Ceci est une version HTML d'une pièce jointe à la demande d'accès à l'information 'Demande de communication de la communication sur les enjeux posés par l’informatique en nuage (« cloud computing »):'.




 

Table des matières 

 

Introduction .............................................................................................................................. 2 

1.  Rappel de la stratégie nationale pour l’informatique en nuage........................................ 3 

2.  Réécriture de la règle R9 de la doctrine « cloud au centre » ............................................ 3 

A. 
La doctrine « cloud  au centre » comme levier de la transformation numérique de 

l’État 3 

B. 
Réécriture de la règle R9 ............................................................................................. 4 

3.  Conséquences opérationnelles pour la CNIL .................................................................... 6 
10 
A. 
Opportunités et difficultés pour la CNIL .................................................................... 6 
11 
B. 
Application à l’instruction de dossiers à la CNIL ........................................................ 7 
12 
1.  Ce qui change ............................................................................................................... 7 
13 
2. 
Ce qui ne change pas ................................................................................................ 8 
14 
4.  Annexe A : Règle R9 .......................................................................................................... 9 
15 
5.  Annexe B : Exemples d’organismes visés par la doctrine « cloud au centre » ................ 12 
16 
6.  Annexe C : Détails de la stratégie nationale pour le cloud (axes 1 & 3) ........................... 15 
17 
Axe 1 : Le « cloud de confiance » au travers de la qualification SecNumCloud de l’ANSSI
18 
 .............................................................................................................................................. 15 
19 
Axe 3 : La stratégie d’accélération cloud ............................................................................. 16 
20 
 
21 
 
22 
      
23 
 
 
  



 
24 
Introduction  
25 
Le gouvernement a publié le 31 mai 2023 une circulaire actualisant la précédente circulaire 
26 
du 5 juillet 2021 relative à la doctrine d’utilisation de l’informatique en nuage par l’État 
27 
« cloud au centre », l’un des trois axes de la stratégie nationale pour le cloud, qui fait du cloud 
28 
le mode d’hébergement par défaut des projets numériques de l’État. 
29 
 
30 
Cette actualisation a pour objectif de préciser les conditions d’application de cette doctrine 
31 
en cas de recours à une offre de cloud commercial « afin de mieux délimiter le périmètre des 
32 
données d’une sensibilité particulière pour lesquelles le recours à une solution d’hébergement 
33 
qualifiée SecNumCloud (ou disposant d’une qualification équivalente) et immunisée au droit 
34 
extracommunautaire est requis ainsi que de préciser les modalités de demandes dérogation 
35 
à cette règle ». 
36 
 
37 
La présente communication identifie les conséquences de cette nouvelle circulaire pour la 
38 
CNIL. 
39 
 
 
 2 
 



 
40  1.  Rappel de la stratégie nationale pour l’informatique en nuage 
41 
Afin de relever les défis en matière de souveraineté et de protection de données, le 
42 
Gouvernement a lancé, le 17 mai 2021, une stratégie nationale pour l’informatique en nuage 
43 
(« cloud »). 
44 
 
45 
Cette stratégie se décline en trois axes : 
46 
 
47 
•  Le « cloud de confiance » au travers de la qualification SecNumCloud de l’ANSSI 
48 
(v. Annexe C : Détails de la stratégie nationale pour le cloud (axes 1 & 3)) ; 
49 
•  La doctrine « cloud au centre » comme levier de la transformation numérique de 
50 
l’État (v. Section 2) ; 
51 
•  La stratégie d’accélération  cloud  via un soutien de la filière et des 
52 
administrations (v. Annexe C   Détails de la stratégie nationale pour le cloud (axes 1 
53 
& 3)). 
54  2.  Réécriture de la règle R9 de la doctrine « cloud au centre » 
55 
A. La doctrine « cloud  au centre » comme levier de la transformation 
56 
numérique de l’État 
57 
Elle a été formalisée dans la circulaire n° 6282/SG du 5 juillet 2021  relative à la 
58 
doctrine d’utilisation de l’informatique en nuage par l’État1, puis actualisée par la circulaire 
59 
n° 6404/SG du 31 mai 20232. 
60 
 
61 
Les circulaires du 5 juillet 2021 et du 31 mai 2023 prévoient que « cette doctrine s'applique 
62 
aux acteurs de l'État et aux organismes placés sous sa tutelle, comme retenus dans 
63 
le décret 2019-1088 définissant le système d'information de l'État ». 
64 
 
