5. Cybersécurité 
5.3. Sécurité informatique et de l'information
5.3. Sécurité informatique et de l'information
Décret n° 2026-272 du 14 avril 2026 relatif à la protection des données d’une sensibilité particulière des administrations, opérateurs et groupements d’intérêt public de l’Etat traitées par un service d’informatique en nuage fourni par un prestataire privé
| Date de signature : | 14/04/2026 | Statut du texte : | En vigueur |
| Date de publication : | 16/04/2026 | Emetteur : | Premier ministre |
| Consolidée le : | Source : | JO du 16 avril 2026 | |
| Date d'entrée en vigueur : | 17/04/2026 |
Décret n° 2026-272 du 14 avril 2026 relatif à la protection des données d’une sensibilité particulière des administrations, opérateurs et groupements d’intérêt public de l’Etat traitées par un service d’informatique en nuage fourni par un prestataire privé
NOR : PRMJ2603578D
Publics concernés : administrations (services de l’Etat, opérateurs de l’Etat, groupements d’intérêt public).
Objet : protection des données stratégiques et sensibles des administrations sur le marché de l’informatique en nuage. Le décret dresse la liste des groupements d’intérêt public tenus au respect des dispositions de l’article 31 de la loi n°2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique. Il détermine les mesures, procédures et conditions propres à assurer la sécurité et la protection des données pour les services d’informatique en nuage fournis aux administrations par le secteur privé et précise les conditions dans lesquelles une dérogation à l’application de l’article précité peut être accordée.
Entrée en vigueur : le décret entre en vigueur le lendemain de sa publication.
Application : le décret est pris pour l’application de l’article 31 de la loi n°2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique.
Le Premier ministre,
Sur le rapport du ministre de l’économie, des finances et de la souveraineté industrielle, énergétique et numérique et du ministre de l’action et des comptes publics,
Décrète :
Art. 1er. – Les groupements d’intérêt public mentionnés au I de l’article 31 de la loi du 21 mai 2024 susvisée sont les suivants :
1° L’organisation de la sécurité de l’information et de l’exploitation du service ainsi que la gestion des risques, y compris au niveau de la chaîne de sous-traitance ;
2° La gestion des ressources humaines pour les personnels impliqués dans la fourniture du service, comprenant en particulier la mise en œuvre d’un plan de formation concernant la sécurité de l’information adapté au service ;
3° La gestion des relations avec les tiers participant à la mise en œuvre du service ;
4° La gestion des équipements mettant en œuvre le service, comprenant notamment des mesures de sécurité physique et environnementale ;
5° La sécurité des systèmes d’information, comprenant notamment des mesures de cryptologie, de contrôle d’accès aux données du service et de gestions des identités des utilisateurs participant à la mise en œuvre du service ;
6° La gestion des incidents concernant la sécurité de l’information et la continuité de l’activité ;
7° L’utilisation de la langue française ;
8° Les clauses obligatoires de la convention de service, qui portent notamment sur le principe de réversibilité, permettant la récupération des données, et ses modalités techniques de mise en œuvre, ainsi que le droit applicable à cette convention ;
9° La localisation de l’hébergement des données du service, les conditions de transfert de ces données vers un Etat tiers, la localisation du lieu du siège ou du principal établissement du prestataire et les modalités de son contrôle, au travers notamment de la détention, directe ou indirecte, de son capital social et de ses droits de vote ;
10° La protection des données du service contre tout accès par des autorités publiques d’un Etat tiers non autorisé par le droit de l’Union européenne ou les engagements internationaux de la France.
La conformité d’un service d’informatique en nuage fourni par un prestataire privé aux exigences énoncées par ce référentiel est attestée par une qualification attribuée dans les conditions prévues par le chapitre III du décret du 27 mars 2015 susvisé ou par une certification de l’Union européenne ou d’un Etat partie à l’espace économique européen d’un niveau au moins équivalent.
