Données personnelles

SecNumCloud et RGPD : guide du cloud souverain en 2026

SecNumCloud, RGPD, Cloud de Confiance : critères de sélection, certifications ANSSI, articulation avec les transferts hors UE. Guide pour DPO et DSI.

TD
Dr. Thiébaut Devergranne
9 mai 20268 min read

En une phrase. SecNumCloud est la qualification française délivrée par l’ANSSI pour les services cloud répondant à des exigences strictes de sécurité et de souveraineté — notamment l’immunité contre les lois extraterritoriales (CLOUD Act, FISA 702). Pour un responsable de traitement RGPD, choisir un fournisseur SecNumCloud résout simultanément trois enjeux : conformité au RGPD article 32 (sécurité), gestion des transferts internationaux, et exigences sectorielles “Cloud de Confiance” pour les administrations et OIV/OSE.

SecNumCloud est devenu la référence française pour le cloud souverain. La doctrine “Cloud de Confiance” du gouvernement (circulaire mai 2021, mise à jour 2023) impose son usage pour les administrations publiques traitant des données sensibles, et de plus en plus d’entreprises privées s’alignent par alignement réglementaire (NIS2) ou par exigence client.

Cet article détaille le périmètre de SecNumCloud, son articulation avec le RGPD, les fournisseurs qualifiés en 2026, et les cas où SecNumCloud est requis vs simplement recommandé. Pour le cadre cybersécurité général, voir guide hygiène ANSSI. Pour les transferts internationaux, transferts de données vers la Suisse et nLPD.

Points clés

  • SecNumCloud est une qualification ANSSI (référentiel 3.2 publié en 2022) couvrant 354 exigences techniques, organisationnelles et juridiques.
  • Le critère décisif vs autres certifications : immunité aux lois extraterritoriales (CLOUD Act US, FISA 702).
  • SecNumCloud est obligatoire pour le “Cloud de Confiance” (administrations centrales, données sensibles secteur public) et fortement recommandé pour les OIV/OSE sous NIS2.
  • En 2026, fournisseurs qualifiés : OVHcloud, Outscale, Scaleway, Numspot. Microsoft (Bleu) et Google (S3NS) en cours.
  • Coût : généralement +30 à +50% vs hyperscalers non qualifiés, mais résout les obligations RGPD transferts + souveraineté en un seul achat.

1. Qu’est-ce que SecNumCloud ?

SecNumCloud est la qualification de sécurité délivrée par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) pour les prestataires de services cloud (PaaS, IaaS, SaaS). Le référentiel actuel est le Référentiel d’exigences SecNumCloud version 3.2 publié en mars 2022.

Le référentiel couvre 354 exigences réparties en 19 chapitres :

  • Politique de sécurité
  • Organisation de la sécurité
  • Sécurité des ressources humaines
  • Gestion des actifs
  • Contrôle d’accès
  • Cryptographie
  • Sécurité physique et environnementale
  • Sécurité liée à l’exploitation
  • Sécurité des communications
  • Acquisition, développement, maintenance
  • Relations avec les fournisseurs
  • Gestion des incidents
  • Continuité d’activité
  • Conformité
  • Immunité aux lois extraterritoriales (chapitre clé)
  • Régionalisation
  • Identification et authentification
  • Réversibilité
  • Souveraineté

2. Le critère différenciant : l’immunité extraterritoriale

C’est ce qui distingue SecNumCloud des certifications internationales comme ISO 27001 ou SOC 2.

Le référentiel exige (chapitre 19.6) que le prestataire ne soit pas soumis au droit non-européen ni en termes de propriété, ni en termes de gouvernance. Cela signifie :

  • Le capital majoritaire doit être européen
  • Les organes de direction doivent être contrôlés par des personnes morales européennes
  • Les centres de données doivent être en UE
  • Aucune obligation légale étrangère ne doit pouvoir contraindre à transférer des données vers une juridiction tierce

Conséquence directe : un fournisseur soumis au CLOUD Act américain ne peut pas être SecNumCloud qualifié. Cela exclut Microsoft, Google, Amazon, Oracle dans leur forme actuelle. Les “joint-ventures” en cours (Microsoft + Capgemini/Orange = Bleu, Google + Thales = S3NS) visent à résoudre cette contrainte.

