SecNumCloud n’est pas une obligation légale généralisée. Depuis le décret n° 2026-272 du 14 avril 2026 (loi SREN), elle est obligatoire pour les administrations de l’État, ses opérateurs et 6 groupements d’intérêt public traitant des données sensibles. Elle est fortement recommandée, voire imposée indirectement, pour les OIV, OSE, établissements de santé, acteurs financiers (DORA) et entités NIS2. Pour le reste des entreprises, elle reste un choix stratégique — mais un choix de plus en plus déterminant pour accéder aux marchés publics et aux clients sensibles.
Ce qui a changé en 2026 : du principe à l’obligation
Jusqu’à récemment, le recours à SecNumCloud relevait de la doctrine « Cloud au centre » (circulaire du Premier ministre du 5 juillet 2021) : une recommandation forte pour les administrations, sans portée contraignante généralisée ni sanction associée.
Le décret d’application de l’article 31 de la loi SREN, publié au Journal officiel le 16 avril 2026 (décret n° 2026-272 du 14 avril 2026), change la donne. Il rend désormais opposable l’obligation, pour les administrations de l’État, ses opérateurs et six groupements d’intérêt public nommément désignés, de recourir à un prestataire cloud conforme au référentiel ANSSI lorsqu’ils traitent des données d’une sensibilité particulière.
Les deux conditions cumulatives qui déclenchent l’obligation
- Sensibilité particulière de la donnée — la donnée doit relever de secrets protégés par la loi ou être nécessaire à une mission essentielle de l’État.
- Risque caractérisé en cas de violation — une atteinte à l’ordre public, à la sécurité publique, à la santé ou à la vie des personnes, ou à la protection de la propriété intellectuelle, et ce risque doit être réel et non simplement hypothétique.
Point opérationnel à connaître : dès qu’une donnée de votre système déclenche ces deux conditions, l’ensemble des données hébergées sur la même infrastructure doit être protégé au même niveau, sauf cloisonnement technique efficace démontré.
Le décret prévoit un mécanisme de dérogation : si une offre conforme existe déjà sur le marché, l’organisme dispose de 18 mois pour s’y conformer ; en l’absence d’offre adéquate, la dérogation est accordée pour une durée pouvant aller jusqu’à un an, renouvelable, sur décision motivée et rendue publique.
Vue d’ensemble
| Catégorie | Qui est concerné ? | Niveau d’exigence | Texte de référence |
| Obligation stricte | Administrations centrales, opérateurs de l’État, 6 GIP désignés | SecNumCloud obligatoire pour données sensibles | Décret n° 2026-272 du 14/04/2026 (art. 31 loi SREN) |
| Obligation forte (sectorielle) | OIV, OSE, santé (HDS), finance (DORA), entités NIS2 | SecNumCloud requis ou fortement aligné par la réglementation sectorielle | Réglementations sectorielles propres (pas SecNumCloud nommément) |
| Standard de facto | ETI/PME en appel d’offres public, fournisseurs d’OIV, éditeurs SaaS sensibles | Recommandé | Doctrine « Cloud au centre », exigences contractuelles clients |
Depuis le décret du 14 avril 2026, doivent recourir à un prestataire conforme au référentiel SecNumCloud (ou à une certification européenne d’un niveau au moins équivalent) pour leurs données sensibles :
- Les administrations centrales : ministères et services nationaux délocalisés
- Les opérateurs de l’État
- Six groupements d’intérêt public (GIP) désignés par le décret, lorsqu’ils traitent des données sensibles au sens défini ci-dessus
Les organisations soumises à une obligation stricte
Depuis le décret du 14 avril 2026, doivent recourir à un prestataire conforme au référentiel SecNumCloud (ou à une certification européenne d’un niveau au moins équivalent) pour leurs données sensibles :
- Les administrations centrales : ministères et services nationaux délocalisés
- Les opérateurs de l’État
- Six groupements d’intérêt public (GIP) désignés par le décret, lorsqu’ils traitent des données sensibles au sens défini ci-dessus
Les organisations soumises à une obligation forte
Ces organisations ne sont pas directement nommées par le décret SREN, mais leur réglementation sectorielle propre crée une pression équivalente vers les standards de sécurité et de souveraineté portés par SecNumCloud :
- Les Opérateurs d’Importance Vitale (OIV) : énergie, eau, transport, santé, télécommunications, finance, industrie stratégique
- Les Opérateurs de Services Essentiels (OSE) : santé, transport, énergie, infrastructures numériques, fournisseurs de services critiques
- Les établissements de santé, via la certification HDS (lien vers notre page)
- Les acteurs financiers soumis à DORA
- Les entités essentielles et importantes soumises à NIS2
Les recommandations devenant standard de facto
- Les ETI et PME répondant à des appels d’offres publics ou travaillant avec des OIV
- Toute organisation souhaitant démontrer un niveau de sécurité supérieur à ses clients
- Les éditeurs SaaS ciblant des marchés sensibles
Questions fréquentes
Non. L’obligation légale issue du décret SREN ne vise que les administrations de l’État, ses opérateurs et certains GIP traitant des données sensibles. Pour les entreprises privées, SecNumCloud reste une démarche volontaire, qui devient toutefois un standard de fait dans les secteurs régulés et pour les fournisseurs de l’État.
Le décret ne prévoit pas de sanction pénale directe, mais conditionne la conformité des marchés publics concernés. Une dérogation motivée et rendue publique peut être accordée si aucune offre conforme n’est disponible sur le marché.
Non, pas dans le périmètre du décret SREN. Ces certifications couvrent la sécurité de l’information ou l’hébergement de données de santé, mais ne garantissent pas la protection contre les accès non autorisés par des autorités publiques d’États tiers, qui est spécifique à SecNumCloud.
Ce qu’il faut retenir
SecNumCloud reste, à ce jour, une qualification volontaire pour l’immense majorité des entreprises privées. Mais le décret SREN de 2026 marque un tournant : il transforme une partie du périmètre public en obligation légale opposable, et renforce, par ricochet, la pression sur l’ensemble de l’écosystème qui travaille avec ce secteur — y compris les ETI et éditeurs SaaS qui n’y sont pas directement soumis.