65 
Le décret n° 2019-1088 du 25 octobre 2019 relatif au système d'information et de 
66 
communication de l'État et à la direction interministérielle du numérique définit celui-ci 
67 
comme étant composé de l'ensemble des infrastructures et services logiciels informatiques 
68 
permettant de collecter, traiter, transmettre et stocker sous forme numérique les données qui 
69 
concourent aux missions des services de l'État et des organismes placés sous sa 
70 
tutelle (article 1 du décret). 
71 
 
72 
Sont exclus du champ d'application de ce décret : 
73 
-  les systèmes d’information opérationnels et de communication du SI de la défense3 ; 
74 
-  les systèmes d’information scientifiques et techniques du SI de la défense4 ; 
75 
-  les services opérés par la DGSE5 ; 
                                                   
1 Circulaire n° 6282-SG du 5 juillet 2021 https://www.legifrance.gouv.fr/circulaire/id/45205  
2 Actualisation de la doctrine d'utilisation de l'informatique en nuage par l'État (« cloud au centre ») 
https://www.legifrance.gouv.fr/circulaire/id/45446  
3 Article 2 du décret n° 2018-532 du 28 juin 2018 fixant l'organisation du système d'information et de communication de 
la défense et portant création de la direction générale du numérique et des systèmes d'information et de communication 
4 Ibid 
5 Article D. 3126-2 du code de la défense 
 
 3 
 



 
76 
-  les services opérés par la DGSI6. 
77 
Avec cette doctrine, l’informatique en nuage devient dorénavant le mode d’hébergement et 
78 
de production par défaut  des  services numériques de l’État (et des organismes 
79 
placés sous sa tutelle 7 ), pour tout nouveau produit numérique et pour les 
80 
produits connaissant une évolution substantielle8
81 
 
82 
En application de cette doctrine, les services numériques des administrations doivent être 
83 
hébergés :  
84 
•  sur l’un des deux clouds interministériels internes de l’État (« cloud interne ») ; ou 
85 
•  sur les offres de cloud proposées par les industriels (« cloud  commercial ») 
86 
satisfaisant des critères stricts de sécurité. 
87 
 
88 
En particulier, la règle R9 (version 2021), pour l’IaaS et le PaaS, et la règle R14, pour le SaaS, 
89 
prévoient que, dans le cas d’un recours à une offre de cloud commercial : 
90 
•  les traitements de données à caractère personnel dans le cloud doivent être conformes 
91 
au RGPD ; 
92 
•  Les traitements de données de santé doivent être hébergés chez un prestataire certifié 
93 
HDS ; 
94 
•  Les traitements des données d’une « sensibilité particulière » doivent être opérés 
95 
par un prestataire qualifié SecNumCloud et être immunisés contre toute 
96 
réglementation extracommunautaire
97 
 
98 
Dans une note interne9 adressée aux secrétaires généraux des ministères et datée du 15 
99 
septembre 2021, la DINUM a fait savoir que la suite collaborative Microsoft 365 n’était pas 
100 
conforme à la doctrine « cloud au centre », au titre de la règle R9. 
101 
B.  Réécriture de la règle R9 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
116 
                                                   
6 Article 1er du décret n° 2014-445 du 30 avril 2014 relatif aux missions et à l'organisation de la direction générale de la 
sécurité intérieure 
7 Voir un exemple d’organismes visés par la doctrine en Annexe B 
8 Voir le courrier de Jean Castex en préambule de la circulaire du 5 juillet 2021 
9 Note interne de la DINUM concernant la conformité de Microsoft 365 à la doctrine « cloud au centre » 
https://acteurspublics.fr/upload/media/default/0001/36/acf32455f9b92bab52878ee1c8d83882684df1cc.pdf  
 4 
 



 
117 
 
118 
La nouvelle rédaction, validée par la Commission européenne et publiée dans la circulaire du 
119 
31 mai 2023 (v. tableau en Annexe A : Règle R9), précise : 
120 
 
121 
•  les cas d’application de R9 et ; 
122 
 
123 
•  le périmètre des « données d’une sensibilité particulière », en prenant en 
124 
compte les différentes exigences et exceptions découlant des traités internationaux. 
125 
 
126 
En particulier la nouvelle version de la règle R9 : 
127 
 
128 
•  réaffirme la conformité au RGPD comme premier critère à prendre en compte 
129 
lorsqu’un traitement de données à caractère personnel est mis en œuvre ; 
130 
 
