En avril, nous revenions sur trois textes majeurs pour la souveraineté numérique : la circulaire du 5 février 2026 sur la commande publique numérique, le décret du 24 mars 2026 sur l’hébergement des données de santé et le décret du 14 avril 2026 sur les données sensibles des administrations traitées par des services cloud privés. Depuis, deux actualités récentes confirment que le sujet ne se limite plus au cadre réglementaire. Il entre désormais dans une phase plus opérationnelle, avec d’un côté la consultation publique ouverte par la Direction générale des Entreprises sur l’évolution de la Stratégie nationale pour le cloud, et de l’autre le retour d’expérience de la DINUM sur le choix d’un cloud souverain pour la Plateforme des données de santé. Ces deux éléments ne créent pas à eux seuls de nouvelles obligations. Ils montrent cependant comment les exigences posées ces derniers mois commencent à se traduire dans les choix publics, dans les méthodes d’évaluation et dans la manière d’aborder les projets numériques sensibles. Sources : Direction générale des Entreprises, consultation publique sur la Stratégie nationale pour le cloud, 26 mai 2026 ; DINUM, retour d’expérience sur le choix d’un cloud souverain pour la Plateforme des données de santé, 8 juin 2026 ; Décret n° 2026-209 du 24 mars 2026 ; Décret n° 2026-272 du 14 avril 2026. Une stratégie cloud appelée à évoluer Le 26 mai 2026, la Direction générale des Entreprises a ouvert une consultation publique consacrée à la Stratégie nationale pour le cloud. Cette stratégie, lancée en 2021, visait déjà à structurer une offre française et européenne plus solide, dans un contexte où le cloud est devenu une brique centrale des systèmes d’information publics et privés. La consultation, ouverte jusqu’au 26 juin 2026, doit permettre de recueillir les propositions de l’écosystème afin d’adapter les prochaines actions de l’État aux besoins de la filière. Elle s’inscrit aussi dans une réflexion plus large sur la souveraineté numérique et sur la préférence européenne. Le constat posé par la DGE est clair : les offres françaises de cloud ont progressé, le cloud de confiance gagne en visibilité et la commande publique contribue à mieux structurer le marché. Malgré tout, il reste des axes d’améliorations. Les hyperscalers représentent encore une part très majoritaire du marché cloud en France, tandis que les solutions de confiance restent surtout positionnées sur les couches d’infrastructure et de plateforme. Autrement dit, le sujet n’est pas seulement de disposer d’hébergeurs souverains. Il est aussi de construire une chaîne numérique complète, capable de couvrir les besoins réels des administrations, des opérateurs publics et des organisations manipulant des données sensibles. La Plateforme des données de santé comme exemple concret Le second signal vient de la Plateforme des données de santé, anciennement Health Data Hub. Le 8 juin 2026, la DINUM a publié un retour d’expérience sur l’accompagnement mené dans le cadre du choix d’un cloud souverain pour cette plateforme. En avril, le GIP Plateforme des données de santé a retenu Scaleway comme hébergeur cloud dans le cadre du marché Nuage public. La DINUM précise que ce choix s’est appuyé sur une analyse technique approfondie, avec plus de 350 critères examinés. Elle indique également avoir accompagné la démarche aux côtés de l’Inria et du ministère chargé de la santé, sans se substituer à la décision finale, qui relève du GIP PDS. Ce retour d’expérience est intéressant parce qu’il montre comment la souveraineté peut devenir un critère opérationnel. Elle n’est pas seulement une orientation politique ou juridique, mais se traduit par des exigences techniques, des grilles d’évaluation, des procédures d’audit, des auditions de fournisseurs et une méthode de sélection documentée. Pour les organisations publiques, ce cas donne une indication utile : les projets numériques sensibles sont appelés à être évalués avec un niveau de précision plus élevé, en croisant les enjeux de sécurité, de performance, de résilience, de conformité et de souveraineté. Un prolongement logique du cadre réglementaire Ces deux actualités s’inscrivent directement dans la continuité du triptyque réglementaire de 2026. Le décret du 24 mars 2026 a renforcé les obligations applicables aux hébergeurs de données de santé à caractère personnel. Il impose notamment que le stockage de ces données soit mis en œuvre sur le territoire d’un État membre de l’Union européenne ou de l’Espace économique européen. Il encadre aussi les transferts et les accès distants depuis des pays tiers, tout en renforçant les informations à fournir aux clients sur les risques d’accès non autorisé. Le décret du 14 avril 2026 a, de son côté, précisé les