3. SecNumCloud et RGPD : trois articulations

Article 32 — Sécurité du traitement

SecNumCloud satisfait largement les exigences de l’article 32 RGPD : pseudonymisation, chiffrement, intégrité, disponibilité, restauration, testing. Un responsable de traitement utilisant un fournisseur SecNumCloud peut documenter sa conformité Article 32 essentiellement par la qualification.

Articles 44-50 — Transferts internationaux

L’immunité extraterritoriale signifie que les données ne peuvent pas être contraintes vers une juridiction non adéquate. Cela résout structurellement le problème Schrems II : pas de transfert UE → US à protéger, donc pas de SCCs ni de TIA à conduire.

Article 28 — Sous-traitance

Un fournisseur SecNumCloud reste soumis aux obligations sous-traitant article 28 : DPA, sous-processeurs autorisés, assistance pour notification de violation, etc. Voir notre modèle DPA Article 28.

4. Fournisseurs SecNumCloud qualifiés en 2026

Fournisseur Périmètre qualifié Date qualification
OVHcloud Hosted Private Cloud, IaaS 2018, renouvelé 2023
Outscale (Dassault Systèmes) Cloud Public IaaS 2019, renouvelé 2024
Scaleway IaaS dédié SecNumCloud 2024
Numspot (Docaposte / Bouygues Telecom / Banque des Territoires) IaaS 2024
Cloud Temple PaaS 2025

En cours de qualification :

  • Bleu (Microsoft Azure + Capgemini + Orange) — visée 2026
  • S3NS (Google Cloud + Thales) — visée 2026

5. Quand SecNumCloud est-il obligatoire ?

Obligatoire

  • Administrations publiques traitant des données sensibles (doctrine “Cloud de Confiance”, circulaire du Premier ministre du 5 juillet 2021, mise à jour 2023)
  • OIV (Opérateurs d’Importance Vitale) — règles dérivées de la LPM
  • Données classifiées DR (Diffusion Restreinte)
  • Certains services publics numériques (FranceConnect, etc.)

Fortement recommandé

  • OSE (Opérateurs de Services Essentiels) sous NIS2 — depuis transposition française en octobre 2024
  • Données de santé hébergées (HDS, complémentaire avec SecNumCloud)
  • Secteur défense, énergie nucléaire

Recommandé pour réduction de risque

  • Toute entreprise traitant des données stratégiques susceptibles d’intérêt étranger
  • Filiales européennes de groupes US craignant l’application du CLOUD Act
  • Vendeurs SaaS souhaitant marketer vers le secteur public

6. SecNumCloud vs alternatives

Critère SecNumCloud ISO 27001 SOC 2 Type II HDS C5 (Allemagne)
Périmètre Cloud souverain Sécurité info générale Contrôles de service Hébergement santé Cloud secteur public allemand
Immunité extraterritoriale Partielle
Reconnaissance internationale Limitée à la France Mondiale États-Unis surtout France santé Allemagne
Coût certification Élevé Modéré Modéré Modéré Modéré
Obligatoire pour… Cloud de Confiance Aucun Souvent en B2B SaaS Données de santé hébergées Cloud public allemand

7. Coût et impact opérationnel

Un service SecNumCloud coûte généralement +30 à +50% par rapport à un hyperscaler non qualifié pour des prestations équivalentes. Les raisons : périmètre géographique restreint (centres de données UE uniquement), redondances supplémentaires, audits ANSSI annuels, périmètre fonctionnel souvent plus limité (moins de services managed que AWS/Azure).

