Décret n° 2026-272 du 14 avril 2026 relatif à la protection des données d’une sensibilité particulière des administrations, opérateurs et groupements d’intérêt public de l’Etat traitées par un service d’informatique en nuage fourni par un prestataire privé

JO du 16 avril 2026 et rectificatif publié au JO du 18 avril 2026

Ce texte est pris en application de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique. L’article 31 de cette loi prévoit que si un système ou un application informatique traite des données d’une sensibilité particulière (qu’elles soient à caractère personnel ou non) et si leur violation est susceptible d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé ou à la vie des personnes ou à la protection de la propriété intellectuelle, l’administration de l’Etat, ses opérateurs et certains groupements fixés réglementairement veillent à ce que le service d’informatique en nuage fourni par le prestataire privé mette en œuvre des critères de sécurité et de protection des données garantissant notamment la protection des données traitées ou stockées contre tout accès par des autorités publiques d’Etats tiers non autorisé par le droit de l’Union européenne ou d’un Etat membre.
Dans ce cadre, ce texte liste les groupements d’intérêt public suivants tenus au respect de ces exigences à savoir :
– agence du numérique en santé ;
– centre d’accès sécurisé aux données ;
– centre ressources prévention de la radicalisation ;
– collecteur analyseur de données ;
– modernisation des déclarations sociales ;
– système national d’enregistrement de la demande de logement social.
Il renvoie le soin à un référentiel élaboré par l’Agence nationale de la sécurité des systèmes d’information et approuvé par arrêté du Premier ministre de fixer les exigences à respecter au titre de l’article 31 de la loi précitée. Ce référentiel définit le niveau d’exigence requis dans certains domaines à savoir notamment :
– l’organisation de la sécurité de l’information et de l’exploitation du service ainsi que la gestion des risques, y compris au niveau de la chaîne de sous-traitance ;
– la gestion des ressources humaines pour les personnels impliqués dans la fourniture du service, comprenant en particulier la mise en œuvre d’un plan de formation concernant la sécurité de l’information adapté au service ;
– la gestion des relations avec les tiers participant à la mise en œuvre du service ;
– la gestion des équipements mettant en œuvre le service, comprenant notamment des mesures de sécurité physique et environnementale ;
– la sécurité des systèmes d’information, comprenant notamment des mesures de cryptologie, de contrôle d’accès aux données du service et de gestions des identités des utilisateurs participant à la mise en œuvre du service.
La conformité d’un service d’informatique en nuage fourni par un prestataire privé aux exigences énoncées par ce référentiel est attestée par une qualification attribuée dans les conditions prévues par le décret du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité des systèmes d’information ou par une certification de l’Union européenne ou d’un Etat partie à l’espace économique européen d’un niveau au moins équivalent. Le texte définit, ainsi, les mesures, procédures et conditions permettant d’assurer la sécurité et la protection des données pour les services d’informatique en nuage fournis aux administrations par le secteur privé.
Il établit également les conditions dans lesquelles une dérogation à l’application de ces exigences peut être accordée. Ainsi, une administration, un opérateur de l’Etat ou un groupement qui a engagé un projet mettant en œuvre des données stratégiques et sensibles avant le 16 avril 2026 en recourant à un service d’informatique en nuage fourni par un prestataire privé non conforme aux exigences précitées sollicite une dérogation auprès du ministre dont relève ce projet, selon des modalités fixées par un arrêté précisant notamment le contenu du dossier de demande. Le ministre décide dans un délai de deux mois d’accorder ou non la dérogation après validation par le Premier ministre selon des modalités fixées par ce même arrêté. La décision accordant ou refusant la dérogation est rendue publique avec sa motivation sur un site internet relevant du Premier ministre.
Ce texte a fait l’objet d’un rectificatif publié au JO du 18 avril 2026 (ajout d’un pavé de signature).