Contexte
La doctrine "Cloud au Centre", publiée par la DINUM en 2021 et mise à jour en 2023, encadre l'usage du cloud par l'administration française. La circulaire 6282/SG du Premier ministre impose l'hébergement des données sensibles sur un cloud interne ou sur une offre qualifiée SecNumCloud par l'ANSSI. Ce cadre est complété par le RGPD, par la directive NIS2 et, pour la santé, par la certification HDS. Les références réglementaires citées sur cette page sont consultables sur legifrance.gouv.fr et cyber.gouv.fr.
Cibles
À qui s'adresse cette doctrine
Administration centrale
Collectivités territoriales
Établissements publics
Opérateurs d'importance vitale
Cadre réglementaire
Les références applicables
Doctrine Cloud au Centre
Publiée par la DINUM en mai 2021, mise à jour en mai 2023. Impose l'usage prioritaire d'un cloud interne de l'État ou d'un cloud commercial qualifié SecNumCloud pour les données sensibles. Source : circulaire 6282/SG accessible via legifrance.gouv.fr.
SecNumCloud (ANSSI)
Visa de sécurité délivré par l'ANSSI au titre du référentiel SecNumCloud v3.2. Atteste de la conformité aux exigences de souveraineté, de protection contre les ingérences étrangères et de sécurité opérationnelle. Liste publique des prestataires qualifiés sur cyber.gouv.fr.
RGPD (CNIL)
Règlement (UE) 2016/679. L'article 9 encadre les données sensibles (santé, opinions politiques, identifiants biométriques). La CNIL recommande l'hébergement UE et la documentation des transferts hors EEE depuis l'arrêt Schrems II (CJUE, 2020).
Directive NIS2
Directive (UE) 2022/2555, transposition en droit français en cours. Étend le périmètre des entités essentielles et importantes, renforce les exigences de gestion des risques et de notification d'incidents. S'applique aux administrations et à une partie des opérateurs publics.
Cas d'usage type
Trois situations récurrentes
Hébergement de données de santé territoriales
Exigences
Fournisseurs candidats
Fournisseurs qualifiés SecNumCloud disposant aussi de la certification HDS sur le périmètre évalué.
Plateforme d'identité numérique citoyenne
Exigences
Fournisseurs candidats
Fournisseurs qualifiés SecNumCloud avec offre IAM souveraine et HSM EU certifiés eIDAS.
Stockage longue durée d'archives publiques
Exigences
Fournisseurs candidats
Fournisseurs UE proposant object storage WORM, scellement et réversibilité contractuelle.