ROI à intégrer :

  • Élimination du coût SCCs + TIA (souvent 5-15K€ par TIA)
  • Réduction du risque de sanction CNIL pour transferts non conformes
  • Avantage commercial sur appels d’offres secteur public
  • Souveraineté technologique (réduction du risque géopolitique)

8. Cas pratique : SaaS B2B vendant aux administrations

Une PME éditrice d’un SaaS B2B veut vendre aux ministères et collectivités. Architecture initiale : AWS Frankfurt. Problème : doctrine Cloud de Confiance interdit l’usage d’AWS pour données sensibles publiques, malgré l’hébergement UE.

Migration option A (radicale) : tout migrer vers Outscale ou OVHcloud SecNumCloud. Coût migration : 6-12 mois, +40% sur facture cloud. Avantage : éligibilité immédiate aux marchés publics sensibles.

Migration option B (graduelle) : architecture hybride. Données génériques sur AWS, données client public sur OVHcloud SecNumCloud. Cloisonnement strict, deux pipelines de déploiement. Coût plus élevé mais moins disruptif.

Option C (attente) : attendre Bleu (Microsoft Azure SecNumCloud) ou S3NS (Google Cloud SecNumCloud), prévus 2026-2027. Permet de garder l’écosystème actuel. Risque : décalage commercial pendant l’attente.

9. Articulation avec NIS2

NIS2 (transposée octobre 2024 en France) impose à 5 000+ OSE français un dispositif renforcé de sécurité. La directive ne mentionne pas SecNumCloud explicitement, mais les autorités françaises (ANSSI) recommandent SecNumCloud pour les composants cloud critiques. Pour les exigences sectorielles, voir guide PSSI.

10. Outillage et automatisation

Legiscope cartographie automatiquement les fournisseurs cloud utilisés et identifie ceux qui ne satisferaient pas une obligation SecNumCloud (analyse des DPA + métadonnées juridictionnelles), produisant un rapport de risque géopolitique exploitable.

Pour aller plus loin : certification SecNumCloud ANSSI, guide hygiène ANSSI, PSSI : politique de sécurité, transferts internationaux et nLPD.

Conclusion

SecNumCloud n’est pas une simple certification de sécurité — c’est un cadre de souveraineté juridique qui résout structurellement les problèmes d’extraterritorialité que SCCs et TIA tentent de gérer contractuellement. Pour les organisations soumises à la doctrine Cloud de Confiance ou exposées commercialement aux marchés publics français, SecNumCloud n’est pas une option mais un prérequis. Pour les autres, c’est un arbitrage coût/risque géopolitique qui prend du sens à mesure que le contexte international se tend.

FAQ

SecNumCloud est-il obligatoire pour le RGPD ?

Non, pas en général. Le RGPD n’impose pas SecNumCloud. Mais la doctrine française “Cloud de Confiance” (circulaire 5 juillet 2021) impose SecNumCloud pour les administrations traitant des données sensibles. Pour le secteur privé, c’est un choix d’arbitrage entre coût et souveraineté.

SecNumCloud résout-il le problème Schrems II ?

Oui, structurellement. L’immunité aux lois extraterritoriales prévue par le référentiel signifie qu’aucune obligation légale étrangère (CLOUD Act, FISA 702) ne peut contraindre à transférer les données. Pas de transfert international = pas de SCCs ni de TIA nécessaires.

Combien coûte SecNumCloud par rapport à AWS ?

En général +30 à +50% pour des services équivalents. La différence vient du périmètre géographique restreint (UE uniquement), des audits ANSSI obligatoires, et d’un écosystème de services managed plus limité.

Quels fournisseurs sont SecNumCloud qualifiés en 2026 ?

OVHcloud (Hosted Private Cloud), Outscale, Scaleway (IaaS dédié), Numspot, Cloud Temple. Microsoft (via Bleu) et Google (via S3NS) en cours de qualification, visée 2026-2027.

SecNumCloud remplace-t-il ISO 27001 ?

Non. ISO 27001 est un standard international de management de la sécurité, reconnu mondialement, sans dimension de souveraineté. SecNumCloud ajoute spécifiquement l’immunité extraterritoriale et la souveraineté française. Beaucoup de fournisseurs SecNumCloud sont aussi ISO 27001 — les deux sont complémentaires.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →