Réponse publiée le 3 février 2026

Cette question s'inscrit dans la continuité du travail engagé depuis 2021 avec la stratégie nationale Cloud au centre qui vise à saisir les opportunités offertes par les évolutions technologiques tout en répondant aux enjeux de sécurité posés par le recours à des services d'informatique en nuage, en particulier ceux qui concernent la protection des données les plus sensibles, des administrations, des citoyens et des entreprises. Cette stratégie repose notamment sur les principes de la circulaire relative à la doctrine d'utilisation de l'informatique en nuage par l'État du 5 juillet 2021[1] du Premier ministre, et sur la qualification SecNumCloud délivrée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), qui garantit un niveau de protection élevé des services cloud, y compris contre les accès non-autorisés des États tiers à l'Union européenne (UE). De plus, la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et réguler l'espace numérique (SREN) reprend et renforce ces principes, afin d'assurer une protection adéquate des données particulièrement sensibles des administrations de l'État, ses opérateurs ou certains groupements d'intérêt public, tels que la Plateforme de données de santé (dite Health Data Hub). Ainsi, toute offre d'informatique en nuage à laquelle ces différents services de l'État choisissent de recourir en cas d'externalisation de l'hébergement et du traitement de leurs données les plus sensibles doit répondre aux critères de la certification SecNumCloud, garantissant notamment la protection des données contre tout accès par des autorités publiques d'États tiers non autorisé par le droit de l'UE ou de l'un de ses États membres. Face à l'intensification des menaces cyber, il devient impératif de disposer d'offres cloud de confiance, notamment pour les données les plus sensibles. Les solutions hybrides labellisées SecNumCloud offrent les mêmes garanties que les offres 100 % européennes. Pour cela, le prestataire doit être européen et garantir son étanchéité ainsi que son autonomie vis-à-vis de ses fournisseurs, afin d'éviter toute dépendance ou influence extérieure. Comme tout processus de qualification, les évaluations des offres sont menées en appliquant rigoureusement plus de 1 200 points de contrôle du référentiel de SecNumCloud, qui couvre des exigences techniques, opérationnelles et juridiques relatives au prestataire de service, à son personnel, ainsi qu'au déroulement des prestations. L'octroi par l'ANSSI de la qualification SecNumCloud impose aux fournisseurs de services cloud de faire la démonstration d'un haut niveau de cybersécurité et repose sur un processus rigoureux d'évaluation par les experts de l'ANSSI ainsi que par des centres d'évaluation agréés par l'Agence. Ainsi, S3NS a obtenu la qualification SecNumCloud en décembre 2025 et Bleu est dans le processus de qualification.  Quel que soit le prestataire concerné, l'attribution par cette agence de la qualification SecNumCloud garantit la robustesse de son offre face aux cyberattaques les plus courantes, mais aussi la rigueur et la formalisation de ses méthodes ainsi que la protection des données qu'il héberge et traite vis-à-vis du droit extraterritorial non européen.  SecNumCloud est avant tout un référentiel de cybersécurité, dont le processus de qualification est extrêmement exigeant et appliqué de manière uniforme à tous les acteurs. Il est important de souligner que tous les fournisseurs de cloud dépendent, à un degré ou un autre, de composants électroniques ou de logiciels extra-européens. La question des dépendances technologiques relève donc d'un enjeu de politique industrielle qui dépasse le cadre de SecNumCloud. Le plan France 2030, et en particulier le levier "Technologies numériques souveraines et sûres", réparti en plusieurs stratégies (cloud, IA, 5G et réseaux du futur, cybersécurité, etc.) permet de soutenir le développement d'une offre française et européenne compétitive afin de réduire ces dépendances. [1] actualisée par la circulaire du 31 mai 2023