Décret n° 2026-272 du 14 avril 2026 relatif à la protection des données d'une sensibilité particulière des administrations, opérateurs et groupements d'intérêt public de l'Etat traitées par un service d'informatique en nuage fourni par un prestataire privé

Version INITIALE

NOR : PRMJ2603578D

ELI : https://www.legifrance.gouv.fr/eli/decret/2026/4/14/PRMJ2603578D/jo/article_2

Alias : https://www.legifrance.gouv.fr/eli/decret/2026/4/14/2026-272/jo/article_2

Texte n°1

Article 2


Un référentiel élaboré par l'Agence nationale de la sécurité des systèmes d'information et approuvé par arrêté du Premier ministre détermine les exigences à respecter au titre du deuxième alinéa du I de l'article 31 de la loi du 21 mai 2024 susvisée pour assurer la sécurité et la protection des données d'une sensibilité particulière traitées par un service d'informatique en nuage fourni par un prestataire privé. Ce référentiel fixe le niveau d'exigence requis, au regard de la sensibilité particulière des données concernées et des risques présentés par leur traitement, dans les domaines suivants :
1° L'organisation de la sécurité de l'information et de l'exploitation du service ainsi que la gestion des risques, y compris au niveau de la chaîne de sous-traitance ;
2° La gestion des ressources humaines pour les personnels impliqués dans la fourniture du service, comprenant en particulier la mise en œuvre d'un plan de formation concernant la sécurité de l'information adapté au service ;
3° La gestion des relations avec les tiers participant à la mise en œuvre du service ;
4° La gestion des équipements mettant en œuvre le service, comprenant notamment des mesures de sécurité physique et environnementale ;
5° La sécurité des systèmes d'information, comprenant notamment des mesures de cryptologie, de contrôle d'accès aux données du service et de gestions des identités des utilisateurs participant à la mise en œuvre du service ;
6° La gestion des incidents concernant la sécurité de l'information et la continuité de l'activité ;
7° L'utilisation de la langue française ;
8° Les clauses obligatoires de la convention de service, qui portent notamment sur le principe de réversibilité, permettant la récupération des données, et ses modalités techniques de mise en œuvre, ainsi que le droit applicable à cette convention ;
9° La localisation de l'hébergement des données du service, les conditions de transfert de ces données vers un Etat tiers, la localisation du lieu du siège ou du principal établissement du prestataire et les modalités de son contrôle, au travers notamment de la détention, directe ou indirecte, de son capital social et de ses droits de vote ;
10° La protection des données du service contre tout accès par des autorités publiques d'un Etat tiers non autorisé par le droit de l'Union européenne ou les engagements internationaux de la France.
La conformité d'un service d'informatique en nuage fourni par un prestataire privé aux exigences énoncées par ce référentiel est attestée par une qualification attribuée dans les conditions prévues par le chapitre III du décret du 27 mars 2015 susvisé ou par une certification de l'Union européenne ou d'un Etat partie à l'espace économique européen d'un niveau au moins équivalent.