Par une circulaire en date du 5 février 2026 (N° 6519/SG), le Premier ministre Sébastien Lecornu ambitionne une harmonisation des pratiques des acheteurs publics de l’État en matière de fournitures de services numériques.

Pour ce faire, sont notamment clarifiés les principaux critères à prendre en compte au stade du choix de l’offre. La souveraineté numérique figure en deuxième position, après la performance métier et devant la sécurité, dont elle est complémentaire.

La circulaire explicite par ailleurs les composantes de la souveraineté numérique qui implique : 

• l’immunité au droit extra-européen à portée extraterritoriale, 
• la capacité de l’État à substituer une composante de ses systèmes numériques par une solution alternative et ,
• la maîtrise des technologies clefs. 

Ces différents éléments mettent en relief l’intérêt de la qualification SecNumCloud « qui permet notamment d’attester qu’une offre de service d’informatique en nuage bénéficie d’une protection adéquate à l’égard des réglementations extra-européenne à portée extraterritoriale » (Circulaire du 5 février 2026, n° 6519/SG). 

Cette qualification apparaît indispensable compte tenu de la sensibilité de certaines données, au premier rang desquelles celles dont « la violation est susceptible d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé ou à la vie des personnes ou à la protection de la propriété intellectuelle, l’administration de l’État, ses opérateurs, etc. » (article 31 de la Loi n°2024-449 du 21 mai 2024, dite SREN).

Ces données relèvent de l’article 31 de la loi du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique (loi SREN). 

Dans ce contexte, il convient de souligner que le décret n°2026-272 du 14 avril 2026 explicite formellement la liste des groupements d’intérêt public soumis à l’obligation d’hébergement souverain ainsi que les risques liés à la chaîne de sous-traitance. 

A noter que les exigences de la commande publique devront préciser notamment : 

•  la localisation de l’hébergement des données du service, les conditions de transfert de ces données vers un État tiers, la localisation du lieu du siège ou du principal établissement du prestataire et les modalités de son contrôle, au travers notamment de la détention, directe ou indirecte, de son capital social et de ses droits de vote ;
• la protection des données du service contre tout accès par des autorités publiques d’un État tiers non autorisé par le droit de l’Union européenne ou les engagements internationaux de la France.

S’agissant l’hébergement des données de santé, le décret n°2026‑209 du 24 mars 2026, qui vient modifier le Code de la santé publique, avait d’ores et déjà pris en compte les exigences contractuelles de transparence liées aux tiers ainsi que les risques extraterritoriaux (notamment dans le cadre des données personnelles).  

Dans ce contexte géopolitique troublé où les cyberattaques sont exponentielles, ces actes administratifs viennent appuyer le besoin d’avoir des contrats sécurisés afin d’ancrer la confiance et de valoriser les solutions européennes. A cet égard, l’indice de résilience numérique est un outil dont l’utilité mérite d’être soulignée. 

Bien qu’une circulaire soit dépourvue de portée contraignante, il est souhaitable que les acheteurs publics de l’État intègrent ses préconisations à leur pratique quotidienne tout en prenant en compte les exigences réglementaires. 

La vérification des clauses de marché, des contrats est plus que jamais d’actualité.

Comment pouvons-nous vous être utiles ? Mathias Avocats est à votre écoute.

Mise en conformité avec ces réglementations et gestion de vos risques, développement de vos projets, sensibilisation de vos équipes, formation, veille sur-mesure… Mathias Avocats vous accompagne, contactez-nous !

Ensemble, développons vos projets et formons vos équipes ! Partageons nos expertises.