Cloud souverain : le décret SREN durcit le cadre pour les données sensibles du secteur public

Publié au Journal officiel, le décret encadre explicitement les usages et les fournisseurs autorisés pour les données dites de sensibilité particulière. Il vient ainsi consolider les lignes directrices déjà posées par la doctrine « cloud au centre » et par le référentiel de confiance (SecNumCloud) promu par l’ANSSI.

Un cadre désormais précis

Jusqu’alors, l’interprétation de l’article 31 laissait des marges de manœuvre et suscitait des lectures différentes selon les directions informatiques. Le décret lève une partie de cette incertitude en définissant plus clairement les types de données et les catégories d’acteurs concernés, ainsi que les conditions d’hébergement dans le cloud.

Pour les établissements de santé, cela signifie que les projets de migration ou de mutualisation de SI (SIH, DMP, applications de télémédecine, etc.) devront désormais intégrer dès l’amont la question de la sensibilité des données, de la localisation des traitements et de la conformité du prestataire vis‑à‑vis des exigences réglementaires.

Montée en puissance des offres de confiance

Le texte renforce de fait l’avantage des offres de cloud de confiance répondant au référentiel SecNumCloud ou à des exigences similaires. Ces solutions, généralement positionnées comme des plateformes souveraines, déjà utilisées dans plusieurs projets publics, se retrouvent logiquement confortées dans leur rôle de support des données sensibles.

Pour les établissements de santé, cela peut se traduire par une pression accrue sur les DSI pour repenser les architectures : simplification des SI, recentrage sur quelques plateformes de confiance, et suspension ou révision des projets reposant sur des hyperscalers non conformes au cadre qui vient d’être fixé.

Impact sur les achats et les projets

Au-delà de la technique, le décret aura un impact direct sur les marchés publics et les cahiers des charges. Les établissements publics seront désormais tenus de justifier les choix d’hébergement et de montrer que les prestataires retenus ne soumettent pas les données sensibles à des législations extra‑territoriales.

Dans la pratique, les équipes de SI devront intégrer ces exigences dans les appels d’offres, les POC et les contrats de service. Les fournisseurs non‑souverains devront, s’ils veulent rester en lice, proposer des solutions adaptées ou des structures dédiées isolées, conformes aux exigences de protection et de localisation des données.

Un signal pour la filière numérique

Le décret envoie un signal clair à l’ensemble de la filière : la souveraineté numérique n’est plus un discours mais un critère d’arbitrage réglementaire. Pour les acteurs du numérique, y compris les hébergeurs historiques, cela change la nature des enjeux concurrentiels