Art. 3. – Une administration ou un opérateur de l’Etat ou un groupement mentionné à l’article 1er qui a engagé un projet relevant de l’article 31 de la loi du 21 mai 2024 susvisée avant la date de publication du présent décret en recourant à un service d’informatique en nuage fourni par un prestataire privé non conforme aux exigences définies à l’article 2 du présent décret sollicite une dérogation auprès du ministre dont relève ce projet, selon des modalités fixées par un arrêté du Premier ministre qui précise notamment le contenu du dossier de demande.
Le ministre dont relève le projet décide dans un délai de deux mois d’accorder ou non la dérogation après validation par le Premier ministre selon des modalités fixées par ce même arrêté. Si une offre de services d’informatique en nuage acceptable pour le projet concerné est disponible en France, la dérogation est accordée pour une durée maximum de dix-huit mois courant depuis la date à laquelle cette offre est disponible en France. A défaut, la dérogation est accordée pour une durée d’un an renouvelable jusqu’à ce qu’une telle offre soit disponible.
Une offre de services d’informatique en nuage conforme aux exigences définies à l’article 2 est considérée comme acceptable si elle répond au besoin fonctionnel de l’administration ou de l’organisme concerné pour son projet, en prenant en considération son coût.
La décision accordant ou refusant la dérogation est rendue publique avec sa motivation sur un site internet relevant du Premier ministre.
Art. 4. – Le ministre de l’économie, des finances et de la souveraineté industrielle, énergétique et numérique et le ministre de l’action et des comptes publics sont chargés, chacun en ce qui le concerne, de l’exécution du présent décret, qui sera publié au Journal officiel de la République française.
Fait le 14 avril 2026.
Par le Premier ministre :
Sébastien Lecornu
Le ministre de l’économie, des finances et de la souveraineté industrielle, énergétique et numérique,
Roland Lescure
Le ministre de l’action et des comptes publics,
David Amiel
Source Légifrance
NOR : PRMJ2603578D
Publics concernés : administrations (services de l’Etat, opérateurs de l’Etat, groupements d’intérêt public).
Objet : protection des données stratégiques et sensibles des administrations sur le marché de l’informatique en nuage. Le décret dresse la liste des groupements d’intérêt public tenus au respect des dispositions de l’article 31 de la loi n°2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique. Il détermine les mesures, procédures et conditions propres à assurer la sécurité et la protection des données pour les services d’informatique en nuage fournis aux administrations par le secteur privé et précise les conditions dans lesquelles une dérogation à l’application de l’article précité peut être accordée.
Entrée en vigueur : le décret entre en vigueur le lendemain de sa publication.
Application : le décret est pris pour l’application de l’article 31 de la loi n°2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique.
Le Premier ministre,
Sur le rapport du ministre de l’économie, des finances et de la souveraineté industrielle, énergétique et numérique et du ministre de l’action et des comptes publics,
- Vu la directive (UE) 2015/1535 du 9 septembre 2015 prévoyant une procédure d’information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l’information ;
- Vu le règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
- Vu le règlement (UE) 2023/2854 du 13 décembre 2023 concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données ;
- Vu la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 121 à 124 ;
- Vu la loi n°2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique, notamment son article 31 ;
- Vu le décret n°2009-834 du 7 juillet 2009 modifié portant création d’un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d’information » ;
- Vu le décret n°2015-350 du 27 mars 2015 modifié relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité des systèmes d’information ;
- Vu l’avis de la Commission nationale de l’informatique et des libertés en date du 3 juillet 2025 ;
- Vu la notification n°2025/0041/FR adressée le 24 janvier 2025 à la Commission européenne ;
Décrète :
Art. 1er. – Les groupements d’intérêt public mentionnés au I de l’article 31 de la loi du 21 mai 2024 susvisée sont les suivants :
- agence du numérique en santé ;
- centre d’accès sécurisé aux données ;
- centre ressources prévention de la radicalisation ;
- collecteur analyseur de données ;
- modernisation des déclarations sociales ;
- système national d’enregistrement de la demande de logement social.