règles applicables aux données d’une sensibilité particulière des administrations, des opérateurs de l’État et de certains groupements d’intérêt public lorsqu’elles sont traitées par un service cloud privé. Il prévoit des exigences sur la sécurité de l’information, sur le contrôle des accès, sur la gestion des identités, sur les relations avec les tiers et sur la chaîne de sous-traitance. La consultation de la DGE et le choix de cloud souverain pour la Plateforme des données de santé prolongent donc ces textes. Ils montrent que la souveraineté numérique devient progressivement une méthode de sélection, de contrôle et de pilotage des prestataires numériques. Ce que les DSI et RSSI doivent anticiper Pour les DSI et RSSI du secteur public, la question ne se limite plus à l’hébergement des données. Elle s’étend désormais à l’ensemble de la chaîne numérique : qui administre les solutions, quelles entités interviennent en sous-traitance, quels accès techniques sont possibles, quelles dépendances contractuelles existent et dans quelles conditions un prestataire peut être remplacé. Cette logique concerne les infrastructures cloud, mais aussi les solutions métiers, les outils collaboratifs et les plateformes d’administration des terminaux. Une solution EMM occupe à ce titre une position particulièrement sensible : elle gère les terminaux mobiles, applique les politiques de sécurité, distribue les configurations et conditionne l’accès aux ressources internes. Elle traite donc des informations directement liées aux équipements, aux utilisateurs et aux droits d’accès déployés sur le parc. Dans un contexte où la maîtrise de la chaîne numérique devient un critère d’évaluation à part entière, l’EMM ne

Tablettes publiques, smartphones d’agents, bornes d’animations… la gestion du parc numérique d’un centre culturel est un défi quotidien pour des équipes informatiques souvent réduites. Voici ce que peut apporter une solution EMM adaptée à ces contextes. Tablettes en libre accès : maîtriser l’usage sans mobiliser l’équipe IT Lorsqu’une médiathèque municipale met à disposition des tablettes pour la consultation de ressources numériques, la presse en ligne ou les ateliers, elle doit concilier deux exigences contradictoires : offrir une expérience fluide au public tout en empêchant tout usage détourné, sans mobiliser un technicien à chaque incident. En pratique, cela soulève des questions concrètes : comment verrouiller l’accès aux seules applications autorisées ? Comment déployer les mises à jour sans interruption de service pendant les heures d’ouverture ? Comment gérer un vol ou une perte sans intervention physique ? Ces contraintes ne sont pas insurmontables, à condition de disposer des bons outils de gestion centralisée. Flottes multi-sites : administrer plusieurs établissements depuis une console unique Un réseau intercommunal regroupant plusieurs bibliothèques et médiathèques réparties sur différentes communes fait face à un défi structurel : chaque site dispose de terminaux utilisés par des agents aux profils variés, pour des missions différentes, le tout géré par des équipes IT souvent mutualisées et réduites. Sans solution de gestion unifiée, chaque déploiement d’application, chaque mise à jour, chaque changement de poste implique une intervention manuelle. L’attribution des droits selon les rôles et les sites devient alors rapidement difficile à gérer dans les temps. Ce type de situation appelle moins une réponse purement technique qu’une réorganisation de la façon dont le parc est administré au quotidien. Pourquoi sécuriser les équipements des établissements culturels ? Les établissements publics sont des cibles croissantes pour les cyberattaques. Les terminaux mobiles, souvent moins surveillés que les postes fixes, représentent une surface d’attaque réelle. Cette analyse est étayée par des constats chiffrés : Les collectivités territoriales et établissements publics comptent parmi les organisations françaises les plus touchées par les attaques par rançongiciel. (ANSSI, Panorama de la cybermenace 2024) 82 % des sites de phishing ciblent aujourd’hui les appareils mobiles, utilisés dans des contextes où un lien suspect est facilement négligé. (Zimperium, Global Mobile Threat Report 2024) 60 % des violations de données impliquent encore un facteur humain. (Verizon, Data Breach Investigations Report 2025) Un terminal public non géré peut exposer les données personnelles des usagers et engager la responsabilité de l’établissement au titre du RGPD. Intégration dans votre SI et souveraineté des données Les solutions EMM du marché se déclinent selon différents modèles d’hébergement et de gouvernance. Pour un établissement public soumis aux réglementations françaises et européennes sur la protection