🔍 Pourquoi ce décret est important ?
Depuis plusieurs années, les administrations utilisent massivement des services d’informatique en nuage (cloud) fournis par des acteurs privés.
Problème :
➡️ Certaines données traitées sont hautement sensibles (santé, logement, données sociales, etc.)
➡️ Et peuvent être exposées à des risques juridiques ou géopolitiques (accès par des autorités étrangères, dépendance technologique, etc.)
Ce décret vient encadrer strictement ces pratiques en imposant un niveau d’exigence élevé.
👉 Il s’inscrit dans la continuité de la loi du 21 mai 2024 sur la souveraineté numérique.
🏛️ Qui est concerné ?
Le décret vise trois grandes catégories :
- Les administrations de l’État
- Les opérateurs publics
- Certains groupements d’intérêt public (GIP) explicitement listés
GIP concernés (article 1)
Par exemple :
- l’Agence du numérique en santé
- le Centre d’accès sécurisé aux données
- le système national d’enregistrement de la demande de logement social
👉 Ces structures manipulent des données particulièrement sensibles, ce qui justifie un encadrement renforcé.
🔐 Un référentiel de sécurité très exigeant
Le cœur du décret se trouve à l’article 2 :
➡️ Il impose le respect d’un référentiel de sécurité élaboré par l’ANSSI (Agence nationale de la sécurité des systèmes d'information).
Ce référentiel couvre 10 domaines clés, dont :
1. Sécurité globale du service
- Gestion des risques
- Sécurité de la chaîne de sous-traitance
2. Ressources humaines
- Formation obligatoire à la sécurité
- Encadrement des accès sensibles
3. Sécurité technique
- Cryptologie
- Contrôle des accès
- Gestion des identités
4. Continuité d’activité
- Gestion des incidents
- Plans de reprise
5. Clauses contractuelles obligatoires
- Réversibilité (récupération des données)
- Droit applicable
6. Localisation et souveraineté
- Hébergement des données
- Transferts vers l’étranger
- Structure capitalistique du prestataire
7. Protection contre les ingérences étrangères
- Interdiction d’accès non autorisé par un État tiers
👉 Point clé : un prestataire cloud doit désormais prouver sa conformité via une qualification ou certification reconnue.
🌍 Une logique claire : la souveraineté des données
Le décret ne le dit pas explicitement, mais son objectif est évident :
➡️ Limiter la dépendance aux fournisseurs non européens
➡️ Empêcher l’accès aux données par des lois étrangères (type CLOUD Act américain)
➡️ Favoriser des solutions cloud de confiance
⏳ Et pour les projets déjà en cours ?
Le décret prévoit une période transitoire intelligente (article 3) :
- Les projets existants non conformes doivent demander une dérogation
- Celle-ci est :
- limitée dans le temps (12 à 18 mois)
- accordée seulement s’il n’existe pas d’offre conforme adaptée
👉 Autrement dit :
on laisse le temps de s’adapter, mais pas de rester non conforme.
⚖️ Ce que cela change concrètement
Pour les administrations
- Obligation de revoir leurs prestataires cloud
- Renforcement des exigences contractuelles
- Audit des systèmes existants
Pour les prestataires cloud
- Nécessité d’obtenir une qualification ANSSI ou équivalent
- Mise en conformité lourde (technique + juridique)
- Transparence sur leur gouvernance et leurs liens capitalistiques
Pour les entreprises privées (effet indirect)
Même si elles ne sont pas directement visées :
➡️ Ce décret crée un standard de marché
➡️ Qui influencera rapidement les appels d’offres publics et privés
💡 Le vrai enjeu : anticiper, pas subir
Ce texte illustre une tendance de fond :
👉 La réglementation numérique devient :
- plus technique
- plus exigeante
- plus rapide
Sans veille réglementaire efficace, le risque est clair :
- non-conformité
- perte de marchés
- dépendance technologique
C’est précisément dans ce contexte que des solutions comme KAiSA prennent tout leur sens :
➡️ Transformer des textes complexes en exigences opérationnelles
➡️ Suivre les évolutions en continu
➡️ Sécuriser les décisions grâce à une analyse fiable
📌 À retenir
- Le décret du 14 avril 2026 encadre strictement le recours au cloud pour les données sensibles de l’État
- Il impose un référentiel de sécurité piloté par l’ANSSI
- Il renforce la souveraineté numérique française
- Il oblige à une mise en conformité rapide des acteurs concernés
🧭 Conclusion
Ce décret n’est pas un simple texte technique.
C’est un signal fort :
➡️ La donnée publique sensible devient un enjeu stratégique national.
Et demain, cette exigence dépassera largement le secteur public.
Anticiper ces évolutions n’est plus un avantage concurrentiel.
C’est une nécessité.