SecNumCloudCloudSouveraineté

SecNumCloud : le cloud souverain expliqué

2 avril 2025 · Thomas Bozzo

Qu'est-ce que SecNumCloud ?

SecNumCloud est une qualification de sécurité délivrée par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information). Elle atteste qu'un prestataire de services cloud respecte les exigences de sécurité les plus élevées définies par l'Etat français.

Créée en 2016 et révisée en profondeur en 2022 (version 3.2), cette qualification est devenue le standard de référence pour le cloud de confiance en France. Elle est au cloud ce que la certification HDS est à l'hébergement de données de santé : un gage de sécurité et de conformité.

Les trois niveaux de services couverts

La qualification SecNumCloud s'applique aux trois modèles de cloud computing :

  • IaaS (Infrastructure as a Service) : machines virtuelles, stockage, réseau
  • PaaS (Platform as a Service) : environnements d'exécution, bases de données managées
  • SaaS (Software as a Service) : applications clé en main

Chaque prestataire est qualifié pour un ou plusieurs de ces niveaux, selon les services qu'il propose.

Pourquoi SecNumCloud est-il si important ?

La menace des lois extraterritoriales

Le sujet central derrière SecNumCloud est la souveraineté numérique. Les législations extraterritoriales de certains pays, notamment les Etats-Unis, permettent à leurs autorités d'accéder aux données hébergées par des entreprises de droit américain, quel que soit le lieu d'hébergement physique des données.

Les textes les plus préoccupants :

  • Cloud Act (2018) : permet aux autorités américaines de demander l'accès aux données détenues par des entreprises américaines, même si les serveurs sont en Europe
  • FISA Section 702 : autorise la surveillance des communications de personnes non américaines
  • Executive Order 12333 : encadre les activités de renseignement à l'étranger

Héberger des données de santé chez un fournisseur cloud soumis au Cloud Act, c'est accepter qu'un gouvernement étranger puisse potentiellement y accéder. Pour des données de patients français, c'est inacceptable.

La réponse SecNumCloud 3.2

La version 3.2 du référentiel, publiée en 2022, a introduit des exigences drastiques en matière de souveraineté :

  • Le prestataire doit être une entité de droit européen
  • Le capital doit être détenu à plus de 50 % par des entités européennes (pas de contrôle extraeuropéen)
  • Aucune loi extraterritoriale ne doit pouvoir s'appliquer aux données hébergées
  • Les données doivent être traitées et stockées exclusivement dans l'Union européenne
  • Le support technique doit être opéré depuis l'UE

Ces critères excluent de facto les hyperscalers américains (AWS, Azure, GCP) et leurs filiales européennes de la qualification SecNumCloud. C'est un enjeu majeur de cybersécurité pour les établissements de santé.

SecNumCloud vs HDS : quelles différences ?

Ces deux certifications sont complémentaires mais distinctes. Voici les principales différences.

Périmètre

  • HDS : spécifique aux données de santé à caractère personnel
  • SecNumCloud : applicable à tous types de données sensibles (santé, défense, administration, données personnelles)

Organisme certificateur

  • HDS : organismes accrédités par le COFRAC
  • SecNumCloud : directement par l'ANSSI

Niveau d'exigence

  • HDS : basé sur ISO 27001 + exigences santé
  • SecNumCloud : exigences de sécurité significativement supérieures, intégrant la dimension souveraineté

Obligations

  • HDS : obligatoire pour tout hébergeur de données de santé pour le compte de tiers
  • SecNumCloud : pas encore obligatoire dans le secteur privé, mais imposé pour les administrations (doctrine "Cloud au centre")

Complémentarité

L'idéal est de combiner les deux. Un hébergeur HDS + SecNumCloud offre à la fois la conformité réglementaire santé, la protection RGPD et le plus haut niveau de sécurité et de souveraineté.

La doctrine "Cloud au centre"

En 2021, le gouvernement français a publié sa doctrine "Cloud au centre", mise à jour en 2023. Elle impose aux administrations et aux opérateurs de services essentiels d'utiliser des solutions cloud qualifiées SecNumCloud pour les données sensibles.

