, par la certification HDS. Les références réglementaires citées sur cette page sont consultables sur legifrance.gouv.fr et cyber.gouv.fr.

Cibles

À qui s'adresse cette doctrine

Administration centrale

Souveraineté juridique sur les données régaliennes et les bases de souveraineté.
Immunité extraterritoriale exigée pour les données classées DR ou supérieur.
Qualification SecNumCloud rendue obligatoire par la circulaire 6282/SG pour les SI sensibles.

Collectivités territoriales

Hétérogénéité des SI : maîtrise progressive de la dette technique cloud.
Données usagers (état civil, social, urbanisme) protégées par RGPD article 9 pour les catégories sensibles.
Mutualisation possible via centrales d'achat (UGAP, GIP, syndicats mixtes).

Établissements publics

Universités, hôpitaux, agences : SI métier souvent multi-fournisseurs.
Données de recherche, de santé et de formation soumises à régimes spécifiques.
Réversibilité contractuelle exigée lors des renouvellements de marché.

Opérateurs d'importance vitale

Statut OIV ou OSE encadré par la LPM et la directive NIS2.
Hébergement national obligatoire pour les fonctions essentielles, supervision ANSSI.
Plans de continuité et de reprise documentés, audits réguliers.

Cadre réglementaire

Les références applicables

Doctrine Cloud au Centre

Publiée par la DINUM en mai 2021, mise à jour en mai 2023. Impose l'usage prioritaire d'un cloud interne de l'État ou d'un cloud commercial qualifié SecNumCloud pour les données sensibles. Source : circulaire 6282/SG accessible via legifrance.gouv.fr.

SecNumCloud (ANSSI)

Visa de sécurité délivré par l'ANSSI au titre du référentiel SecNumCloud v3.2. Atteste de la conformité aux exigences de souveraineté, de protection contre les ingérences étrangères et de sécurité opérationnelle. Liste publique des prestataires qualifiés sur cyber.gouv.fr.

RGPD (CNIL)

Règlement (UE) 2016/679. L'article 9 encadre les données sensibles (santé, opinions politiques, identifiants biométriques). La CNIL recommande l'hébergement UE et la documentation des transferts hors EEE depuis l'arrêt Schrems II (CJUE, 2020).

Directive NIS2

Directive (UE) 2022/2555, transposition en droit français en cours. Étend le périmètre des entités essentielles et importantes, renforce les exigences de gestion des risques et de notification d'incidents. S'applique aux administrations et à une partie des opérateurs publics.

Cas d'usage type

Trois situations récurrentes

Hébergement de données de santé territoriales

Exigences

Certification HDS (Hébergeur de Données de Santé) obligatoire.
Localisation des données, métadonnées et journaux en France ou dans l'UE.
Engagement écrit sur l'immunité extraterritoriale pour les catégories sensibles.

Fournisseurs candidats

Fournisseurs qualifiés SecNumCloud disposant aussi de la certification HDS sur le périmètre évalué.

Plateforme d'identité numérique citoyenne

Exigences

Conformité eIDAS pour la vérification d'identité et les signatures qualifiées.
Chiffrement des clés maître dans des HSM européens certifiés.
Audit de sécurité annuel par un tiers accrédité.

Fournisseurs candidats

Fournisseurs qualifiés SecNumCloud avec offre IAM souveraine et HSM EU certifiés eIDAS.

Stockage longue durée d'archives publiques

Exigences

Conservation réglementaire (Code du patrimoine, dela d'instruction).
Réversibilité des données au format ouvert (PDF/A, XML normés).
Engagement de localisation UE sur l'ensemble du cycle de vie.

Fournisseurs candidats

Fournisseurs UE proposant object storage WORM, scellement et réversibilité contractuelle.