loi sren alain garnier jamespot

Loi SREN : la donnée “sensible” ne se lit plus dans son contenu, mais dans ce qu’elle peut casser

Bastien L. 24 février 2026 5 minutes de lecture Interviews

Pendant des années, les organisations ont classé les données comme on classe des dossiers: RGPD ou pas RGPD. Le texte d’application de la loi SREN pousse à changer de test: désormais, la vraie question devient “qu’est-ce qui arrive si ça tombe, si c’est manipulé, si c’est indisponible ?”. Alain Garnier, CEO et cofondateur de Jamespot, décrypte ce basculement qui oblige à revoir architectures, dépendances et résilience.

Pendant longtemps, la “donnée sensible” avait une odeur juridique. On cherchait la bonne case, la bonne définition, le bon périmètre. Avec la loi SREN, et surtout la doctrine qui l’accompagne, la sensibilité se lit autrement: non plus uniquement dans la nature de l’information, mais dans l’impact d’un incident.

Jusqu’à présent, on raisonnait principalement en fonction de la nature intrinsèque de la donnée: est-elle sensible au sens du RGPD ou non ? Avec SREN, on bascule vers une logique d’impact”, résume Alain Garnier. 

La question devient: que se passe-t-il si cette donnée ou ce système est compromis, indisponible ou manipulé ? On ne parle plus seulement de protection des personnes, mais de continuité de mission, avec en arrière-plan la continuité de l’État.

Ce glissement paraît subtil, mais il change la conversation dans les organisations. La DSI ne se contente plus de porter une contrainte de conformité: elle se retrouve au cœur d’un raisonnement stratégique. Et elle n’est plus seule. DPO, RSSI, achats, risk management: tout le monde doit parler la même langue, celle des scénarios et des conséquences.

Tester la sensibilité: raisonner comme en cybersécurité

Comment “mesurer” une sensibilité par l’impact ? En s’obligeant à répondre à des questions simples, parfois désagréables. Si le système tombe, l’activité s’arrête-t-elle ? Si la donnée est altérée, prend-on de mauvaises décisions ? Y a-t-il un risque pour des tiers ? Une mission essentielle est-elle compromise ?

Pour Alain Garnier, on se rapproche d’une logique de cybersécurité, comparable à des analyses d’impact menées dans des cadres comme ISO 27001. 

Mais il n’existe pas aujourd’hui de méthode universelle “prête à l’emploi” fournie par cette doctrine: chaque organisation doit structurer sa propre approche, en fonction de ses priorités opérationnelles et de ses obligations.

Dit autrement: ce n’est pas un tampon “sensible” qu’on colle sur un fichier. C’est une lecture du SI au prisme du réel, avec ses dépendances et ses points de rupture.

YouTube video

L’effet domino: la sensibilité se propage par les briques transverses

Là où l’approche par nature pouvait donner l’illusion qu’il suffisait de protéger “les bons dossiers”, l’approche par impact révèle un phénomène bien connu des RSSI: le maillon faible décide pour tout le monde.

Un système sensible ne peut pas reposer sur une brique moins protégée. Le niveau de sécurité global est déterminé par le maillon le plus faible”, rappelle Alain Garnier.

L’effet domino se vérifie particulièrement sur les briques transverses: IAM, messagerie, annuaires, ERP, sauvegardes. Ce sont elles qui tiennent les clés et les tuyaux. Si l’une cède, la sensibilité “remonte” et se propage.

Sur le papier, on peut segmenter strictement les environnements entre données sensibles et non sensibles. Dans la pratique, les données sont souvent mêlées dans les mêmes applications. 

Séparer implique des architectures plus complexes, des identifiants croisés, des mécanismes supplémentaires. C’est faisable, mais cela suppose une vraie volonté d’architecture, donc des arbitrages assumés.

