# SecNumCloud — Qualification ANSSI cloud souverain

> Catégorie : **Qualifications souveraines** · Slug : `secnumcloud` · Source canonique : <https://www.hebergeurs-de-donnees-de-sante.fr/criteres/secnumcloud/>

**Définition courte** : Qualification de l'ANSSI pour les services de cloud computing offrant un niveau de sécurité et de souveraineté élevé. Référentiel v3.2.

## Statistiques sur les 404 hébergeurs HDS

- ✓ Vérifiés sur source publique : **9**
- ◆ Revendiqués sur source publique : **0**
- ◐ Démarche en cours : **10**

## Définition

SecNumCloud est la **qualification de l'ANSSI** (Agence nationale de la sécurité des systèmes d'information) pour les services de cloud computing offrant un haut niveau de sécurité et de protection juridique. Elle est encadrée par un référentiel public — la version en vigueur est **3.2 (mars 2022)**.

Pour être qualifié SecNumCloud, un fournisseur de cloud doit satisfaire trois familles d'exigences :

1. **Exigences techniques** étendues couvrant la sécurité physique, la cryptographie, l'authentification, le cloisonnement, la détection.
2. **Exigences organisationnelles** alignées sur ISO 27001 et complétées.
3. **Exigences juridiques** : siège social dans l'UE, capital majoritairement détenu par des entités UE, absence d'extraterritorialité (immunité au CLOUD Act US et équivalents).

La qualification est délivrée pour 3 ans après audit par un évaluateur lui-même qualifié par l'ANSSI. La liste publique des acteurs qualifiés est tenue à jour sur cyber.gouv.fr.

## Pourquoi c'est important pour un hébergeur HDS

SecNumCloud n'est **pas obligatoire** pour la certification HDS. Mais c'est de fait le plus haut niveau d'exigence de souveraineté disponible en France. Les acheteurs publics et les SI sensibles (santé classifiée, recherche clinique, données génétiques) le considèrent comme un signal différenciant fort.

Trois bénéfices clés :

1. **Immunité aux lois extraterritoriales** : le CLOUD Act (2018) et le FISA 702 permettent aux autorités US de réquisitionner des données détenues par des entreprises sous juridiction US — même hébergées en France. Un acteur SecNumCloud est statutairement protégé.
2. **Référentiel de très haut niveau technique** : 363 exigences réparties sur ~30 domaines de sécurité.
3. **Marché public** : la doctrine « Cloud au Centre » de l'État (octobre 2021, mise à jour 2023) impose SecNumCloud pour les SI sensibles de l'administration.

## Comment ce critère est attribué dans le comparateur

- **✓ Qualifié** : présence dans la liste officielle SecNumCloud publiée par l'ANSSI sur cyber.gouv.fr, avec date de qualification active.
- **◔ En cours** : l'acteur communique publiquement (CP, page conformité) sur une démarche de qualification en cours auprès de l'ANSSI.
- **? Non documenté** : ni présent dans la liste, ni démarche annoncée publiquement.

L'ANSSI maintient la liste de référence — c'est la **seule source faisant foi**. Les communications marketing « SecNumCloud-compatible » ou « SecNumCloud-ready » n'ont aucune valeur tant qu'elles ne sont pas confirmées par l'inscription au catalogue officiel.

## Pour quel profil c'est critique

| Profil | Niveau d'exigence |
|---|---|
| Administration publique (SI sensibles) | **Critique** — doctrine Cloud au Centre, exigé pour appels d'offres État |
| Données de santé sensibles (psychiatriques, génétiques, biobanques) | **Critique** — protection contre extraterritorialité |
| Recherche clinique avec données nominatives non pseudonymisées | **Critique** — exigence CPP / promoteurs |
| Hôpital / EHPAD courant | **Important mais pas critique** — HDS suffit dans la plupart des cas |
| Éditeur SaaS santé | **Différenciant** — argument commercial fort vis-à-vis des clients sensibles |

## Comment un hébergeur peut se conformer

SecNumCloud est un investissement lourd, mesuré en années :

- **An 1** : analyse d'écart vs référentiel 3.2 (gap analysis), plan de remédiation, choix de l'évaluateur.
- **An 1-2** : remédiation technique et organisationnelle (souvent 200-500 jours-homme), refonte éventuelle de l'architecture multi-tenant.
- **An 2** : audit initial par l'évaluateur qualifié. Délais ANSSI 4-8 mois entre dépôt et qualification effective.
- **An 3+** : surveillance, audits intermédiaires.

Coût indicatif : **300 000 € à plusieurs millions d'euros** selon la taille de l'infrastructure et la maturité de départ.

