Publication du Décret relatif à la Loi SREN et mise à jour de la fiche DAJ

Code : Commande Publique

Publication du Décret relatif à la Loi SREN et mise à jour de la fiche DAJ

   Veille marchés publics    13 mai 2026  |  0

La DAJ a mis à jour sa fiche technique sur le décret d’application n° 2026-272 du 14 avril 2026 relatif à l’article 31 de la loi SREN, entré en vigueur le 17 avril 2026. Le décret n° 2026-272 du 14 avril 2026 relatif à la protection des données d’une sensibilité particulière des administrations de l’Etat, de ses opérateurs et de groupements d’intérêt public (GIP) traitées par un service d’informatique en nuage fourni par un prestataire privé, d’application de l article 31 de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l espace numérique (dite « loi SREN »), détermine les mesures, procédures et conditions propres à assurer la sécurité et la protection des données pour les services d’informatique en nuage commerciaux à certains acheteurs et précise les conditions dans lesquelles une dérogation peut être accordée. Il entre en vigueur le 17 avril 2026.

Qui est concerné. Administrations de l’État, opérateurs (431 en 2026), et 7 GIP listés (ANS, HDH, etc.).

Quelles données. Double condition cumulative :

  1. Données relevant de secrets protégés par la loi ou nécessaires aux missions essentielles de l’État
  2. Dont la violation engendre un risque caractérisé (pas hypothétique) pour l’ordre public, la sécurité, la santé, la vie ou la PI

Analyse au cas par cas. Périmètre distinct du RGPD.

L’obligation. Le service cloud doit respecter le référentiel ANSSI = SecNumCloud 3.2, attesté par qualification ou certification UE/EEE de niveau équivalent.

Dérogation possible. Conditions cumulatives : projet déjà engagé au 16/04/2026 + aucune offre acceptable disponible en France. Demande → ministère → DINUM (instruction 2 mois) → Premier ministre → décision publiée sur data.gouv.fr. Durée : 18 mois max après dispo d’une offre, ou 1 an renouvelable.

Pour les acheteurs — clauses-types fournies en annexe :

Partie I (marchés relevant de l’art. 31)

  • Règlement de consultation : qualification exigée au stade de l’offre, sinon rejet
  • CCAP : 6 articles (qualification + maintien, audit avec préavis 2 mois, destruction des données avec PV contresigné, documentation, pénalités spécifiques, résiliation sans mise en demeure en cas de perte de qualif)

Partie II (tous achats numériques, art. 31 ou non)

  • Réversibilité : code source, composants et docs développés spécifiquement → propriété matérielle et intellectuelle de l’acheteur (dérogation au CCAG TIC ch. 7), pénalité forfaitaire de 20 % du marché en cas de manquement
  • PI : cession exclusive monde entier pour la durée légale

Source : Fiche technique de la DAJ, Décret d’application de l’article 31 de la loi du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique (SREN)

Commentaires associés

Externalisez vos marchés publics !
Nos prestations

Code : Commande Publique

Un site créé et édité par Pyxis Support, cabinet de conseil en achats et marchés publics : AMO, Externalisation des marchés, Contract Management, Ingénierie contractuelle

© 2026 Pyxis-Support

CGA et politique de protection des données personnelles

CONTACTEZ-NOUS

En savoir plus sur Pyxis Support

En savoir plus sur MA-IA