Klaerenn
⌘K
Klaerenn
Tribunes

Fantômas au Conseil d'État

Le décret d'application de l'article 31 de la loi SREN devait définir les données sensibles de l'État. Dix-huit mois après le délai, il n'existe pas. Entre-temps, l'État annonce, légifère, migre — et chaque texte renvoie à un texte absent.
Fantômas au Conseil d'État
Le commissaire Juve cherche Fantômas. L'État cherche son décret. Même résultat. (© Gaumont)

Le 5 février 2026, le gouvernement dévoile une circulaire sur les achats numériques et annonce la migration du Health Data Hub hors d'Azure, après six ans de promesses. Entre les deux, un trou béant : le décret d'application de l'article 31 de la loi SREN, attendu depuis dix-huit mois, manque à l'appel. À sa place, l'État a produit les deux textes les plus faibles de l'ordonnancement juridique français — dont l'un n'en fait même pas partie.

Le 5 février 2026, à Bercy, trois ministres dévoilent une circulaire du Premier ministre sur les achats numériques de l'État¹. Roland Lescure (Économie), Anne Le Hénanff (Numérique) et David Amiel (Fonction publique) présentent un texte qui place la souveraineté parmi les critères essentiels de l'achat numérique. Le communiqué de presse la présente comme le critère numéro un, devant la performance, la sécurité et le coût. Le texte signé par Sébastien Lecornu dit autre chose : la performance métier y figure en II.1, la souveraineté en II.2, la sécurité en II.3². L'écart entre la communication et le texte est déjà un premier signal.

Le même jour, le gouvernement abandonne la solution intercalaire du Health Data Hub et bascule vers un cloud qualifié SecNumCloud via le marché UGAP « Nuage Public ». Attribution fin mars 2026, migration opérationnelle fin 2026.

Doctrine d'achat souverain d'un côté, migration concrète de l'autre. La cohérence semble totale. Elle masque six ans de décalage entre les textes produits et leur mise en œuvre. Au centre de ce décalage : un décret qui n'existe pas.

Le décret fantôme

L'article 31 de la loi SREN, promulguée le 21 mai 2024³, impose que les données « d'une sensibilité particulière » soient hébergées auprès de prestataires offrant un niveau de sécurité équivalent à SecNumCloud. La loi vise deux catégories : les données relevant de secrets protégés par la loi et celles nécessaires à l'accomplissement des missions essentielles de l'État, notamment la sauvegarde de la sécurité nationale, le maintien de l'ordre public et la protection de la santé et de la vie des personnes. L'obligation s'applique si leur violation est susceptible d'engendrer une atteinte à l'ordre public, à la sécurité publique ou à la propriété intellectuelle.

Le texte renvoie à un décret en Conseil d'État pour préciser les critères de sécurité, les seuils de détention capitalistique hors UE, la liste des entités concernées, les conditions de dérogation et le périmètre exact de ces données sensibles. Délai : six mois après promulgation. Date butoir : fin novembre 2024.

En février 2026, dix-huit mois après ce délai, le décret n'existe pas.

Un rapport sénatorial de décembre 2025 confirme : le texte reste « en cours d'examen par le Conseil d'État », publication attendue « début 2026 »⁴. La Commission européenne a reçu la notification, la période de statu quo a expiré le 28 avril 2025 sans opposition de Bruxelles. Rien n'a suivi.

L'article 31 vit donc une existence étrange : invoqué politiquement, inapplicable juridiquement. Clara Chappaz l'a cité devant le Sénat en juin 2025 pour justifier la migration du Health Data Hub⁵. Pierre-Ange Zalcberg, avocat en droit public numérique, constatait en février 2026 que « de nombreux acheteurs publics, y compris stratégiques, font encore héberger leurs données sensibles via des solutions non immunisées »⁶. Sans décret, personne ne sait précisément quelles données sont visées, quelles entités sont concernées, ni quelles dérogations sont admises. La loi existe. Son mode d'emploi, non.

Ce décret absent conditionne tout le reste.

Six ans de promesses pour le Health Data Hub

Le Health Data Hub est la démonstration la plus visible de ce que produit l'absence de contrainte juridique opérationnelle.