Référence : [doctrine Cloud au Centre](https://www.numerique.gouv.fr/services/cloud/cloud-commercial/), [référentiel SecNumCloud 3.2](https://cyber.gouv.fr/sites/default/files/document/secnumcloud-referentiel-exigences-v3.2.pdf).

## Plus-value vs coût

Pour un fournisseur cloud, c'est un investissement long mais qui débloque un marché : l'État + tout un segment de SI sensibles dont les acheteurs ne peuvent juridiquement signer que SecNumCloud.

Pour un client, SecNumCloud répond à une question précise : « les données peuvent-elles être réquisitionnées par les autorités US ? ». Si la réponse doit être « non » avec certitude (santé sensible, défense, finances stratégiques), SecNumCloud est aujourd'hui le seul standard reconnu en France.

## FAQ

**Quelle différence entre SecNumCloud et HDS ?**
HDS est sectoriel (données de santé en France). SecNumCloud est transverse (tous secteurs où la souveraineté importe). Un acteur peut être HDS sans SecNumCloud (la majorité). Un acteur SecNumCloud n'est pas automatiquement HDS — il doit en plus passer la certification ANS.

**Et EUCS au niveau européen ?**
EUCS (European Cybersecurity Certification Scheme for Cloud Services) est en cours de finalisation par l'ENISA. Lorsqu'il sera publié, son niveau « high » devrait être très proche de SecNumCloud. Pour l'instant, SecNumCloud reste la référence française.

**Pourquoi si peu d'acteurs sont qualifiés ?**
Le référentiel est exigeant ET inclut l'exigence juridique d'absence d'extraterritorialité. Cela exclut de facto tous les hyperscalers américains (AWS, Azure, Google) et leurs joint-ventures « européanisées » tant que la maison-mère reste sous juridiction US.

**Un acteur « SecNumCloud en cours » est-il un signal positif ?**
Oui, mais à pondérer. Une démarche annoncée publiquement avec un évaluateur cité est un signal d'engagement. Une mention « SecNumCloud ready » sans précision sur l'évaluateur, la date cible, ni le périmètre est marketing.

## Glossaire

- **Cloud au Centre** : doctrine de l'État français (octobre 2021) imposant SecNumCloud pour les SI sensibles de l'administration.
- **CLOUD Act** : loi US (Public Law 115-141, 2018) permettant aux autorités américaines de réquisitionner des données détenues par des entreprises sous juridiction US.
- **FISA 702** : section 702 du Foreign Intelligence Surveillance Act US, autorisant la collecte de données de non-Américains hors US.
- **EUCS** : schéma européen de certification cloud en cours de finalisation par l'ENISA.

## Hébergeurs satisfaisant ce critère

### ✓ Vérifié sur source publique (9)

- [CEGEDIM SANTE](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/cegedim-sante/)
- [CEGEDIM.CLOUD](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/cegedim-cloud/)
- [CLOUD TEMPLE](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/cloud-temple/)
- [OODRIVE SAS](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/oodrive-sas/)
- [OUTSCALE](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/outscale/)
- [OVH](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/ovh/)
- [THALES](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/thales/)
- [THALES CLOUD SECURISE](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/thales-cloud-securise/)
- [WORLDLINE](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/worldline/)

### ◐ Démarche en cours (10)

- [ADISTA](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/adista/)
- [ECRITEL](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/ecritel/)
- [ENOVACOM DIGITAL SERVICES FRANCE BUSINESS LINE D’ORANGE BUSINESS](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/enovacom-digital-services-france-business-line-d-orange-business/)
- [FREE PRO](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/free-pro/)
- [ITS INTEGRA](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/its-integra/)
- [NUMSPOT](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/numspot/)
- [ORANGE BUSINESS & DECISION INTERACTIVE EOLAS](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/orange-business-decision-interactive-eolas/)
- [PROLIVAL](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/prolival/)
- [SCALEWAY](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/scaleway/)
- [SCALINGO](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/scalingo/)

## Méthodologie et limites

- ✓ **Vérifié** = source publique citée (registre officiel, verbatim site acteur).
- ◆ **Revendiqué** = mention déclarative non vérifiée indépendamment.
- ◐ **En cours** = démarche datée publiquement.
- — **Non documenté** = information non trouvée. **N'implique pas l'absence du service**.
- Méthodologie complète : <https://www.hebergeurs-de-donnees-de-sante.fr/verification/>
- Équité Guardis vs concurrents : <https://www.hebergeurs-de-donnees-de-sante.fr/equite-methodologique/>

---

_Comparateur édité par Hasgard SARL. Publication éditoriale indépendante. Licence CC BY-SA 4.0._
_Variante Markdown brut : ajoutez `.md` à l'URL de n'importe quelle page._