Cette doctrine concerne directement le secteur de la santé :

  • Les établissements publics de santé sont des opérateurs de services essentiels
  • Les données de santé sont classées comme données sensibles
  • Les projets numériques financés par le Ségur du Numérique doivent respecter ces exigences

L'impact pour les établissements de santé

Concrètement, cela signifie que les hôpitaux publics et les GHT doivent progressivement migrer leurs données sensibles vers des solutions qualifiées SecNumCloud. C'est un mouvement de fond qui va transformer le paysage de l'hébergement santé dans les années à venir.

Les acteurs qualifiés SecNumCloud en France

A ce jour, les prestataires ayant obtenu la qualification SecNumCloud sont peu nombreux, ce qui témoigne de l'exigence du référentiel.

Les principaux qualifiés

  • Outscale (Dassault Systèmes) : IaaS qualifié SecNumCloud, certifié HDS. C'est notre partenaire chez Ducal.
  • OVHcloud : qualification obtenue pour certains services IaaS
  • Worldline/Atos : services IaaS et PaaS

Les candidats en cours de qualification

Plusieurs acteurs sont en cours de processus de qualification, ce qui devrait élargir l'offre dans les prochaines années. Les délais de qualification sont longs (18 à 24 mois en moyenne), ce qui explique le nombre limité d'acteurs qualifiés.

Migrer vers un cloud souverain ?

Nous hébergeons vos applications de santé sur Outscale (HDS + SecNumCloud). Migration, conseil et exploitation inclus.

Discuter de votre migration →

Comment évaluer un prestataire SecNumCloud

Voici les points à vérifier lors du choix d'un prestataire qualifié SecNumCloud.

Vérifier la qualification

Evaluer les services

  • Les services dont vous avez besoin sont-ils couverts par la qualification ?
  • Le prestataire propose-t-il un accompagnement à la migration ?
  • Quel est le niveau de support (SLA, support 24/7, langue) ?

Anticiper les coûts

Les services qualifiés SecNumCloud sont généralement plus chers que les offres des hyperscalers. Ce surcoût se justifie par :

  • Le niveau de sécurité supérieur
  • La conformité réglementaire garantie
  • L'absence de risque lié aux lois extraterritoriales
  • Le support de proximité en français

Le surcoût de SecNumCloud est un investissement dans la conformité et la protection des données. Il est incomparablement plus faible que le coût d'une violation de données ou d'une sanction réglementaire.

L'avenir du cloud souverain

Le mouvement vers le cloud souverain s'accélère en France et en Europe. Plusieurs tendances se dessinent :

  • EUCS (European Union Cybersecurity Certification Scheme for Cloud Services) : un schéma européen de certification cloud en cours d'élaboration
  • Gaia-X : initiative européenne pour un écosystème cloud fédéré et souverain
  • Renforcement réglementaire : extension probable de l'obligation SecNumCloud à de nouveaux secteurs

Pour les acteurs de la santé numérique, le message est clair : investir dès maintenant dans des solutions souveraines, c'est anticiper les exigences de demain. Le choix de l'open source renforce cette démarche en garantissant transparence et indépendance. Chez Ducal, c'est un choix que nous avons fait dès le premier jour.

Thomas Bozzo

Fondateur — Expert santé numérique

Thomas Bozzo

Plus de 10 ans d'expérience dans le numérique en santé. Spécialiste HDS, FHIR, Article 51 et plateformes d'éducation thérapeutique.

LinkedIn

Articles récents

Cloud souverainHDS

Cloud souverain pour la santé : au-delà du HDS

Lire
SécuritéDonnées de santé

La sécurité en santé numérique ne s'improvise pas. Chez Ducal, elle se construit.

Lire
HDSSouveraineté

Pourquoi héberger vos données de santé en France ?

Lire

Un projet de digitalisation santé ?

Parlons-en. Nous vous répondons sous 48h avec une première proposition adaptée à votre contexte.

Nous contacter