Décret SREN : cloud souverain santé - L'actualité de la santé numérique

Après le décret sur la certification des hébergeurs de données de santé (mars 2026), c’est au tour des utilisateurs d’être encadrés. Le décret n°2026-272 du 14 avril 2026, publié au Journal officiel, fixe les obligations des administrations et des établissements publics — dont les hôpitaux — lorsqu’ils recourent à des services de cloud computing pour héberger leurs données sensibles.

Un texte complémentaire au décret HDS

La loi SREN du 21 mai 2024 articulait deux chantiers distincts : d’un côté, les obligations des hébergeurs (article 32, décliné en décret HDS fin mars 2026) ; de l’autre, les conditions d’utilisation du cloud par le secteur public (article 31). C’est ce second volet que vient aujourd’hui préciser le décret n°2026-272.

Jusqu’à sa publication, l’article 31 laissait une marge d’interprétation considérable. Les établissements de santé pouvaient difficilement justifier, lors de leurs appels d’offres, les critères de qualification exigibles de leurs prestataires cloud. Le nouveau texte met fin à cette ambiguïté.

Ce que le décret impose concrètement

Définition des données sensibles concernées

Le décret retient une acception large des données de « sensibilité particulière » :

les données couvertes par des secrets légalement protégés (notamment ceux visés aux articles L. 311-5 et L. 311-6 du code des relations entre le public et l’administration) ;
les données nécessaires à l’accomplissement des missions essentielles de l’État, au titre desquelles figure explicitement la protection de la santé publique.

Pour les établissements de santé, cette définition englobe les systèmes d’information hospitaliers (SIH), les dossiers médicaux partagés, les applications de télémédecine et toute infrastructure traitant des données patients à caractère sensible.

SecNumCloud devient le référentiel de confiance de facto

Le texte consolide le rôle du référentiel SecNumCloud de l’ANSSI comme critère de qualification des prestataires cloud autorisés pour les données les plus sensibles. Les établissements publics doivent désormais :

justifier le choix de l’hébergeur au regard de la sensibilité des données concernées ;
s’assurer que le prestataire n’est pas soumis à des lois extraterritoriales susceptibles de permettre un accès non autorisé aux données (en particulier le CLOUD Act américain) ;
intégrer ces exigences dès la phase de rédaction des appels d’offres et des contrats de service.

Impact opérationnel pour les hôpitaux et ARS

Les directions des systèmes d’information hospitaliers (DSIH) sont directement concernées. Tout projet de migration cloud ou de renouvellement de contrat doit désormais intégrer une analyse de sensibilité des données en amont. Les groupements d’intérêt public (GIP) listés dans le décret sont également soumis à ces obligations, ce qui inclut plusieurs structures du secteur médico-social.

Une accélération de la souveraineté numérique en santé

Ce décret s’inscrit dans un mouvement cohérent : la Plateforme des données de santé (Health Data Hub) a déjà annoncé sa migration vers une infrastructure SecNumCloud d’ici fin 2026 pour remplacer son hébergement actuel chez Microsoft Azure. L’accès du HDH aux données du SNDS et aux grandes cohortes de recherche était sous le feu des critiques depuis la décision du Conseil d’État de mars 2026, qui avait validé le dispositif transitoire tout en soulignant sa fragilité juridique.

Avec ce décret, le signal envoyé à l’ensemble des acteurs publics de la santé numérique est sans équivoque : l’hébergement souverain n’est plus un choix stratégique, c’est une obligation réglementaire en cours de consolidation.

Cloud souverain : le décret SREN oblige les établissements de santé à sécuriser leurs données dans le cloud

Contactez un expert en santé numérique