Blog Sciences du vivant
La circulaire Lecornu du 5 février 2026 réaffirme l’exigence d’un hébergement SecNumCloud pour les données de santé
Dans une circulaire n° 6519/SG [1] datée du 5 février 2026, le Premier ministre Sébastien Lecornu fixe le cadre de la commande publique numérique de l’État et réaffirme l’exigence de recourir à la qualification SecNumCloud pour l’hébergement des données d’une sensibilité particulière, au rang desquelles figurent les données de santé.
La circulaire consacre la souveraineté numérique comme deuxième objectif prioritaire des décisions d’achats numériques, après la performance métier. Elle la définit comme reposant sur l’immunité au droit extra-européen à portée extraterritoriale, la capacité de substitution d’une composante numérique et la maîtrise des technologies clefs par des acteurs français ou européens.
La qualification SecNumCloud permet précisément d’attester qu’une offre cloud bénéficie d’un niveau de sécurité adapté aux données d’une sensibilité particulière au sens de l’article 31 de la loi SREN, ce qui vise notamment les données dont la violation est susceptible de porter atteinte à la santé ou à la vie des personnes. Un guide pratique, publié sur numerique.gouv.fr, doit accompagner les administrations dans l’identification des données concernées et le choix de l’offre cloud adaptée.
Cette exigence va au-delà de la certification HDS. Si le référentiel HDS, dans sa version actualisée par arrêté du 26 avril 2024, impose un hébergement au sein de l’Espace Économique Européen et la documentation des garanties appropriées en cas d’accès depuis un pays tiers, il ne couvre pas les exigences d’immunité extraterritoriale propres au SecNumCloud, lequel impose en outre des contraintes strictes d’actionnariat et de gouvernance. Un hébergeur certifié HDS n’est donc pas automatiquement conforme aux standards SecNumCloud.
Dans le secteur de la santé, ce texte fait directement écho à la migration attendue du Health Data Hub vers un hébergeur SecNumCloud, imposée par la loi SREN d’ici fin 2026.