des données, le choix de la solution ne peut pas être neutre. Les solutions hébergées hors de France, ou développées par des éditeurs étrangers,  peuvent être soumises à des législations extraterritoriales, comme le CLOUD Act américain. Les données de vos agents et de vos usagers peuvent alors être accessibles à des autorités étrangères, indépendamment du droit européen. Pour les collectivités et établissements culturels, l’enjeu est donc double : bénéficier d’une solution techniquement compétente, mais aussi garantir que les données restent sur le territoire, dans des infrastructures qualifiées. Ce qu’un EMM souverain peut apporter Face à ces enjeux, un EMM souverain comme PushManager permet aux établissements culturels de sécuriser et d’administrer simplement leurs terminaux, qu’ils soient utilisés par les agents ou mis à disposition du public. Le mode kiosque limite l’usage aux seules applications autorisées sur les appareils en libre accès, verrouille les paramètres sensibles et simplifie l’expérience utilisateur. Les mises à jour peuvent être planifiées à distance, hors horaires d’ouverture, et un terminal perdu ou volé peut être effacé depuis la console d’administration. Les applications métier, profils utilisateurs, règles de sécurité, certificats ou accès VPN se déploient depuis une interface unique, y compris sur des flottes réparties entre plusieurs sites. L’intégration à l’Active Directory permet d’attribuer automatiquement les bons droits selon le rôle de chaque agent. Le choix d’une solution française apporte une réponse aux enjeux de souveraineté. Développée et hébergée en France, déployable en On-Premise, cloud privé ou environnement SecNumCloud via 3DS Outscale, PushManager permet aux établissements de garder la maîtrise de leur flotte mobile sans dépendre d’un éditeur soumis à une juridiction étrangère. Parlons de votre projet Vous gérez un ou plusieurs établissements culturels et souhaitez simplifier l’administration de vos équipements numériques tout en renforçant la sécurité des données de vos usagers ? Les équipes PushManager peuvent vous accompagner pour : Évaluer vos usages mobiles et identifier les points de friction actuels Définir une architecture adaptée à la taille et à la répartition de vos sites Déployer PushManager dans votre environnement existant Contactez-nous pour en discuter avec nos experts. Nous contacter Rejoindre notre réseau partenaire

Sources : Directive (UE) 2022/2555 du 14 décembre 2022 (NIS2), articles 20, 21 et 23 • Avis motivé de la Commission européenne adressé à la France pour défaut de transposition, mai 2025 • Projet de loi Résilience, adopté en commission spéciale de l’Assemblée nationale, septembre 2025 • Référentiel Cyber France (ReCyF), ANSSI, 17 mars 2026 La directive NIS2 (UE 2022/2555) est souvent présentée comme un texte à venir, dont les obligations n’entreraient en jeu qu’une fois la transposition nationale finalisée. Cette lecture est inexacte, et potentiellement coûteuse pour les organisations qui s’y fient. La directive est entrée en vigueur au niveau européen le 16 janvier 2023, tandis que la date limite de transposition pour les États membres était fixée au 17 octobre 2024. La France n’a pas respecté cette échéance : la Commission européenne a engagé une procédure d’infraction et adressé un avis motivé à Paris en mai 2025. Le projet de loi Résilience, qui transpose NIS2 en droit français, a été adopté par la commission spéciale de l’Assemblée nationale en septembre 2025, mais n’est pas encore promulgué. Son vote en séance plénière est attendu au second semestre 2026. Ce retard législatif ne crée pas un vide d’obligation. Il crée une zone grise dans laquelle les organisations exposées portent un risque croissant, sans cadre national précis pour s’en prémunir. L’ANSSI le rappelle : il ne faut pas attendre. Le Référentiel Cyber France (ReCyF), publié le 17 mars 2026 comme document de travail adossé au projet de loi, est déjà disponible et opérationnel pour initier une mise en conformité. Ce qu’est NIS2 et à qui elle s’applique NIS2 est la refonte majeure de la première directive sur la sécurité des réseaux et des systèmes d’information, adoptée en 2016. Son objectif est d’élever le niveau de cybersécurité à l’échelle de l’Union européenne, en élargissant considérablement le périmètre des entités concernées et en renforçant les obligations qui pèsent sur elles. Là où NIS1 ciblait un nombre limité d’opérateurs de services essentiels, NIS2 couvre désormais 18 secteurs critiques et devrait concerner entre 15 000 et 18 000 entités en France une fois la transposition finalisée. La directive distingue deux catégories : Les entités essentielles (EE) : organisations opérant dans des secteurs jugés hautement critiques (énergie, transports, santé, eau, infrastructures numériques, administrations publiques centrales). Elles sont soumises au niveau d’exigence le plus élevé et à une supervision active de l’ANSSI. Les entités importantes (EI) : organisations issues d’autres secteurs critiques (services postaux, gestion des déchets, fabrication de produits critiques, services numériques, recherche). Elles sont soumises aux mêmes obligations de fond, avec un régime de contrôle a posteriori. Les critères d’inclusion combinent un critère sectoriel et un critère de taille : les entreprises de taille intermédiaire (plus de 50 salariés ou 10 millions d’euros de chiffre d’affaires) évoluant dans les secteurs visés entrent dans le champ d’application. Certaines entités de taille inférieure peuvent également être désignées si elles constituent le seul fournisseur d’un service essentiel dans leur périmètre géographique. L’article 21 : dix mesures obligatoires de gestion des risques L’article 21 est le coeur opérationnel de NIS2. Il impose aux entités essentielles et importantes de mettre en oeuvre des mesures techniques, opérationnelles et organisationnelles proportionnées aux risques, en tenant compte de l’état des connaissances et des normes européennes et internationales applicables. Ces mesures couvrent dix domaines : Les politiques d’analyse des risques et de sécurité des systèmes d’information : chaque entité doit disposer d’une politique formelle de gestion des risques, documentée et approuvée par la direction. La gestion des incidents : des procédures doivent être en place pour détecter, qualifier, contenir et traiter les incidents de sécurité. La continuité d’activité : plans de sauvegarde, de reprise après sinistre et de gestion de crise doivent être formalisés et testés. La sécurité de la chaîne d’approvisionnement : les relations avec les fournisseurs et prestataires de services numériques doivent être encadrées par des exigences de sécurité contractuelles et vérifiées périodiquement. La sécurité de l’acquisition, du développement et de la maintenance des systèmes d’information, y compris le traitement des vulnérabilités. Les politiques et procédures d’évaluation de l’efficacité des mesures de gestion des risques. Les pratiques de cyberhygiène de base et la formation régulière des personnels à la cybersécurité. Les politiques relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement. La sécurité des ressources humaines, les politiques de contrôle d’accès et la gestion des actifs. L’utilisation de solutions d’authentification multifacteur ou d’authentification continue, de communications sécurisées et de systèmes de communication d’urgence sécurisés. L’article 20 complète ce dispositif en posant une obligation de gouvernance au niveau de la direction : les organes de direction doivent approuver les mesures mises en oeuvre, superviser leur application et suivre une formation adaptée. La responsabilité personnelle des dirigeants peut être engagée en cas de manquement grave, y compris par des interdictions temporaires d’exercice. L’article 23 : un régime de notification d’incidents structuré et contraignant L’article 23 organise l’obligation de signalement des incidents significatifs aux autorités compétentes, en France l’ANSSI. Un incident est considéré comme significatif s’il a causé ou est susceptible de causer une perturbation opérationnelle grave, une perte financière importante, ou s’il affecte d’autres personnes en causant des dommages matériels ou immatériels considérables. Le régime de notification est structuré en trois temps : Alerte précoce sous 24 heures : dès la découverte d’un incident significatif, l’entité doit notifier l’ANSSI, en précisant notamment si l’incident résulte d’un acte malveillant ou présente un risque transfrontalier. Notification intermédiaire sous 72 heures : une mise à jour doit être transmise, incluant une évaluation de la gravité de l’incident, de son impact et des indicateurs de compromission disponibles. Rapport final dans le mois suivant la notification : ce rapport détaille la nature de l’incident, sa cause probable, les mesures d’atténuation appliquées et son impact éventuel sur d’autres États membres. Ces délais sont stricts. Ils supposent que l’organisation dispose, avant même qu’un incident survienne, de processus de détection opérationnels, d’une chaîne de responsabilité claire pour déclencher la notification, et d’outils permettant de qualifier rapidement la gravité

