Sources : Circulaire n° 6519/SG du 5 février 2026 • Décret n° 2026-209 du 24 mars 2026 • Décret n° 2026-272 du 14 avril 2026
En l’espace de deux mois et demi, trois textes sont venus structurer durablement les exigences de souveraineté numérique applicables au secteur public. La circulaire n° 6519/SG du 5 février 2026 pose le cadre général des achats numériques de l’État. Le décret n° 2026-209 du 24 mars 2026 renforce les obligations d’hébergement souverain pour les données de santé. Le décret n° 2026-272 du 14 avril 2026 précise les obligations applicables aux données sensibles traitées en cloud privé. Pour les DSI et RSSI du secteur public, ce triptyque appelle une réévaluation des solutions en place, à commencer par la gestion des terminaux.
Un cadre d’achat recentré sur la souveraineté
La circulaire du 5 février s’applique au système d’information de l’État au sens du décret n° 2019-1088 du 25 octobre 2019, c’est-à-dire l’ensemble des infrastructures et services logiciels concourant aux missions des services de l’État et des organismes placés sous sa tutelle. Elle harmonise les pratiques des acheteurs publics sur un marché annuel évalué à 4,5 milliards d’euros, selon les estimations disponibles.
Le texte établit une hiérarchie claire : avant tout développement spécifique, les services de l’État doivent examiner les solutions existantes au sein du secteur public dans une logique de mutualisation, puis se tourner vers le marché. Le développement sur mesure n’est admis qu’en dernier recours.
Au stade du choix d’une solution de marché, la circulaire fixe une grille de critères de sélection. La souveraineté numérique y figure en deuxième position, après la performance métier et devant la sécurité. Elle se décline en trois composantes précises :
- L’immunité au droit extra-européen à portée extraterritoriale : protection contre des injonctions étrangères de divulgation de données, comme le CLOUD Act américain.
- La capacité de substitution : pouvoir remplacer une composante du système d’information par une alternative sans dépendance forcée envers un éditeur.
- La maîtrise des technologies clés : garantie que les briques critiques du SI restent sous contrôle d’acteurs français ou européens.
La qualification SecNumCloud « permet notamment d'attester qu'une offre de service d'informatique en nuage bénéficie d'une protection adéquate à l'égard des réglementations extra-européennes à portée extraterritoriale. »
Les décrets du 24 mars et du 14 avril 2026
Si la circulaire relève de l’orientation, deux décrets parus dans les semaines suivantes marquent un changement de registre. Le premier, le décret n° 2026-209 du 24 mars 2026, modifie le code de la santé publique et renforce les obligations des hébergeurs de données de santé à caractère personnel. Il pose le principe d’un stockage exclusif au sein de l’Union européenne ou de l’Espace économique européen, encadre les accès distants depuis des pays tiers et impose une transparence contractuelle renforcée sur les risques d’accès extra-européens.
Pour les établissements de santé, ce texte précise et renforce les obligations auxquelles tout hébergeur de données de santé doit désormais répondre : localisation du stockage dans l’UE, encadrement des accès depuis des pays tiers et transparence contractuelle sur les risques extra-européens.
Le second, le décret n° 2026-272 du 14 avril 2026, élargit le périmètre à l’ensemble des données sensibles des administrations, opérateurs et groupements d’intérêt public de l’État, traitées par un service cloud privé. Le texte explicite formellement la liste des entités soumises à l’obligation d’hébergement souverain et encadre les risques liés à la chaîne de sous-traitance, point souvent sous-estimé dans les appels d’offres, et pourtant déterminant lorsqu’un éditeur délègue tout ou partie de son infrastructure à des tiers établis hors Union européenne.
Les exigences portent notamment sur la localisation de l’hébergement, les conditions de transfert des données vers des États tiers, la localisation du siège ou de l’établissement principal du prestataire, et les modalités de contrôle de son capital. Elles imposent également que les données soient protégées contre tout accès par des autorités publiques d’un État tiers non autorisé par le droit de l’Union européenne.
L’UEM : une brique critique souvent sous-évaluée
Dans ce contexte, la solution UEM (Unified Endpoint Management), mérite une attention particulière. Perçue comme un outil d’administration opérationnelle, elle constitue en réalité l’une des couches les plus sensibles du système d’information : elle traite l’identité de chaque agent, ses droits d’accès, les configurations réseau et VPN ou encore les politiques de sécurité déployées sur l’ensemble du parc de terminaux.
Derrière le choix d’un éditeur UEM soumis à une juridiction étrangère se cachent des risques concrets. Le premier est celui du CLOUD Act américain : dès lors qu’une solution est hébergée ou opérée par une entité de droit américain, les autorités des États-Unis peuvent exiger l’accès aux données traitées, sans recours effectif pour l’administration française. S’y ajoute l’absence de maîtrise sur les évolutions unilatérales (mises à jour, conditions d’utilisation, transferts de données…) imposées sans concertation. À plus long terme, la dépendance structurelle à un éditeur étranger rend toute migration longue et coûteuse, et crée un effet de lock-in incompatible avec l’exigence de substitution posée par la circulaire.
« Pour tous les usages critiques, nous devons nous désintoxiquer des outils non-européens et construire les outils d'indépendance européenne. »
PushManager : une réponse conçue pour ce cadre
Développée à Nantes, PushManager est la plateforme UEM française dont l’architecture répond aux exigences posées par la circulaire et les décrets de 2026. Solution 100 % française, développée et hébergée en France, elle ne fait intervenir aucune entité hors Union européenne dans sa chaîne de traitement.
Pour l’hébergement, PushManager propose plusieurs formules : cloud mutualisé ou dédié qualifié SecNumCloud 3.2 par l’ANSSI, cloud français, ou déploiement On-Premise selon les contraintes de l’organisation. Les établissements de santé bénéficient d’une certification HDS (Hébergeur de Données de Santé) dans le respect des exigences du décret du 24 mars 2026. L’architecture ouverte de la solution, APIs complètes, absence de dépendance propriétaire, garantit une réversibilité réelle, conforme à l’exigence de substitution inscrite dans la circulaire.
Sur le plan institutionnel, PushManager est référencée depuis janvier 2026 au Cyber Panorama Hexatrust & CESIN dans la catégorie NIST Identifier, confirmant sa reconnaissance comme acteur de confiance de la cybersécurité française. Elle est déjà déployée dans des collectivités, des établissements hospitaliers et des services de secours, avec un taux de satisfaction support de 98%.
Un cadre réglementaire appelé à se renforcer
La circulaire ne fixe pas encore de barème chiffré ni de mécanisme de contrôle automatique. Les décrets du 24 mars et du 14 avril 2026 marquent cependant le début d’une transformation progressive des orientations en obligations concrètes. D’autres textes suivront : la Commission européenne travaille à une révision de sa directive sur les marchés publics, et la DINUM coordonne depuis avril 2026 un plan interministériel de réduction des dépendances numériques couvrant sept domaines prioritaires, parmi lesquels figurent explicitement le poste de travail, les outils collaboratifs et la cybersécurité.
Pour les DSI et RSSI du secteur public, l’enjeu est d’anticiper ce mouvement plutôt que de le subir.
Parlons de votre projet
Votre flotte mobile est-elle en conformité avec les nouvelles obligations de souveraineté numérique ?
PushManager accompagne les organisations publiques dans la sécurisation et l’administration de leurs terminaux, en cloud souverain SecNumCloud ou On-Premise, sans dépendance à une juridiction étrangère.
Nos experts sont disponibles pour évaluer votre situation et définir avec vous la meilleure approche.