1° L’organisation de la sécurité de l’information et de l’exploitation du service ainsi que la gestion des risques, y compris au niveau de la chaîne de sous-traitance ;
2° La gestion des ressources humaines pour les personnels impliqués dans la fourniture du service, comprenant en particulier la mise en œuvre d’un plan de formation concernant la sécurité de l’information adapté au service ;
3° La gestion des relations avec les tiers participant à la mise en œuvre du service ;
4° La gestion des équipements mettant en œuvre le service, comprenant notamment des mesures de sécurité physique et environnementale ;
5° La sécurité des systèmes d’information, comprenant notamment des mesures de cryptologie, de contrôle d’accès aux données du service et de gestions des identités des utilisateurs participant à la mise en œuvre du service ;
6° La gestion des incidents concernant la sécurité de l’information et la continuité de l’activité ;
7° L’utilisation de la langue française ;
8° Les clauses obligatoires de la convention de service, qui portent notamment sur le principe de réversibilité, permettant la récupération des données, et ses modalités techniques de mise en œuvre, ainsi que le droit applicable à cette convention ;
9° La localisation de l’hébergement des données du service, les conditions de transfert de ces données vers un Etat tiers, la localisation du lieu du siège ou du principal établissement du prestataire et les modalités de son contrôle, au travers notamment de la détention, directe ou indirecte, de son capital social et de ses droits de vote ;
10° La protection des données du service contre tout accès par des autorités publiques d’un Etat tiers non autorisé par le droit de l’Union européenne ou les engagements internationaux de la France.
La conformité d’un service d’informatique en nuage fourni par un prestataire privé aux exigences énoncées par ce référentiel est attestée par une qualification attribuée dans les conditions prévues par le chapitre III du décret du 27 mars 2015 susvisé ou par une certification de l’Union européenne ou d’un Etat partie à l’espace économique européen d’un niveau au moins équivalent.
Art. 3. – Une administration ou un opérateur de l’Etat ou un groupement mentionné à l’article 1er qui a engagé un projet relevant de l’article 31 de la loi du 21 mai 2024 susvisée avant la date de publication du présent décret en recourant à un service d’informatique en nuage fourni par un prestataire privé non conforme aux exigences définies à l’article 2 du présent décret sollicite une dérogation auprès du ministre dont relève ce projet, selon des modalités fixées par un arrêté du Premier ministre qui précise notamment le contenu du dossier de demande.
Le ministre dont relève le projet décide dans un délai de deux mois d’accorder ou non la dérogation après validation par le Premier ministre selon des modalités fixées par ce même arrêté. Si une offre de services d’informatique en nuage acceptable pour le projet concerné est disponible en France, la dérogation est accordée pour une durée maximum de dix-huit mois courant depuis la date à laquelle cette offre est disponible en France. A défaut, la dérogation est accordée pour une durée d’un an renouvelable jusqu’à ce qu’une telle offre soit disponible.
Une offre de services d’informatique en nuage conforme aux exigences définies à l’article 2 est considérée comme acceptable si elle répond au besoin fonctionnel de l’administration ou de l’organisme concerné pour son projet, en prenant en considération son coût.
La décision accordant ou refusant la dérogation est rendue publique avec sa motivation sur un site internet relevant du Premier ministre.
Art. 4. – Le ministre de l’économie, des finances et de la souveraineté industrielle, énergétique et numérique et le ministre de l’action et des comptes publics sont chargés, chacun en ce qui le concerne, de l’exécution du présent décret, qui sera publié au Journal officiel de la République française.
Fait le 14 avril 2026.
Par le Premier ministre :
Sébastien Lecornu
Le ministre de l’économie, des finances et de la souveraineté industrielle, énergétique et numérique,
Roland Lescure
Le ministre de l’action et des comptes publics,
David Amiel
Source Légifrance