131 
•  attire l’attention s’agissant des transferts de données hors UE, en rappelant : 
132 
o  que l’hébergement dans l’UE/EEE ou dans un pays tiers adéquat permet 
133 
notamment d’assurer un niveau de protection adéquat, 
134 
o  que même en cas de localisation dans l’UE, les données doivent être 
135 
immunisées contre toute demande d’autorité de pays tiers en dehors d’un 
136 
accord international conformément aux articles 28 et 48 du RGPD ; 
137 
 
138 
•  étaye le critère de « données d’une sensibilité particulière » nécessitant le respect de 
139 
qualification SecNumCloud avec la notion de violation susceptible d’engendrer une 
140 
atteinte à l'ordre public, à la sécurité publique, à la santé et à la vie des personnes, 
141 
créant ainsi  une définition à deux conditions :  (i) sensibilité par nature et (ii) 
142 
sensibilité par risque et conséquence d’une violation de la donnée ; 
143 
 
144 
•  restreint les données d’une sensibilité particulière aux : 
145 
o  données relevant de secrets protégés par la loi, notamment au titre des 
146 
articles L. 311-5 et L. 311-6 du code des relations entre le public et 
147 
l'administration (CRPA10) ; 
148 
o  données nécessaires à l'accomplissement des missions essentielles 
149 
de l'État
150 
 
151 
Il convient de noter que la CNIL avait poussé à ce que la définition des données d’une 
152 
sensibilité particulière inclue également une référence aux catégories particulières de 
153 
données (article 9 du RGPD) et aux données relatives aux condamnations pénales et 
154 
aux infractions (article 10 du RGPD). Cependant, la version publiée n’a pas retenu 
155 
cette proposition ; 
156 
 
157 
•  maintient une dérogation transitoire pour les projets déjà engagés d’au maximum 
158 
12 mois, après validation du Premier ministre, à compter de la disponibilité d’une offre 
159 
« acceptable ». 
160 
 
 
                                                   
10 C’est-à-dire notamment le secret des délibérations du Gouvernement, le secret de la défense nationale, le secret de 
l’instruction, le secret médical, le secret des affaires, etc. 
 5 
 








 
276  4.  Annexe A : Règle R9 
277 
 
R9 dans la Circulaire du 31 mai 2023 
R9 dans la Circulaire du 5 juillet 2021 
(les parties soulignées sont les modifications par rapport à l’ancienne version) 
Dans le cas d’un recours à une offre de cloud commerciale, les  Dans le cas d'un recours à une offre de cloud commerciale, les 
systèmes informatiques en production et en recette, incluant les  systèmes informatiques en production et en recette, incluant les 
éléments nécessaires à leur résilience, doivent respecter la règle  éléments nécessaires à leur résilience, doivent respecter la règle 
suivante : 
suivante : 
 
-  Tous les systèmes et applications informatiques manipulant  Tous les systèmes et applications informatiques traitant des 
des données à caractère personnel doivent être conformes  données à caractère personnel, y compris celles des agents 
au RGPD. Pour les systèmes contenant des données de  publics, doivent être conformes au RGPD. À ce titre, une 
santé, l’hébergeur doit de plus être conforme à la attention particulière doit être portée à d'éventuels transferts de 
législation sur l’hébergement de données de santé
données à caractère personnel en dehors de l'UE et il est rappelé 
que l'hébergement sur le territoire de l'UE, de l'EEE, ou d'un pays 
tiers faisant l'objet d'une décision d'adéquation de la 
Commission européenne, adoptée en application de l'article 45 
du RGPD, permet notamment d'assurer un niveau de protection 
adéquat aux données. Par ailleurs, même lorsque les données 
sont localisées dans l'Union, conformément aux articles 28 et 48 
du RGPD, ces données doivent être immunisées contre toute 
demande d'autorité publique d'États tiers (judiciaire ou 
administrative) en dehors d'un accord international en vigueur 
entre le pays tiers demandeur et l'Union ou un État membre. 
Pour les systèmes contenant des données de santé, l'hébergeur 
doit de plus être conforme à la législation sur l'hébergement de 
données de santé. 
 
-  Si le système ou l’application informatique manipule des  Si le système ou l'application informatique traite des données, à 
données d’une sensibilité particulière, qu’elles relèvent  caractère personnel ou non, d'une sensibilité particulière et dont 
notamment des données personnelles des citoyens français,  la violation est susceptible d'engendrer une atteinte à l'ordre 
des données économiques relatives aux entreprises public, à la sécurité publique, à la santé et la vie des personnes 
  



 
françaises, ou d’applications métiers relatives aux agents  ou à la protection de la propriété intellectuelle, l'offre de cloud 
publics de l’État : l’offre de cloud commercial retenue devra  commerciale retenue devra impérativement respecter la 
impérativement respecter la qualification SecNumCloud  qualification SecNumCloud  (ou une qualification 
(ou une qualification européenne d’un niveau au moins  européenne garantissant un niveau au moins équivalent, 
équivalent) et être immunisée contre toute notamment de cybersécurité) et être immunisée contre tout 
réglementation extracommunautaire
accès non autorisé par des autorités publiques d'État tiers.  
 