Le gouvernement crée le GIP en juillet 2019 et l'héberge d'emblée sur Microsoft Azure. Le choix déclenche contentieux CNIL, polémiques parlementaires et mobilisations citoyennes. La promesse de migration suit un calendrier élastique. 2020 : Olivier Véran promet une migration sous deux ans. 2022 : Stéphanie Combes, directrice du HDH, repousse à « horizon 2025 ». Juillet 2025 : lancement d'un appel d'offres intercalaire de 6,2 millions d'euros, quatre groupements candidats. Six mois plus tard, le gouvernement annule cet appel d'offres et oriente le HDH vers le marché UGAP.

Si le décret de l'article 31 avait été publié dans les délais, la migration du HDH aurait eu un cadre juridique contraignant dès fin 2024. Sans ce cadre, chaque report est resté sans conséquence.

Le catalogue UGAP, avec et sans SecNumCloud

Le marché UGAP « Nuage Public » est un accord-cadre à bons de commande, attribué aux titulaires Crayon et SMLB pour trois ans⁷. La FAQ le dit sans ambiguïté : le dispositif opère « sans appel d'offres ». L'UGAP y référence 18 fournisseurs cloud, dont AWS, Google Cloud, Microsoft Azure et Oracle. Le catalogue qui servira à sortir le HDH d'Azure référence donc Azure.

Sur ces 18 fournisseurs, cinq détiennent la qualification SecNumCloud 3.2 exigée pour les données de santé du HDH : Cloud Temple (IaaS et PaaS), 3DS Outscale (IaaS), OVHcloud (IaaS), S3NS, filiale de Thales en partenariat avec Google Cloud (IaaS, PaaS et CaaS, qualifiée en décembre 2025), et Orange Business Cloud Avenue SecNum (IaaS, qualifié depuis juillet 2025)⁸. Cinq éligibles sur dix-huit référencés.

Le décret de l'article 31 devait justement fixer les critères permettant de distinguer, dans un catalogue comme celui-ci, les offres conformes des autres. En son absence, c'est la communication gouvernementale qui tient lieu de filtre, vantant un « large catalogue de solutions souveraines » là où le ratio dit autre chose.

Le catalogue s'élargit, et c'est une bonne nouvelle. S3NS propose depuis décembre 2025 des services IaaS, PaaS et CaaS, dont BigQuery pour l'analytique. Cloud Temple couvre l'IaaS et le PaaS. Mais les suites collaboratives, l'intelligence artificielle générative et les couches SaaS métier que les administrations consomment chez les hyperscalers n'ont pas d'équivalent qualifié. Le décret aurait dû définir les cas où ces services non qualifiés peuvent être utilisés sous dérogation, et ceux où ils ne le peuvent pas. Sans lui, chaque administration arbitre seule.

Une loi remplacée par un guide

Face au vide laissé par le décret absent, le gouvernement a produit deux textes le 5 février 2026 : la circulaire du Premier ministre et un vade-mecum sur les données sensibles publié sur numerique.gouv.fr¹².

Dans la hiérarchie des normes, la loi SREN se situe au niveau législatif. Elle renvoyait à un décret en Conseil d'État — un acte réglementaire contraignant et opposable. Ce que l'État a produit à la place se situe aux deux échelons les plus bas : une circulaire, document interne à l'administration sans force juridique propre, et un vade-mecum, qui sort carrément de la pyramide des normes. Un guide de bonnes pratiques n'est ni contraignant, ni opposable. Il ne crée aucune obligation.

Le vade-mecum fournit une grille d'analyse en deux conditions cumulatives et un tableau d'exemples concrets distinguant les SI qui nécessitent un cloud de confiance de ceux qui n'en relèvent pas¹². C'est utile. Mais il laisse l'analyse « au cas par cas » sous la responsabilité de « l'administrateur de ces données ». Pour les SI non soumis à l'article 31, il précise que l'analyse relève « in fine de la responsabilité du ministre concerné ». Aucun barème, aucun seuil quantitatif, aucune méthodologie formalisée.

Plus remarquable encore : le vade-mecum utilise le présent de l'indicatif pour décrire un décret qui n'existe pas. Page 2 : « Le décret d'application de l'article 31 précité vient préciser les critères de sécurité et de protection applicables. » Six jours plus tard, le 11 février, Dany Wattebled demandait en séance au Sénat : « Le décret d'application est attendu depuis près de deux ans. Quand sera-t-il publié ? »¹³ Le guide d'application renvoie à un texte fantôme.