La souveraineté numérique, tout le monde s’en réclame, mais quand on pose la question concrètement sur l’hébergement, les accès, les juridictions applicables ou les contrats en vigueur, les réponses deviennent rapidement floues. C’est ce qu’on observe au quotidien chez les organisations que nous accompagnons, et c’est rarement le signe d’une négligence : c’est surtout le résultat de décisions prises par défaut, à un moment où ces questions n’étaient pas encore au centre des arbitrages. L’hébergement, point de départ de toute maîtrise Toute donnée est stockée quelque part, et ce quelque part détermine qui peut y accéder, dans quelles conditions et sous quelle juridiction. C’est une question que beaucoup d’organisations n’ont jamais vraiment creusée, non par manque de rigueur, mais parce qu’elle n’a longtemps semblé ni urgente ni stratégique. Le droit européen a commencé à poser un cadre. Le RGPD (règlement UE 2016/679) encadre strictement les transferts de données hors Union européenne à travers ses articles 44 à 49. L’arrêt Schrems II, rendu par la CJUE le 16 juillet 2020, a poussé ce raisonnement plus loin en invalidant le Privacy Shield et en rappelant que le niveau de protection des données doit accompagner les données où qu’elles aillent. Héberger ses données sur le territoire national, dans un environnement qualifié, c’est s’assurer qu’elles restent dans un périmètre maîtrisé. Ce choix d’architecture, qu’il s’agisse d’un déploiement on-premise, d’un cloud souverain ou d’un environnement SecNumCloud, conditionne tout le reste. Ne pas le traiter, c’est de fait déléguer une partie du contrôle sans en mesurer les conséquences. La technologie, un levier de dépendance autant que d’autonomie Utiliser une technologie ne signifie pas en avoir la maîtrise. La plupart des solutions déployées aujourd’hui en Europe sont développées et maintenues par des acteurs dont les décisions de roadmap, les mises à jour et les orientations stratégiques restent extérieures à l’organisation qui les utilise. La circulaire « cloud au centre » du Premier ministre (n°6404/SG, 31 mai 2023) a donné une orientation claire aux services de l’État : privilégier les solutions qualifiées, immunisées contre les réglementations extracommunautaires, et s’appuyer sur la DINUM pour encadrer les choix technologiques. Ce signal, même s’il s’adresse d’abord aux administrations, traduit une prise de conscience plus large. Choisir un éditeur souverain, c’est pouvoir auditer ses pratiques, engager sa responsabilité et solliciter des évolutions adaptées à ses besoins. C’est aussi préserver une capacité d’adaptation que les cycles imposés de l’extérieur ne permettent structurellement pas. La gouvernance interne, angle mort de la souveraineté La souveraineté passe aussi par la manière dont les organisations structurent leurs propres accès. Qui peut consulter quelles données ? Qui peut modifier les configurations ? Qui déclenche des actions sur les terminaux ? Dans de nombreux cas, ces règles restent implicites ou insuffisamment formalisées. La directive NIS2 (UE 2022/2555) a mis ce sujet sur la table réglementaire. Ses articles 21 et 23 imposent aux entités essentielles et importantes des mesures de gestion des risques et des obligations de notification des incidents, avec une attention explicite portée à la sécurité de la chaîne d’approvisionnement et aux droits d’accès. Un modèle opérationnel mal défini crée des failles qui s’accumulent : accès non contrôlés, prestataires trop privilégiés, support externalisé sans encadrement contractuel clair. Ces situations ne relèvent pas d’une mauvaise volonté, elles sont le produit naturel d’une croissance rapide ou d’une organisation qui n’a pas eu le temps de formaliser ce qui aurait dû l’être. On les découvre généralement au mauvais moment. Le cadre réglementaire, une contrainte structurante C’est probablement le point le moins anticipé, et l’un des plus structurants. Le Cloud Act (2018) autorise les autorités américaines à exiger l’accès à des données stockées par toute entreprise soumise à leur juridiction, où que ces données se trouvent dans le monde. Une entreprise américaine peut être tenue de livrer des données hébergées en Europe, sans qu’aucune notification ne soit due à l’organisation dont elles émanent. En France, la loi de programmation militaire 2024-2030 (loi n°2023-703 du 1er août 2023) a renforcé les prérogatives de l’ANSSI en matière de cybersécurité des systèmes d’information. Au niveau européen, le schéma EUCS porté par l’ENISA dans le cadre du Cybersecurity Act vise à harmoniser la certification des services cloud, même si ce schéma est encore en cours de finalisation. Ce cadre réglementaire s’applique qu’on le connaisse ou non. Le prendre en compte dès le choix de ses outils, c’est transformer une contrainte subie en position de maîtrise. Une capacité qui se construit dans la durée Ces quatre dimensions forment un tout. Hébergement, technologie, modèle opérationnel, réglementation : chacune engage une décision, et chaque décision non prise est une décision prise par défaut. La gestion des terminaux mobiles est souvent perçue comme un sujet technique de second plan. Elle est en réalité au cœur du système d’information : elle touche aux accès, aux données, aux communications internes. Négliger sa dimension souveraine, c’est laisser une porte ouverte sans l’avoir choisie. C’est précisément pour répondre à ces enjeux qu’a été conçue PushManager : une solution EMM développée et hébergée en France, pensée pour les organisations qui considèrent la souveraineté comme un fondement, et non comme une option. Jean-Cédric MINIOTDirecteur Général d’ITS Ibelem, éditeur de PushManager