Cloud et SaaS: le débat change de terrain

Autre conséquence: l’opposition caricaturale “cloud vs souveraineté” devient moins pertinente. Le sujet n’est pas idéologique, il est opérationnel.

Le vade-mecum ne signifie pas l’exclusion du cloud ou du SaaS. La question n’est pas idéologique, elle est opérationnelle: où sont les données, sous quel droit, avec quels accès et quelles dépendances ?

Et surtout, au-delà de la localisation, certains critères deviennent déterminants: la réversibilité effective (et pas théorique), la maîtrise des sous-traitants, la gestion des clés de chiffrement, la séparation des rôles d’administration, la politique de mises à jour, la capacité de support en situation de crise. 

On retrouve les fondamentaux de la cybersécurité, mais avec une exigence supplémentaire: la maîtrise stratégique dans la durée.

La souveraineté n’est pas une posture, c’est une capacité à garder le contrôle dans la durée”, tranche Alain Garnier.

Résilience: qui fixe le niveau d’exigence ?

La question centrale devient celle de la continuité de fonctionnement: peut-on continuer à opérer si le système tombe ? Et la réponse n’est pas la même partout.

Pour des systèmes hospitaliers, on attend une disponibilité quasi permanente et une redondance forte. Pour d’autres services, une interruption limitée peut être acceptable.” Cela suppose de définir clairement les modes dégradés, les PRA/PCA, les objectifs de reprise, et parfois des capacités offline.

Point important: la responsabilité de fixer ces niveaux appartient à la direction et aux métiers, car ce sont eux qui portent la mission. La DSI met ensuite en œuvre les solutions techniques correspondant au niveau d’exigence. En clair: ce n’est plus “l’IT qui porte le risque”, c’est l’organisation qui le formule, puis l’IT qui l’implémente.

Cloisonner sans se ruiner: le pragmatisme de l’architecture

Pour limiter la contagion, Alain Garnier cite des choix architecturaux classiques mais souvent repoussés: segmentation, isolation des environnements, séparation des plans d’administration, moindre privilège, éventuellement plusieurs fournisseurs pour limiter les dépendances.

Et il casse une idée reçue: ces mesures n’impliquent pas nécessairement une explosion des coûts. Une architecture simple, pensée dès l’origine avec des principes de cloisonnement, peut être économiquement soutenable. À l’inverse, la complexité non maîtrisée coûte souvent plus cher que la séparation bien conçue.

La PI et la recherche: la sensibilité sort du RGPD

YouTube video

Dernier point, très politique: l’intégration explicite de la propriété intellectuelle et de la recherche dans le périmètre des actifs sensibles. On ne parle plus seulement de données personnelles, mais d’actifs stratégiques: résultats de R&D, algorithmes, savoir-faire, modèles.

Cela renvoie à des logiques d’intelligence économique. Dans les contrats et la gouvernance, il faut surveiller les clauses de propriété, d’usage, de réversibilité, les droits d’audit, la traçabilité des accès, la localisation et le contrôle des sous-traitants.

Dans les appels d’offres publics, Alain Garnier pointe un risque simple: sous-estimer la dimension stratégique de ces actifs. Protéger la recherche et l’innovation n’est pas qu’une posture défensive. C’est un enjeu de puissance économique.

Ce que ça change, en une phrase

La loi SREN, via cette doctrine, remplace une question confortable (“quelle est la nature de cette donnée ?”) par une question qui oblige à regarder le SI en face: qu’est-ce que cette donnée, ou ce système, peut faire dérailler si ça casse ?

Restez à la pointe de l'information avec LEBIGDATA.FR !

▶ Abonnez-vous à notre chaîne YouTube et Ajoutez-nous à vos favoris sur Google Actualités
Cliquez pour commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

  Copyright © 2026 Groupe Publithings. Tous droits réservés.

Newsletter

La newsletter IA du futur

Rejoins nos 100 000 passionnés et experts et reçois en avant-première les dernières tendances de l’intelligence artificielle🔥