 
-  Sinon, l’administration en charge du système choisit la  Dans le cas contraire, le recours à une offre de cloud commerciale 
solution adaptée en fonction de ses propres critères, en  qualifiée SecNumCloud et immunisée contre tout accès non 
privilégiant chaque fois que possible une offre qualifiée  autorisé par des autorités publiques d'État tiers n'est pas requis. 
SecNumCloud et immunisée aux réglementations  
extracommunautaires. 
Ces données d'une sensibilité particulière recouvrent :  
-  les données qui relèvent de secrets protégés par la 
loi, notamment au titre des articles L. 311-5 et L. 311-6 du 
code des relations entre le public et l'administration (par 
exemple, les secrets liés aux délibérations du Gouvernement 
et des autorités relevant du pouvoir exécutif, à la défense 
nationale, à conduite de la politique extérieure de la France, 
à la sûreté de l'État, aux procédures engagées devant les 
juridictions ou encore le secret de la vie privée, le secret 
médical, le secret des affaires qui comprend le secret des 
procédés, des informations économiques et financières et des 
stratégies commerciales ou industrielles) ; 
-  les données nécessaires à l'accomplissement des 
missions essentielles de l'État, notamment la 
sauvegarde de la sécurité nationale, le maintien de l'ordre 
public et la protection de la santé et de la vie des personnes. 
 
La violation des données décrites ci-dessus,  susceptible 
d'engendrer une atteinte à l'ordre public, à la sécurité publique, 
 10 
 



 
à la santé et à la vie des personnes, ou à la protection de la 
propriété intellectuelle, devra être évaluée sous chaque angle des 
critères de sécurité élémentaires, à savoir : la confidentialité, 
l'intégrité, la disponibilité voire la traçabilité. Il pourra être pris 
en compte dans cette analyse différentes natures d'impacts 
possibles (par exemple notamment : impacts opérationnels, 
politiques, économiques, juridiques, environnementaux, 
patrimoniaux). 
 
-  A titre transitoire, pour les projets déjà engagés, une  À titre transitoire, pour les projets déjà engagés, une dérogation 
dérogation à ces deux derniers alinéas pourra être accordée  à l'alinéa précédent pourra être accordée sous la responsabilité 
sous la responsabilité du ministre dont relève le projet, sans  du ministre dont relève le projet, et après validation du Premier 
qu’elle ne puisse aller au-delà de 12 mois après la date à  ministre, sans qu'elle ne puisse aller au-delà de 12 mois après la 
laquelle une offre de cloud acceptable (c’est-à-dire dont les  date à laquelle une offre de cloud acceptable (c'est-à-dire dont les 
éventuels inconvénients sont supportables ou compensables)  éventuels inconvénients sont supportables ou compensables) 
sera disponible en France. 
sera disponible en France. 
278 
 
279 
Il est important de noter que le projet de référentiel de certification des services cloud en cours d’élaboration par l’ENISA prévoit un 
280 
niveau de garantie dédié au traitement de « données d’une sensibilité particulière » dont la définition reprend exactement les mêmes 
281 
termes que la règle R9. 
282 
 
 11 
 









 
326  6.  Annexe C : Détails de la stratégie nationale pour le cloud (axes 1 & 3) 
327 
Axe 1 : Le « cloud de confiance » au travers de la qualification SecNumCloud de 
328 
l’ANSSI  
329 
 
330 
La qualification SecNumCloud garantit un niveau de sécurité élevé pour les prestataires de 
331 
cloud. 
332 
 
333 
La version 3.2 du 8 mars 2022 du référentiel SecNumCloud explicite des critères de 
334 
protection vis-à-vis de la législation extra-européenne : 
335 
•  le « siège statutaire, administration centrale et principal établissement » du 
336 
prestataire dans l’UE ; 
337 
•  des exigences sur le capital social du prestataire (le capital minimum que devraient 
338 
détenir des acteurs européens est de 61 %) ; 
339 
•  l’absence de possibilité technique par toute société hors UE intervenant dans le 
340 
traitement d’accéder aux données traitées (y compris les données techniques). 
341 
 
