Le triptyque réglementaire 2026 : ce que les administrations et leurs prestataires doivent appliquer

En deux mois et demi, trois textes ont transformé la souveraineté numérique du secteur public, d'un principe en un ensemble d'obligations concrètes. Pour les administrations comme pour les entreprises qui travaillent avec elles, ce « triptyque réglementaire » impose désormais des actions précises. Voici, sans jargon inutile, ce que chacun change et ce qu'il faut faire pour s'y conformer.
Trois textes, une même direction
Nous avons expliqué les enjeux de fond de la souveraineté numérique dans notre article pilier sur le Cloud Act et SecNumCloud : concentrons-nous ici sur l'opérationnel. Entre février et avril 2026, trois textes sont venus structurer les exigences applicables au secteur public :
- La circulaire n° 6519/SG du 5 février 2026, qui fixe le cadre des achats numériques de l'État.
- Le décret n° 2026-209 du 24 mars 2026, qui renforce l'hébergement souverain des données de santé.
- Le décret n° 2026-272 du 14 avril 2026, qui encadre les données sensibles traitées en cloud privé.
Une distinction juridique s'impose d'emblée, car elle conditionne la portée de chaque texte : une circulaire est un acte de rang inférieur, sans valeur contraignante généralisée, tandis qu'un décret a force obligatoire. Le triptyque combine donc une orientation (la circulaire) et deux obligations (les décrets).
Texte 1 — La circulaire du 5 février : le cap des achats publics
Signée par le Premier ministre, cette circulaire fait de la souveraineté numérique le deuxième critère prioritaire des achats numériques de l'État, juste après la performance métier et devant la sécurité, dont elle est complémentaire. Surtout, elle en donne une définition opérationnelle en trois composantes : l'immunité au droit extra-européen à portée extraterritoriale, la capacité de substitution (pouvoir changer de solution, c'est-à-dire la réversibilité), et la maîtrise des technologies clés par des acteurs français ou européens.
Sa portée doit être bien comprise : elle ne fixe pas de barème chiffré ni de sanction, et ne contraint pas juridiquement. C'est un cap donné aux acheteurs publics. Mais dans les faits, elle oriente déjà les appels d'offres et les cahiers des charges.
Texte 2 — Le décret du 24 mars : les données de santé
Ce décret modifie le Code de la santé publique et renforce les obligations de tout hébergeur de données de santé à caractère personnel (en cohérence avec le référentiel HDS v2). Il impose trois obligations concrètes :
- Le stockage exclusif des données de santé au sein de l'Union européenne ou de l'Espace économique européen.
- L'encadrement des accès distants depuis des pays tiers, qui doivent reposer sur une base juridique RGPD solide.
- La transparence contractuelle sur les transferts et les risques d'accès extra-européens, assortie d'une cartographie actualisée des accès distants.
À noter : le texte n'interdit pas le recours à un prestataire non européen, mais il l'encadre strictement. Et attention à ne pas confondre les labels : la certification HDS porte sur l'hébergement de santé, mais ne garantit pas à elle seule l'immunité extraterritoriale propre à SecNumCloud. Les deux répondent à des objectifs différents.
Texte 3 — Le décret du 14 avril : les données sensibles en cloud privé
C'est le texte le plus structurant. Pris en application de l'article 31 de la loi SREN de 2024 (qu'il aura fallu deux ans pour rendre applicable), il encadre le recours au cloud privé pour les données d'une sensibilité particulière des administrations de l'État, de ses opérateurs et de six groupements d'intérêt public nommément désignés. Ces données sont celles couvertes par un secret protégé par la loi, ou nécessaires aux missions essentielles de l'État (sécurité nationale, ordre public, protection de la santé et de la vie).
Pour ces données, le service cloud doit offrir des garanties contre les accès non autorisés par des autorités d'États tiers, ce qui vise concrètement la qualification SecNumCloud ou un équivalent européen. Deux points méritent toutefois d'être soulignés en toute honnêteté :
- Le décret ne fixe pas lui-même les exigences techniques : il renvoie à un futur référentiel de l'ANSSI, qui devra être approuvé par arrêté et n'est pas encore publié. L'incertitude n'est donc pas totalement levée.
