Réponse publiée le 3 mars 2026

Depuis 2021, le gouvernement déploie une stratégie visant à saisir les opportunités offertes par les évolutions technologiques et à répondre aux enjeux posés par le recours à des services d'informatique en nuage de confiance pour les données les plus sensibles de l'État et de ses opérateurs à travers sa stratégie nationale cloud. Cette stratégie repose notamment sur le développement d'une offre de services cloud de confiance, et sur la qualification SecNumCloud délivrée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), qui garantit un niveau de protection élevé des services cloud, y compris contre les accès non-autorisés aux données qu'ils hébergent et traitent, notamment par le biais des lois extraterritoriales non européennes. En outre, la qualification SecNumCloud prévoit que le prestataire de cloud inclut systématiquement dans le contrat de service une clause de réversibilité permettant au client de récupérer l'ensemble de ses données. Par ailleurs, dans le cadre de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et réguler l'espace numérique (SREN), des dispositions législatives reprennent désormais, en les renforçant, les principes de la doctrine cloud au centre décrite dans la circulaire relative à la doctrine d'utilisation de l'informatique en nuage par l'État du 5 juillet 2021 [1] du Premier ministre, afin d'assurer une protection adéquate des données sensibles des administrations de l'État, ses opérateurs ou certains groupements d'intérêt public, comme la Plateforme de données de santé (dite Health Data Hub) contre les législations extraterritoriales extracommunautaires. Ainsi, toute offre d'informatique en nuage à laquelle les services et opérateurs de l'État choisissent de recourir en cas d'externalisation de l'hébergement et du traitement de leurs données particulièrement sensibles doit répondre aux critères de sécurité et de protection offerts par la certification SecNumCloud, y compris pour ce qui concerne la protection vis-à-vis des législations extraterritoriales des États tiers à l'Union européenne. En 2025, les achats publics de prestations de cloud opérés par l'Union des groupements d'achats publics (UGAP) ont atteint le montant de 84 millions d'euros (contre 52 millions en 2024), dont 69 % ont été orientés vers des opérateurs européens. Parmi les achats auprès de fournisseurs européens, les offres de de cloud qualifiées SecNumCloud par l'ANSSI ont atteint un montant de 22 millions d'euros (contre 20 millions d'euros en 2024). Par ailleurs, à l'échelle européenne, la France continue à promouvoir le développement d'un marché diversifié et concurrentiel du cloud de confiance. Pour la révision du règlement européen sur la cybersécurité, en cours de négociation, elle porte une position ambitieuse visant à garantir une protection efficace des données sensibles en particulier contre l'application de législations extraterritoriales des États tiers à l'UE. Les autorités françaises sont pleinement mobilisées pour contribuer à l'émergence d'un cadre harmonisé, fiable, compétitif et protecteur pour les données les plus sensibles de l'État. [1] actualisée par la circulaire du 31 mai 2023