Sources : Circulaire n° 6519/SG du 5 février 2026 • Décret n° 2026-209 du 24 mars 2026 • Décret n° 2026-272 du 14 avril 2026 En l’espace de deux mois et demi, trois textes sont venus structurer durablement les exigences de souveraineté numérique applicables au secteur public. La circulaire n° 6519/SG du 5 février 2026 pose le cadre général des achats numériques de l’État. Le décret n° 2026-209 du 24 mars 2026 renforce les obligations d’hébergement souverain pour les données de santé. Le décret n° 2026-272 du 14 avril 2026 précise les obligations applicables aux données sensibles traitées en cloud privé. Pour les DSI et RSSI du secteur public, ce triptyque appelle une réévaluation des solutions en place, à commencer par la gestion des terminaux. Un cadre d’achat recentré sur la souveraineté La circulaire du 5 février s’applique au système d’information de l’État au sens du décret n° 2019-1088 du 25 octobre 2019, c’est-à-dire l’ensemble des infrastructures et services logiciels concourant aux missions des services de l’État et des organismes placés sous sa tutelle. Elle harmonise les pratiques des acheteurs publics sur un marché annuel évalué à 4,5 milliards d’euros, selon les estimations disponibles. Le texte établit une hiérarchie claire : avant tout développement spécifique, les services de l’État doivent examiner les solutions existantes au sein du secteur public dans une logique de mutualisation, puis se tourner vers le marché. Le développement sur mesure n’est admis qu’en dernier recours. Au stade du choix d’une solution de marché, la circulaire fixe une grille de critères de sélection. La souveraineté numérique y figure en deuxième position, après la performance métier et devant la sécurité. Elle se décline en trois composantes précises : L’immunité au droit extra-européen à portée extraterritoriale : protection contre des injonctions étrangères de divulgation de données, comme le CLOUD Act américain. La capacité de substitution : pouvoir remplacer une composante du système d’information par une alternative sans dépendance forcée envers un éditeur. La maîtrise des technologies clés : garantie que les briques critiques du SI restent sous contrôle d’acteurs français ou européens. La qualification SecNumCloud « permet notamment d’attester qu’une offre de service d’informatique en nuage bénéficie d’une protection adéquate à l’égard des réglementations extra-européennes à portée extraterritoriale. » Circulaire n° 6519/SG, 5 février 2026 Les décrets du 24 mars et du 14 avril 2026 Si la circulaire relève de l’orientation, deux décrets parus dans les semaines suivantes marquent un changement de registre. Le premier, le décret n° 2026-209 du 24 mars 2026, modifie le code de la santé publique et renforce les obligations des hébergeurs de données de santé à caractère personnel. Il pose le principe d’un stockage exclusif au sein de l’Union européenne ou de l’Espace économique européen, encadre les accès distants depuis des pays tiers et impose une transparence contractuelle renforcée sur les risques d’accès extra-européens. Pour les établissements de santé, ce texte précise et renforce les obligations auxquelles tout hébergeur de données de santé doit désormais répondre : localisation du stockage dans l’UE, encadrement des accès depuis des pays tiers et transparence contractuelle sur les risques extra-européens. Le second, le décret n° 2026-272 du 14 avril 2026, élargit le périmètre à l’ensemble des données sensibles des administrations, opérateurs et groupements d’intérêt public de l’État, traitées par un service cloud privé. Le texte explicite formellement la liste des entités soumises à l’obligation d’hébergement souverain et encadre les risques liés à la chaîne de sous-traitance, point souvent sous-estimé dans les appels d’offres, et pourtant déterminant lorsqu’un éditeur délègue tout ou partie de son infrastructure à des tiers établis hors Union européenne. Les exigences portent notamment sur la localisation de l’hébergement, les conditions de transfert des données vers des États tiers, la localisation du siège ou de l’établissement principal du