La circulaire, de son côté, organise sa propre soupape de non-conformité. Le II.2, consacré à la souveraineté, se conclut par cette phrase : « Dès lors que l'enjeu de souveraineté numérique ne peut être correctement pris en compte, une analyse de risque, dépassant le strict cadre d'une homologation de sécurité, doit permettre d'intégrer des mesures de mitigation des risques identifiés. »² Quand on ne peut pas être souverain, on fait une analyse de risque. Sans barème, sans seuil, sans critères objectifs.

L'obligation législative a été remplacée par un guide non contraignant qui renvoie à un décret absent, accompagné d'une circulaire qui prévoit sa propre clause d'échappatoire.

Les contrôles que personne n'a renforcés

Le décret absent et la faiblesse normative des textes substitutifs ne sont pas les seules pièces manquantes. Les circulaires précédentes, « Cloud au centre » 2018, 2021, 2023, accordaient la même latitude. La Cour des comptes les a trouvées « restées lettre morte » ou « contournées par des méthodes d'évitement »⁹. Le même rapport constate que « la stratégie interministérielle pilotée par la DINUM n'est pas encore pleinement contraignante ni dotée de moyens consolidés ». La Cour recommande de « cartographier les données sensibles à héberger de manière souveraine dans tous les ministères »⁹ — ce que le décret de l'article 31 devait précisément accomplir. L'institution de contrôle demande à l'État de produire ce qu'il s'est déjà imposé par la loi dix-huit mois plus tôt.

Le seuil de 9 millions d'euros au-delà duquel un projet doit obtenir l'avis conforme de la DINUM reste inchangé. La commission d'enquête sénatoriale a documenté les contournements : le renouvellement des licences Microsoft à l'Éducation nationale a échappé à l'avis de la DINUM, malgré un montant supérieur au seuil¹⁰. La Cour des comptes a plaidé pour un droit de veto et une extension du contrôle aux opérateurs de l'État⁹. La commission sénatoriale a recommandé un abaissement des seuils¹⁰. La circulaire n'en retient rien.

Les sénateurs Wattebled et Uzenat ont déposé en octobre 2025 une proposition de loi sur les marchés publics numériques, adoptée par le Sénat en première lecture le 17 décembre 2025¹¹. La commission l'a remanié en ajoutant des dispositions ciblant les « données de sensibilité particulière » au sens de l'article 31, dont le décret n'existe pas⁴. Le législateur légifère sur un article dont les décrets accusent dix-huit mois de retard, pour combler les lacunes d'une circulaire qui renvoie à un vade-mecum non normatif s'appuyant sur ce même article. Chaque texte annoncé renvoie à un texte absent.

Ce que je sais, et ce que j'ignore

Les faits sont documentés par les institutions elles-mêmes. L'État a produit, entre 2021 et 2026, une doctrine Cloud au centre, une loi SREN, une circulaire achats numériques, un vade-mecum et une proposition de loi adoptée par le Sénat. Aucun de ces textes ne dispose de l'intégralité de ses instruments d'application. Et le seul qui devait rendre l'ensemble opérationnel — le décret en Conseil d'État — est celui qui manque.

Le directeur général de l'ANSSI a rappelé en janvier 2026 que les offres qualifiées SecNumCloud sont « sans le moindre doute souveraines », mais que cette qualification est « un outil de cybersécurité, pas de politique industrielle »¹⁴. La circulaire s'appuie sur SecNumCloud comme réponse principale à la souveraineté, sans fournir d'outil complémentaire pour les dimensions que SecNumCloud ne couvre pas : substitution technologique, maîtrise des briques logicielles, réduction des dépendances à long terme.

L'article 31 ne s'applique qu'au recours à un prestataire privé³. Le vade-mecum le rappelle en note de bas de page¹², mais c'est la loi elle-même qui pose cette limite. Quand l'État héberge en interne, c'est la circulaire Cloud au centre de 2023 qui s'applique. L'État exige SecNumCloud du secteur privé mais ne s'impose pas la même obligation pour ses propres systèmes d'information.

Reste ce que je ne sais pas. Pourquoi le décret d'application de l'article 31 accumule dix-huit mois de retard. Et si une directive européenne en préparation ne rendra pas caducs certains de ces débats franco-français.

