Entrée en vigueur le 23 mai 2024
I. - Lorsque les administrations de l'Etat, ses opérateurs dont la liste est annexée au projet de loi de finances ainsi que les groupements d'intérêt public comprenant les administrations ou les opérateurs mentionnés précédemment et dont la liste est fixée par décret en Conseil d'Etat ont recours à un service d'informatique en nuage fourni par un prestataire privé pour la mise en œuvre de systèmes ou d'applications informatiques, ils respectent les dispositions du présent article.
Si le système ou l'application informatique concerné traite de données d'une sensibilité particulière, définies au II, qu'elles soient à caractère personnel ou non, et si leur violation est susceptible d'engendrer une atteinte à l'ordre public, à la sécurité publique, à la santé ou à la vie des personnes ou à la protection de la propriété intellectuelle, l'administration de l'Etat, ses opérateurs et les groupements mentionnés au présent I veillent à ce que le service d'informatique en nuage fourni par le prestataire privé mette en œuvre des critères de sécurité et de protection des données garantissant notamment la protection des données traitées ou stockées contre tout accès par des autorités publiques d'Etats tiers non autorisé par le droit de l'Union européenne ou d'un Etat membre.
II. - Sont qualifiées de données d'une sensibilité particulière au sens du I :
1° Les données qui relèvent de secrets protégés par la loi, notamment au titre des articles L. 311-5 et L. 311-6 du code des relations entre le public et l'administration ;
2° Les données nécessaires à l'accomplissement des missions essentielles de l'Etat, notamment la sauvegarde de la sécurité nationale, le maintien de l'ordre public et la protection de la santé et de la vie des personnes.
III. - Lorsque, à la date d'entrée en vigueur du présent article, l'administration de l'Etat, son opérateur ou le groupement mentionné au I a déjà engagé un projet nécessitant le recours à un service d'informatique en nuage, cette administration, cet opérateur ou ce groupement peut solliciter une dérogation au présent article.
IV. - Le I est applicable au groupement mentionné à l'article L. 1462-1 du code de la santé publique.
V. - Dans un délai de six mois à compter de la promulgation de la présente loi, un décret en Conseil d'Etat précise les modalités d'application du présent article, notamment les critères de sécurité et de protection, y compris en termes de détention du capital, des données mentionnés au I. Ce décret précise également les conditions dans lesquelles une dérogation motivée et rendue publique peut être accordée sous la responsabilité du ministre dont relève le projet déjà engagé et après validation par le Premier ministre, sans que cette dérogation puisse excéder dix-huit mois à compter de la date à laquelle une offre de services d'informatique en nuage acceptable est disponible en France, et fixe éventuellement les critères selon lesquels une telle offre peut être considérée comme acceptable.
VI. - Dans un délai de dix-huit mois à compter la promulgation de la présente loi, le Gouvernement remet au Parlement un rapport évaluant les moyens supplémentaires pouvant être pris afin de rehausser le niveau de la protection collective face aux risques et aux menaces que les législations extraterritoriales peuvent faire peser sur les données qualifiées d'une sensibilité particulière par le présent article ainsi que sur les données de santé à caractère personnel. Ce rapport évalue également l'opportunité et la faisabilité de soumettre les fournisseurs de services d'informatique en nuage établis en dehors de l'Union européenne à un audit de chiffrement certifié par l'Agence nationale de la sécurité des systèmes d'information.
Entre ces événements : le décret d'application de l'article 31 de la loi SREN, attendu depuis novembre 2024, manque à l'appel⁸. […] « EU Decision Behind €120m Fine on Musk's X Released by US Lawmakers », 30 janv. 2026 · TechPolicy.Press, « How the House Judiciary GOP Misread Europe's €120 Million X Decision », 3 fév. 2026 ⁸ Loi n° 2024-449 du 21 mai 2024 (SREN), article 31 — Délai de six mois pour le décret en Conseil d'État https://www.legifrance.gouv.fr […] /810300/ ¹² Voir article 7 de cette série : « Le dernier canal » https://www.klaerenn.fr/le-dernier-canal/ ¹³ ENISA, EU Vulnerability Database (EUVD). […] After Another », 12 février 2026 ; […]
Lire la suite…Pour les SI non soumis à l'article 31, il précise que l'analyse relève « in fine de la responsabilité du ministre concerné ». […]
Lire la suite…[…] D'autre part, s'agissant des exigences propres à la législation française, la CNIL relève que l'article 31 de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique (loi « SREN »), qui est applicable à la PDS, vise à assurer la protection des données stratégiques et sensibles sur le marché de l'informatique en nuage (cloud) dans les cas où ces organismes ont recours à un service de cloud fourni par un prestataire privé pour le traitement de données d'une sensibilité particulière dont la violation est susceptible d'engendrer une atteinte à l'ordre public, à la sécurité publique, […]
[…] D'autre part, s'agissant des exigences propres à la législation française, la CNIL relève que l'article 31 de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique (loi « SREN »), qui est applicable à la PDS, vise à assurer la protection des données stratégiques et sensibles sur le marché de l'informatique en nuage (cloud) dans les cas où ces organismes ont recours à un service de cloud fourni par un prestataire privé pour le traitement de données d'une sensibilité particulière dont la violation est susceptible d'engendrer une atteinte à l'ordre public, à la sécurité publique, […]
[…] — la décision contestée est entachée d'erreur de droit et d'erreur d'appréciation car l'autorisation accordée à l'EMA méconnaît les dispositions de l'article 31 de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique, applicables même en l'absence à ce jour du décret d'application auquel renvoie cet article, en ce qu'elles imposent aux prestataires privés fournissant un service d'informatique en nuage de garantir la protection des données traitées ou stockées de tout accès par des autorités publiques d'Etats tiers non autorisées par le droit de l'Union européenne, ce que la société Microsoft ne fait pas.
Le Conseil d'Etat ajoute que, si Microsoft Ireland ne peut pas obtenir la qualification SecNumCloud en raison de son rattachement à un groupe soumis au droit américain, Microsoft Ireland dispose néanmoins de la certification « hébergeur de données de santé » prévue à l'article L. 1111-8 du Code de la santé publique, impliquant un audit régulier par un organisme accrédité. […] L'invocabilité écartée de la loi SREN Les requérants invoquaient aussi l'article 31 de la loi du 21 mai 2024 SREN (loi visant à sécuriser et réguler l'espace numérique, cf. actualité du 22 mai 2024 – Loi SREN : Sécuriser l'espace numérique), qui impose pour certaines données sensibles, […]
Lire la suite…