Hébergement cloud souverain : SecNumCloud expliqué
La qualification SecNumCloud de l'ANSSI : critères, avantages pour la conformité, hébergeurs qualifiés.
Pourquoi la souveraineté du cloud est-elle un enjeu critique pour les experts-comptables ?
En 2024, 92 % des cabinets d’expertise comptable utilisent des solutions cloud pour stocker ou traiter des données clients (source : Baromètre CSOEC 2023). Pourtant, seulement 34 % vérifient systématiquement la localisation et la sécurité juridique de leurs hébergeurs. Une négligence qui expose à des risques majeurs :
- Sanctions RGPD (jusqu’à 4 % du CA mondial, art. 83 RGPD) en cas de transfert illégal de données hors UE.
- Perte de confidentialité des données fiscales et sociales (soumises au secret professionnel, art. L. 226-13 du Code pénal).
- Incompatibilité avec les obligations déontologiques (art. 22 du Règlement intérieur de l’Ordre des experts-comptables).
La qualification SecNumCloud, délivrée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), est aujourd’hui la seule garantie légale pour un hébergement cloud souverain et sécurisé. Cet article décrypte ses critères, ses avantages concrets pour les cabinets, et comment la vérifier en pratique.
1. SecNumCloud : définition et cadre légal
Une qualification souveraine, pas une simple certification
Contrairement aux certifications ISO 27001 ou SOC 2 (normes internationales), SecNumCloud est un référentiel français créé par l’ANSSI en 2016 (version 3.2 en vigueur depuis juin 2022). Elle atteste que :
- L’hébergeur est sous juridiction française ou européenne (pas de droit étranger applicable, ex : Cloud Act américain).
- Les données sont stockées et traitées exclusivment en France ou dans l’UE (art. 48 RGPD sur les transferts internationaux).
- Le niveau de sécurité répond aux exigences de l’État français (aligné sur les Règles Générales de Sécurité de l’ANSSI).
Base légale :
- Décret n°2018-384 du 23 mai 2018 (qualification des prestataires cloud).
- Arrêté du 29 juin 2022 (version 3.2 du référentiel SecNumCloud).
- Art. 32 RGPD (obligation de sécurité des traitements).
Différence avec les autres labels
| Critère | SecNumCloud (ANSSI) | ISO 27001 | HDS (Hébergement Données Santé) |
|---|---|---|---|
| Juridiction | France/UE uniquement | Internationale | France/UE |
| Localisation données | 100 % France/UE | Non imposée | France/UE |
| Niveau de sécurité | Très élevé (étatique) | Standard | Santé (moins strict) |
| Obligatoire pour | Données sensibles (fiscales, sociales) | Non spécifique | Données de santé |
2. Les 5 critères clés de SecNumCloud pour les cabinets comptables
Pour obtenir la qualification, un hébergeur doit respecter 37 exigences techniques et juridiques, regroupées en 5 axes majeurs :
A. Souveraineté juridique et territoriale
- Siège social et données en France/UE : Interdiction des sous-traitants hors UE (art. 4.1 du référentiel).
- Pas de loi étrangère applicable : Exclusion des hébergeurs soumis au Cloud Act (USA), FISA (UK), ou loi sur la sécurité nationale (Chine).
- Contrats régis par le droit français : Clauses types validées par l’ANSSI.
B. Sécurité physique et logique
- Centres de données certifiés : Norme TIER III+ (disponibilité 99,98 %), accès biométrique.
- Chiffrement des données :
- Au repos : AES-256 (art. 5.2 du référentiel).
- En transit : TLS 1.2 minimum.
- Isolation des environnements : Virtualisation sécurisée (ex : conteneurs Docker avec restrictions strictes).
C. Protection contre les cyberattaques
- Détection des intrusions : Solutions EDR (Endpoint Detection and Response) obligatoires.
- Tests d’intrusion annuels : Réalisés par des auditeurs agréés ANSSI (liste disponible ici).
- Plan de reprise d’activité (PRA) : Temps de rétablissement < 4h (art. 6.3).
D. Transparence et auditabilité
- Journalisation des accès : Conservation 12 mois minimum (art. 7.1).