Six ans entre la promesse de migration du HDH et son exécution annoncée. Dix-huit mois de retard sur le décret SREN. 4,5 milliards d'euros d'achats annuels sans barème de souveraineté opposable. Un marché de cinq fournisseurs qualifiés présenté comme un catalogue ouvert de dix-huit. Une obligation législative remplacée par un guide de bonnes pratiques et une circulaire à clause d'échappatoire. Le décret de l'article 31 était la seule pièce qui pouvait rendre l'ensemble opérationnel. Personne ne l'a produite. Pas faute d'expertise, pas faute de moyens : les rapports existent, les recommandations sont écrites, les institutions les ont formulées elles-mêmes. Le problème est plus simple et plus embarrassant. L'État a écrit la norme, annoncé la doctrine, voté la loi, puis tourné la page sans finir la phrase.

Sources :

¹ Communiqué de presse, ministère de l'Économie et DINUM, 5 février 2026 — presse.economie.gouv.fr · numerique.gouv.fr

² Circulaire n° 6519/SG du Premier ministre relative à la commande publique numérique, 5 février 2026

³ Loi n° 2024-449 du 21 mai 2024 (SREN), article 31 — legifrance.gouv.fr

⁴ Rapport de la commission des lois du Sénat sur la PPL sécurisation des marchés publics numériques, décembre 2025 — senat.fr

⁵ Clara Chappaz, audition au Sénat, commission d'enquête sur la commande publique, 10 juin 2025 — vie-publique.fr

⁶ Pierre-Ange Zalcberg (Nemrod Avocats), « La sécurisation des marchés publics du numérique : une proposition de loi pragmatique », Weka, 3 février 2026 — weka.fr

⁷ Portail nuagepublic.fr, FAQ du marché UGAP Nuage Public — nuagepublic.fr

⁸ Orange Business, communiqué de presse qualification SecNumCloud Cloud Avenue SecNum, 16 juillet 2025 — newsroom.orange.com

⁹ Cour des comptes, Les enjeux de souveraineté des systèmes d'information civils de l'État, 31 octobre 2025 — ccomptes.fr

¹⁰ Commission d'enquête sénatoriale sur la commande publique, rapport Wattebled-Uzenat, 8 juillet 2025 — senat.fr

¹¹ Proposition de loi relative à la sécurisation des marchés publics numériques, adoptée par le Sénat le 17 décembre 2025 (T.A. n° 33) — vie-publique.fr

¹² Vade-mecum sur la sensibilité des données au sens de l'article 31 de la loi SREN, 4 février 2026 — numerique.gouv.fr

¹³ Dany Wattebled, question d'actualité au gouvernement, Sénat, 11 février 2026 — senat.fr

¹⁴ Vincent Strubel, « SecNumCloud en (pas si) bref », LinkedIn, 6 janvier 2026 — linkedin.com

More like this

L'Arnaque

L'Arnaque

La circulaire du 5 février place la souveraineté en critère numéro un des achats numériques de l'État. Elle renvoie à un décret absent depuis dix-huit mois. Cinq couches de sécurité dépendent d'infrastructures que l'Europe ne contrôle pas. Aucun texte en vigueur ne les couvre.
Soylent Green

Soylent Green

Les "Leaders" des Magic Quadrants ne sont pas des entreprises ordinaires. 80% des fondateurs cyber israéliens viennent du renseignement militaire. Une stratégie de sécurité devrait partir du métier. Le radar propose l'inverse : un modèle universel.
They Live...

They Live...

Le radar CISO 2026 liste 150 sujets. Dix items représentent 5 à 15 millions de dollars sur trois ans. Le calcul ne marche pas, nulle part. Tout le monde suit le même chemin, les mêmes briques, dans le même ordre. Pour un attaquant, une seule carte à apprendre.
SecNumCloud pour les autres ?

SecNumCloud pour les autres ?

SecNumCloud obligatoire pour tous. Sauf pour l'État lui-même ? Enquête sur La Suite numérique.
Les faucons du numérique

Les faucons du numérique

Une vulnérabilité, c'est une faille à corriger. C'est ce qu'on nous apprend. Un rapport de l'Atlantic Council dit l'inverse : c'est un actif stratégique à exploiter. Et ses auteurs savent de quoi ils parlent — leurs financeurs fabriquent les armes qui en dépendent.
Lord of Cyber War

Lord of Cyber War

La dernière lettre de marque américaine remonte à 1812. Deux siècles plus tard, le Congrès envisage de ressusciter l'instrument. Pour lutter contre le cybercrime, dit-on. L'explication ne tient pas. Quelque chose d'autre se prépare.