- Un mécanisme de dérogation existe pour les projets déjà engagés : si une offre conforme apparaît sur le marché, l'organisme dispose de 18 mois pour se mettre en conformité ; à défaut, une dérogation d'un an renouvelable est possible. Mais elle doit être motivée et rendue publique, pas utilisée comme une facilité.
Ce que les administrations doivent faire
Pour un DSI ou un RSSI public, ce triptyque appelle une démarche méthodique :
- Qualifier ses données : identifier ce qui relève des données de santé ou d'une sensibilité particulière au sens de la loi SREN. C'est le point de départ : sans cette cartographie, impossible de savoir quelles obligations s'appliquent.
- Cartographier les accès distants et les flux, notamment vers des pays tiers.
- Réviser les contrats et les marchés en cours, et justifier désormais les choix d'hébergement dans les cahiers des charges.
- Anticiper les migrations : la trajectoire du Health Data Hub vers un hébergeur qualifié illustre le mouvement de fond. Mieux vaut planifier que subir.
- Documenter toute dérogation par un dossier solide (état du projet, absence d'offre conforme).
Ce que les prestataires doivent anticiper
C'est ici que ce sujet rejoint la logique de notre article sur NIS2 et les PME : la pression réglementaire ruisselle des donneurs d'ordre publics vers leurs fournisseurs. Un éditeur de logiciel, une ESN ou un intégrateur qui travaille avec l'État, un opérateur public ou un GIP doit se poser les bonnes questions :
- Le besoin du client porte-t-il sur des données sensibles au sens de la loi SREN ? Si non, SecNumCloud reste un atout commercial ; si oui, il devient une condition d'accès au marché.
- Mon offre est-elle qualifiée SecNumCloud, ou adossée à une offre qualifiée ?
- Mes clauses contractuelles couvrent-elles la localisation des données, la transparence sur les accès de pays tiers et la maîtrise de la chaîne de sous-traitance ?
- Ma solution est-elle réversible (capacité de substitution) ?
L'erreur classique, et nous insistons dessus, consiste à confondre cloud souverain et « marketing souverain » : un hébergement en France ne suffit pas si la maison mère, le support technique ou un sous-traitant peuvent créer un risque d'accès étranger. La souveraineté se prouve sur la juridiction réelle, pas sur un argument commercial.
Un chantier inachevé, mais une direction limpide
Soyons lucides : ce cadre reste en construction. Le référentiel de l'ANSSI attendu pour le décret du 14 avril n'est pas publié, et il aura fallu deux ans pour appliquer l'article 31 de la loi SREN. La souveraineté numérique française avance par étapes, avec ses lenteurs. Mais la direction, elle, ne fait plus de doute, et d'autres textes suivront (révision européenne des marchés publics, plan interministériel de la DINUM sur sept domaines prioritaires).
Pour les organisations comme pour les professionnels, l'enjeu est d'anticiper. Maîtriser ces obligations, savoir qualifier des données, auditer une chaîne de sous-traitance ou rédiger des clauses conformes sont des compétences désormais très recherchées, dans le secteur public comme chez ses prestataires.
Chez KLE Formations, notre parcours en cybersécurité forme aux fondations de cette conformité : gouvernance, protection des données, analyse des risques. Accessible et finançable (CPF, France Travail, OPCO, Transitions Pro), il vise un titre RNCP de niveau 7. Pour le détail du référentiel concerné, lisez notre focus sur le label SecNumCloud, et pour la logique de conformité côté entreprises, notre article sur NIS2.
Le triptyque 2026 ne restera pas une parenthèse : il marque le passage de la souveraineté numérique du discours à l'obligation. Autant en faire une compétence dès maintenant.
Sources : circulaire n° 6519/SG du 5 février 2026 ; décret n° 2026-209 du 24 mars 2026 ; décret n° 2026-272 du 14 avril 2026 (JO du 16 avril, en vigueur le 17 avril) pris en application de l'article 31 de la loi n° 2024-449 du 21 mai 2024 (SREN) ; fiche de la Direction des affaires juridiques de Bercy du 6 mai 2026 ; analyses Mathias Avocats, Delsol Avocats, Derriennic, L'Usine Digitale, DSIH et Squair (portée des textes, périmètre, dérogations). Références et statuts à jour à la mi-2026 ; le référentiel ANSSI d'application du décret du 14 avril était attendu mais non publié à cette date.