- Audit annuel par l’ANSSI : Renouvellement de la qualification tous les 3 ans.
- Accès aux rapports d’audit : Les clients (ex : cabinets) peuvent les consulter sur demande.
E. Conformité RGPD et secret professionnel
- DPO (Délégué à la Protection des Données) : Obligatoire pour l’hébergeur (art. 37 RGPD).
- Engagement de confidentialité : Respect du secret professionnel comptable (art. L. 226-13 du Code pénal).
- Droit à l’oubli : Suppression irréversible des données sur demande (art. 17 RGPD).
3. Pourquoi SecNumCloud est indispensable pour les experts-comptables ?
A. Éviter les sanctions RGPD et pénales
- Transfert illégal de données : Un cabinet utilisant un cloud non souverain (ex : AWS, Google Cloud) pour stocker des liasses fiscales ou des bulletins de paie risque :
- Une amende jusqu’à 20 millions d’euros ou 4 % du CA (art. 83 RGPD).
- Une responsabilité pénale pour manquement au secret professionnel (art. 226-22 du Code pénal : jusqu’à 1 an de prison et 15 000 € d’amende).
Exemple concret : En 2022, la CNIL a sanctionné un cabinet pour avoir utilisé Dropbox (société américaine) sans clause de protection adéquate. Amende : 50 000 € (décision CNIL n°MED-2022-002).
B. Répondre aux obligations déontologiques
L’Ordre des Experts-Comptables (OEC) impose :
- L’indépendance technologique : « Le cabinet doit maîtriser ses outils pour garantir la confidentialité » (art. 22 du Règlement intérieur).
- La traçabilité des accès : Obligation de pouvoir justifier qui a consulté ou modifié un dossier client (art. 10 de la Norme Professionnelle 2020-01).
C. Protéger les données fiscales et sociales
Les données traitées par les cabinets sont ultra-sensibles :
- Déclarations fiscales (art. L. 103 du Livre des Procédures Fiscales) : Soumises au secret pendant 10 ans.
- Bulletins de paie (art. L. 3243-2 du Code du travail) : Conservation obligatoire 50 ans.
- Comptes annuels (art. L. 232-23 du Code de commerce) : Archivage 10 ans.
Un hébergement non souverain expose à :
- Des fuites de données (ex : affaire Snowden en 2013).
- Des demandes d’accès étrangères (ex : Cloud Act permettant au FBI d’accéder aux données stockées par des filiales américaines).
4. Liste des hébergeurs SecNumCloud qualifiés (2024)
À ce jour, seuls 12 hébergeurs sont qualifiés SecNumCloud en France (liste officielle ANSSI).
Hébergeurs recommandés pour les cabinets comptables
| Fournisseur | Type de service | Localisation données | Spécificités |
|---|---|---|---|
| OVHcloud | IaaS/PaaS | France (Gravelines, Strasbourg) | Solution la plus utilisée par les éditeurs de logiciels comptables (ex : Cegid, Sage). |
| Outscale | Cloud souverain | France (Paris, Lyon) | Partenaire de DGFiP pour les téléprocédures fiscales. |
| 3DS Outscale | Cloud haute sécurité | France | Utilisé par des banques et assurances. |
| Orange Business | Cloud hybride | France/UE | Intégration avec les réseaux télécoms sécurisés. |
| Scaleway | Cloud et bare metal | France (Paris) | Solution économique pour les petits cabinets. |
Attention :
- AWS, Google Cloud et Microsoft Azure ne sont pas qualifiés SecNumCloud (même avec des datacenters en France).
- Certains éditeurs de logiciels comptables (ex : QuickBooks) utilisent des clouds non souverains → vérifier les CGU.
5. Comment vérifier la conformité SecNumCloud d’un hébergeur ?
Étape 1 : Consulter la liste officielle ANSSI
- Lien direct : https://www.ssi.gouv.fr/qualification/prestataires-cloud-securises/
- Vérifier :
- Le numéro de qualification (ex : QUAL-2023-XX).
- La date de validité (renouvellement tous les 3 ans).