prestataire, et les modalités de contrôle de son capital. Elles imposent également que les données soient protégées contre tout accès par des autorités publiques d’un État tiers non autorisé par le droit de l’Union européenne. L’UEM : une brique critique souvent sous-évaluée Dans ce contexte, la solution UEM (Unified Endpoint Management), mérite une attention particulière. Perçue comme un outil d’administration opérationnelle, elle constitue en réalité l’une des couches les plus sensibles du système d’information : elle traite l’identité de chaque agent, ses droits d’accès, les configurations réseau et VPN ou encore les politiques de sécurité déployées sur l’ensemble du parc de terminaux. Derrière le choix d’un éditeur UEM soumis à une juridiction étrangère se cachent des risques concrets. Le premier est celui du CLOUD Act américain : dès lors qu’une solution est hébergée ou opérée par une entité de droit américain, les autorités des États-Unis peuvent exiger l’accès aux données traitées, sans recours effectif pour l’administration française. S’y ajoute l’absence de maîtrise sur les évolutions unilatérales (mises à jour, conditions d’utilisation, transferts de données…) imposées sans concertation. À plus long terme, la dépendance structurelle à un éditeur étranger rend toute migration longue et coûteuse, et crée un effet de lock-in incompatible avec l’exigence de substitution posée par la circulaire. « Pour tous les usages critiques, nous devons nous désintoxiquer des outils non-européens et construire les outils d’indépendance européenne. » David Amiel, Ministre de l’Action et des Comptes publics PushManager : une réponse conçue pour ce cadre Développée à Nantes, PushManager est la plateforme UEM française dont l’architecture répond aux exigences posées par la circulaire et les décrets de 2026. Solution 100 % française, développée et hébergée en France, elle ne fait intervenir aucune entité hors Union européenne dans sa chaîne de traitement. Pour l’hébergement, PushManager propose plusieurs formules : cloud mutualisé ou dédié qualifié SecNumCloud 3.2 par l’ANSSI, cloud français, ou déploiement On-Premise selon les contraintes de l’organisation. Les établissements de santé bénéficient d’une certification HDS (Hébergeur de Données de Santé) dans le respect des exigences du décret du 24 mars 2026. L’architecture ouverte de la solution, APIs complètes, absence de dépendance propriétaire, garantit une réversibilité réelle, conforme à l’exigence de substitution inscrite dans la circulaire. Sur le plan institutionnel, PushManager est référencée depuis janvier 2026 au

Scanners de quai, smartphones chauffeurs, tablettes : dans le transport et la logistique, les terminaux mobiles sont au cœur des opérations Quand la flotte compte plusieurs centaines de devices répartis sur de multiples sites, la question n’est plus de savoir si une solution MDM / EMM est nécessaire, mais comment en tirer le maximum sans alourdir la charge IT. C’est précisément ce à quoi répond PushManager, la solution EMM souveraine développée et hébergée en France par ITS Ibelem. Onboarding d’un nouveau chauffeur : comment PushManager facilite le travail de vos équipes Lorsqu’un chauffeur intègre votre dépôt, son terminal doit être opérationnel dès la première tournée. Sans outil adapté, un technicien doit intervenir sur place pour installer manuellement l’application TMS, configurer le profil réseau et appliquer les restrictions d’usage. En cas de recrutements multiples, la charge pour l’équipe IT peut rapidement devenir difficile à gérer. Avec PushManager, l’enrôlement Zero-Touch prend en charge l’intégration dès la première mise sous tension. Le terminal reçoit automatiquement les applications métier (TMS, WMS, e-CMR), le profil réseau, les certificats d’accès et les restrictions d’usage correspondant au rôle assigné dans votre annuaire Active Directory, sans intervention physique ni configuration manuelle. Déploiement d’un patch critique : tous les terminaux mis à jour sans perturber les tournées Si une faille est identifiée sur votre application de gestion de tournées, il faut patcher l’ensemble de la flotte avant la prochaine vacation. Sans orchestration centralisée, c’est soit une intervention site par site, soit un déploiement pendant les heures de service qui bloque les livreurs en pleine tournée. PushManager permet de planifier les mises à jour applicatives et OS en dehors des plages opérationnelles, en fenêtre de maintenance. Les terminaux se mettent à jour sans perturber l’activité, le tout traçable depuis la console centrale, avec rapport de conformité par appareil. Terminal perdu en cours de livraison : verrouillage en moins d’une minute Lorsqu’un appareil est déclaré perdu ou volé, chaque minute compte : il contient les bons de livraison dématérialisés, les accès au TMS et potentiellement des tokens d’authentification réseau. Depuis la console PushManager, un administrateur peut verrouiller ou effacer à distance l’appareil en quelques secondes, quel que soit l’endroit où il se trouve. Par ailleurs, la localisation en temps réel permet d’orienter les recherches. Si l’appareil est retrouvé, la procédure de réintégration est tout aussi rapide. Comment éviter la facture roaming à la frontière Pour les transporteurs qui opèrent des lignes transfrontières (France-Allemagne, France-Belgique, France-Suisse), le roaming data reste un poste de coût réel. Dès qu’un terminal bascule sur un opérateur étranger, la consommation de données peut générer des surcoûts significatifs, surtout si les applications métier (synchronisation TMS, téléchargement de manifestes, remontées GPS) continuent de tourner en arrière-plan sans restriction. Grâce aux profils dynamiques de PushManager, il est possible de définir des configurations conditionnelles qui s’appliquent automatiquement selon des critères détectés sur le terminal. Concrètement : dès qu’un appareil bascule sur un opérateur non référencé dans le profil (détection d’un réseau étranger), PushManager peut automatiquement bloquer la data mobile et forcer le recours au WiFi, ou restreindre les applications autorisées à accéder au réseau en mode itinérance. Le profil nominal se réactive automatiquement au retour sur le réseau domestique, sans aucune intervention du chauffeur ni de l’équipe IT. Le résultat est une maîtrise des coûts téléphoniques sur les lignes internationales, sans contraindre l’usage métier essentiel. Votre flotte mobile, première surface d’attaque : ce que disent les chiffres Le secteur transport-logistique est aujourd’hui l’une des cibles prioritaires des cybermenaces. Trois chiffres à avoir en tête : 70 % des cyberattaques mondiales en 2024 ont ciblé les infrastructures de transport et logistique (Source : IBM X-Force Threat Intelligence Index 2025). Les attaques par rebond via fournisseurs et sous-traitants ont été multipliées par quatre en un an (Source : ENISA). 82 % des sites de phishing ciblent aujourd’hui les appareils mobiles (Source : Zimperium, Global Mobile Threat Report 2024), utilisés dans des conditions où un lien suspect est souvent négligé. PushManager répond à ces risques avec plusieurs fonctionnalités, parmi lesquelles : le mode kiosque (seules les apps métier sont accessibles), la gestion des certificats et profils VPN déployés centralement, et la supervision en temps réel des anomalies sur chaque terminal. Intégration dans votre SI et maîtrise de l’empreinte carbonne PushManager se connecte nativement aux briques déjà en place dans votre SI : TMS, WMS, systèmes RH, Active Directory. Les profils applicatifs se synchronisent selon les missions, les droits suivent l’organigramme, les logs remontent vers votre SIEM via Syslog. Déployable On-Premise, en cloud privé ou en mode SecNumCloud qualifié (ANSSI), la solution répond aux exigences de souveraineté des OIV (Opérateur d’Importance Vitale) et des acteurs soumis à la directive NIS2. Au-delà de l’intégration technique, PushManager propose un module d’évaluation de l’impact carbone des flottes mobiles, basé sur les référentiels de l’ADEME. Pour les acteurs du transport et de la logistique, qui sont souvent soumis à des objectifs RSE stricts et à des reporting environnementaux, c’est un moyen concret de mesurer et de suivre l’empreinte numérique de leur parc mobile, et de l’intégrer dans une démarche globale de réduction des émissions, sans outillage supplémentaire. Un EMM français plutôt qu’un acteur international : pourquoi ça change tout Les solutions EMM dominantes du marché, qu’elles soient américaines ou issues de grands groupes technologiques internationaux, exposent leurs clients à un risque juridique concret. Par exemple, le Cloud Act américain oblige ces éditeurs à transmettre aux autorités américaines toute donnée hébergée sur leurs infrastructures, y compris celles de leurs clients européens, sans notification préalable. Pour une entreprise de transport gérant des flottes mobiles, cela signifie que les données de localisation des véhicules, les identités des conducteurs, les configurations réseau et les journaux d’activité peuvent potentiellement être accessibles à des tiers étrangers. PushManager échappe à cette contrainte. Développée et hébergée en France par ITS Ibelem, la solution est soumise exclusivement au droit français et européen. Les données restent sur le territoire, dans des infrastructures qualifiées : OVHcloud en mode cloud mutualisé, ou 3DS Outscale en mode SecNumCloud 3.2, la qualification la plus exigeante délivrée par l’ANSSI. Au-delà