La mise en oeuvre de l’article 31 de la loi SREN
La mise en oeuvre de l’article 31 de la loi SREN
La mise en oeuvre de l’article 31 de la loi SREN
La fiche technique de la Direction des affaires juridiques (DAJ) des ministères économiques et financiers sur la mise en œuvre de l’article 31 de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique (dite Loi SREN) synthétise les conditions dans lesquelles les administrations peuvent ou doivent recourir à des offres « de confiance » lorsqu’elles utilisent des services d’informatique en nuage commercial (cloud commercial).
L’article 31 de la loi SREN s’applique uniquement lorsque des systèmes d’information d’un service ou d’un opérateur de l’Etat (administration centrale, établissements publics, etc.) font appel à un service d’informatique en nuage commercial.
Il ne concerne pas les solutions hébergées dans des environnements non‑commerciaux tels que le « cloud au centre » ou les infrastructures publiques homologuées.
La fiche technique insiste sur la notion de « données d’une sensibilité particulière », qui déclenche l’obligation de recourir à une offre « de confiance » homologuée ou développée selon les exigences de sécurité et de souveraineté définies par la loi SREN.
Ces données ont trait à des informations dont la divulgation ou l’indisponibilité pourrait porter atteinte à la sécurité ou à la souveraineté de l’Etat, à la sûreté publique, aux libertés individuelles ou à l’intérêt général.
La DAJ et la Direction interministérielle du numérique (DINUM) recommandent une analyse systématique par l’administrateur des donnée, afin de déterminer si les données traitées ou hébergées dans un cloud commercial relèvent ou non de la catégorie « sensibilité particulière ».
Le vade‑mecum associé fournit une grille de questions et des exemples (données de santé, biométriques, infrastructure critique, données de défense, etc.) pour faciliter cette qualification et orienter le choix entre cloud commercial standard et offre « de confiance ».
Lorsque les données sont qualifiées de sensibles, l’article 31 de la loi SREN impose que le service d’informatique en nuage soit fourni par une offre « de confiance » proposée, par exemple, par un opérateur certifié ou un prestataire respectant les exigences réglementaires de sécurité et de localisation des données.
La fiche DAJ rappelle que cette obligation doit être intégrée dans la rédaction des avis, des cahiers des clauses administratives particulières et des critères de sélection (sécurité, localisation géographique, conformité aux exigences de la loi SREN, etc.), au même titre que les exigences de sécurité informatique classiques.
La fiche technique de la Direction des affaires juridiques (DAJ) des ministères économiques et financiers sur la mise en œuvre de l’article 31 de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique (dite Loi SREN) synthétise les conditions dans lesquelles les administrations peuvent ou doivent recourir à des offres « de confiance » lorsqu’elles utilisent des services d’informatique en nuage commercial (cloud commercial).
L’article 31 de la loi SREN s’applique uniquement lorsque des systèmes d’information d’un service ou d’un opérateur de l’Etat (administration centrale, établissements publics, etc.) font appel à un service d’informatique en nuage commercial.
Il ne concerne pas les solutions hébergées dans des environnements non‑commerciaux tels que le « cloud au centre » ou les infrastructures publiques homologuées.
La fiche technique insiste sur la notion de « données d’une sensibilité particulière », qui déclenche l’obligation de recourir à une offre « de confiance » homologuée ou développée selon les exigences de sécurité et de souveraineté définies par la loi SREN.
Ces données ont trait à des informations dont la divulgation ou l’indisponibilité pourrait porter atteinte à la sécurité ou à la souveraineté de l’Etat, à la sûreté publique, aux libertés individuelles ou à l’intérêt général.
La DAJ et la Direction interministérielle du numérique (DINUM) recommandent une analyse systématique par l’administrateur des donnée, afin de déterminer si les données traitées ou hébergées dans un cloud commercial relèvent ou non de la catégorie « sensibilité particulière ».
Le vade‑mecum associé fournit une grille de questions et des exemples (données de santé, biométriques, infrastructure critique, données de défense, etc.) pour faciliter cette qualification et orienter le choix entre cloud commercial standard et offre « de confiance ».
Lorsque les données sont qualifiées de sensibles, l’article 31 de la loi SREN impose que le service d’informatique en nuage soit fourni par une offre « de confiance » proposée, par exemple, par un opérateur certifié ou un prestataire respectant les exigences réglementaires de sécurité et de localisation des données.
La fiche DAJ rappelle que cette obligation doit être intégrée dans la rédaction des avis, des cahiers des clauses administratives particulières et des critères de sélection (sécurité, localisation géographique, conformité aux exigences de la loi SREN, etc.), au même titre que les exigences de sécurité informatique classiques.
La fiche technique de la Direction des affaires juridiques (DAJ) des ministères économiques et financiers sur la mise en œuvre de l’article 31 de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique (dite Loi SREN) synthétise les conditions dans lesquelles les administrations peuvent ou doivent recourir à des offres « de confiance » lorsqu’elles utilisent des services d’informatique en nuage commercial (cloud commercial).
L’article 31 de la loi SREN s’applique uniquement lorsque des systèmes d’information d’un service ou d’un opérateur de l’Etat (administration centrale, établissements publics, etc.) font appel à un service d’informatique en nuage commercial.
Il ne concerne pas les solutions hébergées dans des environnements non‑commerciaux tels que le « cloud au centre » ou les infrastructures publiques homologuées.
La fiche technique insiste sur la notion de « données d’une sensibilité particulière », qui déclenche l’obligation de recourir à une offre « de confiance » homologuée ou développée selon les exigences de sécurité et de souveraineté définies par la loi SREN.
Ces données ont trait à des informations dont la divulgation ou l’indisponibilité pourrait porter atteinte à la sécurité ou à la souveraineté de l’Etat, à la sûreté publique, aux libertés individuelles ou à l’intérêt général.
La DAJ et la Direction interministérielle du numérique (DINUM) recommandent une analyse systématique par l’administrateur des donnée, afin de déterminer si les données traitées ou hébergées dans un cloud commercial relèvent ou non de la catégorie « sensibilité particulière ».
Le vade‑mecum associé fournit une grille de questions et des exemples (données de santé, biométriques, infrastructure critique, données de défense, etc.) pour faciliter cette qualification et orienter le choix entre cloud commercial standard et offre « de confiance ».
Lorsque les données sont qualifiées de sensibles, l’article 31 de la loi SREN impose que le service d’informatique en nuage soit fourni par une offre « de confiance » proposée, par exemple, par un opérateur certifié ou un prestataire respectant les exigences réglementaires de sécurité et de localisation des données.
La fiche DAJ rappelle que cette obligation doit être intégrée dans la rédaction des avis, des cahiers des clauses administratives particulières et des critères de sélection (sécurité, localisation géographique, conformité aux exigences de la loi SREN, etc.), au même titre que les exigences de sécurité informatique classiques.