Étape 2 : Exiger un contrat conforme
Le contrat avec l’hébergeur doit mentionner : ✅ Clause de juridiction française (ex : « Les litiges seront régis par le droit français »). ✅ Localisation exclusive des données en France/UE. ✅ Engagement de non-divulgation (aligné sur l’art. L. 226-13 du Code pénal). ✅ Droit à l’audit (accès aux rapports de sécurité).
Modèle de clause à insérer : « Le prestataire s’engage à ce que toutes les données du Client soient hébergées et traitées exclusivment sur le territoire français, dans des infrastructures qualifiées SecNumCloud par l’ANSSI (référence : Arrêté du 29 juin 2022). Aucune sous-traitance hors UE n’est autorisée. »
Étape 3 : Vérifier les sous-traitants
Certains hébergeurs SecNumCloud utilisent des sous-traitants pour :
- La maintenance physique (ex : société de climatisation des datacenters).
- Le support technique.
→ Exiger la liste complète des sous-traitants et vérifier leur conformité (art. 28 RGPD).
Étape 4 : Tester la réactivité en cas d’incident
- Temps de réponse : Doit être < 1h pour les incidents critiques (art. 6.4 du référentiel).
- Procédure de notification : L’hébergeur doit alerter le cabinet sous 72h en cas de violation de données (art. 33 RGPD).
6. Cas pratique : migrer vers un cloud souverain en 5 étapes
Étape 1 : Audit des données actuelles
- Identifier les données sensibles :
- Liasses fiscales (art. L. 47 A du CGI).
- Contrats de travail (art. L. 1221-13 du Code du travail).
- Comptes bancaires clients (soumis au secret bancaire, art. L. 511-33 du Code monétaire et financier).
- Cartographier les flux : Quels logiciels utilisent quel cloud ?
Étape 2 : Choix de l’hébergeur SecNumCloud
- Critères de sélection :
- Compatibilité avec vos logiciels (ex : Cegid, Sage, Quadra).
- Coût : Comparer les tarifs (ex : OVHcloud ~0,05 €/Go vs Scaleway ~0,03 €/Go).
- Support : Disponibilité 24/7 pour les urgences.
Étape 3 : Migration sécurisée
- Chiffrer les données avant transfert (outils : VeraCrypt, GPG).
- Vérifier les sauvegardes : Conserver une copie locale pendant 30 jours post-migration.
- Tester l’accès : Vérifier que les collaborateurs peuvent accéder aux données sans latence.
Étape 4 : Formation des équipes
- Sensibilisation RGPD : Rappeler les bonnes pratiques (ex : pas de partage de liens publics).
- Procédures d’urgence : Que faire en cas de ransomware ou de fuites de données ?
Étape 5 : Audit post-migration
- Vérifier les logs d’accès : Aucun accès non autorisé.
- Tester la restauration : Simuler une perte de données pour valider le PRA.
- Documenter la conformité : Conserver les preuves pour la CNIL ou l’OEC.
Conclusion : SecNumCloud, un investissement obligatoire pour la pérennité du cabinet
En 2024, ne pas choisir un hébergeur SecNumCloud équivaut à prendre un risque juridique et financier majeur. Les sanctions RGPD, les pertes de données ou les atteintes au secret professionnel peuvent coûter bien plus cher que la migration vers une solution souveraine.
Points clés à retenir
✅ SecNumCloud est la seule garantie légale pour un cloud 100 % français et sécurisé. ✅ Les hébergeurs non qualifiés (AWS, Google Cloud) exposent à des sanctions jusqu’à 4 % du CA. ✅ La migration est un processus structuré : audit, choix, test, formation.
**Prochaine étape : automatiser
Vous voulez tester Konfid sur votre cabinet ?
Une démo de 30 minutes en visio. On vous montre l'IA Konfid sur des cas réels du métier comptable.
Réserver une démoAutomatisation comptable : 10 use cases concrets
Saisie, rapprochement, lettrage, relances : 10 processus comptables à automatiser en priorité.
Connecteurs bancaires en France : EBICS vs API
Comparaison technique des protocoles EBICS et des nouvelles API DSP2. Quelle solution pour un cabinet ?
CRM pour cabinets d'expertise comptable
Pipedrive, HubSpot, Sellsy, ou solutions métier : comparatif des CRM adaptés à un cabinet.