SREN
En bref
La loi française de 2024 qui encadre l'espace numérique. Elle oblige notamment l'État à héberger ses données sensibles sur des clouds qualifiés au plus haut niveau de sécurité.
▶ Définition précise
Loi du 21 mai 2024 visant à sécuriser et réguler l'espace numérique, qui transpose plusieurs textes européens et ajoute des dispositions nationales. Son article 31 impose aux administrations et à leurs opérateurs de recourir à une offre cloud qualifiée SecNumCloud pour héberger les données d'une sensibilité particulière, ce qui réserve de fait une partie de la commande publique cloud aux prestataires qualifiés par l'ANSSI.
Notre analyse
La loi SREN, promulguée le 21 mai 2024, est un texte large qui touche à la protection des mineurs en ligne, à la lutte contre les contenus illicites, à l’encadrement des jeux à objets numériques monétisables et à la régulation du marché du cloud. Elle prolonge en droit français plusieurs règlements européens, dont le règlement sur les services numériques et le règlement sur les marchés numériques, tout en y ajoutant des dispositions propres à la France. Le volet cloud est celui qui intéresse directement les dirigeants qui arbitrent leurs choix d’hébergement.
Le point le plus structurant pour le secteur public est l’article 31. Il impose aux administrations de l’État, à leurs établissements et à leurs opérateurs de recourir à une offre qualifiée SecNumCloud lorsqu’elles confient à un tiers l’hébergement de données d’une sensibilité particulière. La portée pratique est nette : sur ce périmètre, la commande publique cloud se referme sur les prestataires détenteurs de la qualification délivrée par l’ANSSI, et un fournisseur non qualifié se trouve exclu, quels que soient ses arguments commerciaux ou techniques.
Il faut cependant cerner ce que le texte ne fait pas. L’obligation vise les données sensibles de la sphère publique, pas l’ensemble des données publiques ni les données des entreprises privées, qui restent libres de leurs choix. La loi ne crée pas non plus de qualification nouvelle : elle s’appuie sur SecNumCloud, dont elle hérite les forces et les angles morts. Elle fixe une exigence d’achat, sans garantir à elle seule que l’usage qui en sera fait soit réellement souverain.
L’article 31 illustre le déplacement du débat de la souveraineté légale vers la souveraineté industrielle. Inscrire une obligation dans la loi crée une demande captive, mais ne fabrique pas l’offre : encore faut-il des acteurs capables de livrer ces services à l’échelle, dans la durée, à un niveau de maturité comparable à celui des fournisseurs mondiaux. Une protection juridique forte qui s’appuierait sur un tissu industriel insuffisant resterait une souveraineté de papier. C’est tout l’enjeu de la décennie à venir, et la raison pour laquelle SREN ne se lit pas isolément, mais comme un signal de politique industrielle autant que comme une règle de droit.
Voir aussi