342 
La CNIL considère que SecNumCloud fournit une réponse conforme by design  aux 
343 
exigences de la CJUE en matière de protection des données identifiés dans son 
344 
arrêt Schrems 2 et elle recommande le recours à un prestataire de niveau SecNumCloud 
345 
pour les responsables de traitement qui veulent garantir un haut niveau de protection des 
346 
données à caractère personnel15. 
347 
 
348 
Par ailleurs, le Gouvernement a lancé fin 2022 un dispositif d’accompagnement à la 
349 
qualification SecNumCloud pour les PME et start-ups de la sphère SaaS/PaaS16, piloté par la 
350 
DGE et la DGRI opéré par Bpifrance. 
351 
 
352 
À ce jour, cinq fournisseurs sont qualifiés SecNumCloud :  
353 
•  Cloud Temple : offre « Secure Temple » (IaaS) ; 
354 
•  Oodrive : suite collaborative « Meet », « Work », et « Share » (SaaS) ; 
355 
•  Outscale : offre « IaaS Cloud on Demand » (IaaS) ; 
356 
•  OVH : offre « Private Cloud » (IaaS) ; 
357 
•  Worldline : offre « Secured IaaS » (IaaS). 
358 
 
359 
Selon le gouvernement, la stratégie nationale pour le cloud a permis aux administrations de 
360 
doubler leur volume de marchés passés avec des offres SecNumCloud17. 
361 
 
362 
Six autres fournisseurs sont en cours de qualification : 
363 
•  Cloud Solutions : suite collaborative « Wimi Entreprise » (SaaS) ; 
364 
•  Idnomic : Infrastructure de clés publiques et identité numérique (SaaS) ; 
365 
•  Index Education : Suite logicielle incluant Pronote (SaaS) ; 
                                                   
15 L’ANSSI actualise le référentiel SecNumCloud : https://www.ssi.gouv.fr/actualite/lanssi-actualise-le-referentiel-
secnumcloud/  
16 France 2030 : vers un renforcement de l’offre cloud de confiance 
 https://presse.economie.gouv.fr/06042023-cp-france-2030-vers-un-renforcement-de-loffre-cloud-de-confiance/  
17 Un premier bilan positif : https://www.economie.gouv.fr/cloud-cinq-nouveaux-dispositifs-soutenir-developpement-
secteur  
 15 
 



 
366 
•  Cegedim : offre « CegNumCloud « (IaaS) ; 
367 
•  Whaller : suite collaborative « Donjon » (SaaS) ; 
368 
•  Orange : Cloud Avenue (IaaS). 
369 
Axe 3 : La stratégie d’accélération cloud 
370 
 
371 
Dans le cadre du programme « France 2030 » et du programme d’investissements d’avenir 
372 
2021-2025, l’État soutient financièrement les projets industriels de développement de 
373 
services cloud français (1,8 Md€). 
374 
 
375 
Ce soutien s’est renforcé depuis septembre 2022,  avec la définition de cinq nouvelles 
376 
mesures18 annoncées par le gouvernement pour poursuivre la stratégie d’accélération : 
377 
 
378 
•  l’accompagnement de l’ANSSI pour obtenir le label SecNumCloud pour les PME et 
379 
start-ups proposant des services SaaS ou PaaS ; 
380 
 
381 
•  l’accompagnement des administrations –  notamment celles traitant des données 
382 
sensibles – dans leur migration vers le cloud via une mission d’appui pilotée par la 
383 
DINUM ; 
384 
 
385 
•  la poursuite des travaux sur le schéma de certification de la sécurité du cloud (EUCS) 
386 
porté par l’ENISA et sur le projet de règlement « Data Act » ; 
387 
 
388 
•  un soutien à l’innovation dans le cloud via un Projet Important d’Intérêt Européen 
389 
Commun (PIIEC) dédié ; 
390 
 
391 
•  la création d’un Comité Stratégique de Filière numérique de confiance (CSF 
392 
numérique), présidé par Michel Paulin, DG d’OVHcloud. 
393 
 
394 
Un premier appel à projets concernant les « suites bureautiques collaboratives cloud », visant 
395 
à soutenir le développement de suites collaboratives qualifiées SecNumCloud, a été ouvert au 
396 
printemps 2022. Trois projets lauréats ont été annoncés en avril 2023 : Wimi, Jamespot et 
397 
Interstis. 
                                                   
18 Cloud : cinq nouveaux dispositifs pour soutenir le développement du secteur https://www.economie.gouv.fr/cloud-cinq-
nouveaux-dispositifs-soutenir-developpement-secteur  
 16