Numérique scolaire : ce que la loi impose vraiment aux collectivités en 2024-2026

Introduction

En 2024, le Conseil d’État a consacré son étude annuelle à la souveraineté. En 2026, le décret d’application de la loi SRENest entré en vigueur. Entre les deux, le cadre réglementaire qui s’applique au numérique scolaire des collectivités a profondément changé sans que les obligations concrètes soient toujours clairement identifiées sur le terrain.

Ce que cherche un élu ou un DSI face à ces textes n’est pas un résumé juridique de plus. C’est une réponse nette à une seule question : qu’est-ce que ça change pour nos écoles, nos collèges, notre parc numérique ?

Cet article répond à cette question en distinguant ce qui relève du signal politique, ce qui constitue une obligation opposable aujourd’hui, et ce qui arrive dans les prochains mois.

Ce que dit le Conseil d’État et ce que ça ne dit pas

L’étude annuelle 2024 du Conseil d’État, délibérée le 4 juillet 2024, traite de la souveraineté dans toutes ses dimensions : industrielle, alimentaire, énergétique, numérique. Elle formule dix propositions pour que la France renforce l’exercice de sa souveraineté dans un monde d’interdépendances croissantes.

Ce texte n’est pas un texte de loi. Il ne crée aucune obligation pour les collectivités. C’est un document de réflexion stratégique produit par la plus haute juridiction administrative du pays ce qui lui confère une autorité politique réelle, sans portée normative directe.

Pourquoi en parler alors ? Parce que c’est précisément ce type de signal institutionnel qui préfigure les évolutions législatives. L’étude identifie la dépendance aux acteurs numériques extra-européens comme un risque souverain majeur. Elle cite explicitement le défi de la protection des données personnelles et l’influence des plateformes étrangères sur les services publics. Pour un élu ou un DSI, ce document sert à une chose concrète : légitimer un arbitrage budgétaire en faveur de solutions souveraines avant que la contrainte réglementaire ne le rende obligatoire.

La logique est celle-ci. Attendre l’obligation légale, c’est subir la migration dans l’urgence. Anticiper le signal institutionnel, c’est piloter la transition.

Ce que la loi SREN impose réellement aux collectivités

La loi SREN du 21 mai 2024 : loi visant à Sécuriser et Réguler l’Espace Numérique est le premier texte à inscrire dans la loi française l’obligation d’hébergement souverain pour les données sensibles des administrations publiques. Son article 31 impose aux services de l’État, à leurs opérateurs et à certains groupements d’intérêt public (GIP) de recourir à des prestataires cloud conformes au référentiel SecNumCloud de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) pour l’hébergement de leurs données sensibles.

Le décret d’application, publié au Journal officiel le 16 avril 2026, rend cette obligation opposable et fixe un délai de 18 mois pour migrer vers des offres conformes pour les organismes utilisant des solutions non conformes.

Deux points doivent être retenus avec précision.

Premier point. Les collectivités territoriales ne sont pas, à ce jour, directement soumises à l’article 31 de la loi SREN. Maire-Info le précise explicitement : bien que les collectivités gèrent quotidiennement des données personnelles état civil, affaires scolaires, données médicales elles ne sont pas concernées par l’obligation SecNumCloud dans le cadre actuel.

Second point. Ce cadre est en cours d’évolution. Une proposition de loi relative à la sécurisation des marchés publics numériques envisage d’étendre ces obligations aux collectivités de plus de 30 000 habitants, ainsi qu’aux SDIS et centres de gestion. Si ce texte est adopté, les DSI des départements, régions et grandes agglomérations entreront dans le périmètre de l’obligation.

La question n’est donc pas « sommes-nous concernés ? ». Elle est « dans combien de temps allons-nous l’être, et sommes-nous prêts ? »

Ce que le RGPD impose dès maintenant sans attendre

Pendant que le débat sur SecNumCloud se poursuit au niveau législatif, une obligation s’applique déjà à toutes les collectivités sans exception : le Règlement général sur la protection des données (RGPD), en vigueur depuis mai 2018.

Toute collectivité qui équipe ses écoles ou ses collèges de terminaux numériques traite des données à caractère personnel : identités des élèves, données de connexion, usages des applications pédagogiques, ENT (Espace numérique de travail). Ces traitements doivent respecter plusieurs principes non négociables.

La collectivité doit être en mesure d’identifier le responsable de traitement pour chaque usage numérique déployé. Elle doit tenir un registre des traitements à jour. Elle doit s’assurer que les prestataires auxquels elle recourt éditeurs d’applications, hébergeurs, fournisseurs de MDM (Mobile Device Management) signent des contrats de sous-traitance conformes au RGPD. Et elle doit être capable de démontrer cette conformité en cas de contrôle de la CNIL (Commission nationale de l’informatique et des libertés).

Un point factuel mérite d’être précisé ici : selon le vademecum publié par l’État en 2026, les notes des élèves ne constituent pas des données sensibles au sens de la loi SREN. Elles n’appellent donc pas d’hébergement SecNumCloud à ce stade. Elles restent néanmoins soumises au RGPD ce qui implique des exigences précises sur leur collecte, leur stockage, leur durée de conservation et les droits des personnes concernées.

Ce que ça change concrètement selon votre profil

Pour un élu

Le cadre réglementaire actuel ne vous impose pas encore de basculer vers un hébergement souverain. Mais il crée une responsabilité politique claire : celle d’avoir anticipé. Lorsqu’un incident de données survient dans un établissement scolaire de votre collectivité fuite de données élèves, cyberattaque sur l’ENT, accès non autorisé la question qui sera posée est simple : aviez-vous pris les précautions raisonnables au regard des signaux disponibles ? L’étude du Conseil d’État, la loi SREN, les mises en demeure de la CNIL dans le secteur éducatif : autant de signaux documentés qui font partie de votre environnement de décision.

Choisir un équipement numérique souverain pour vos établissements n’est pas seulement une question de conformité. C’est une décision de gestion du risque politique et juridique, autant que technique.

Pour un DSI

Votre périmètre est déjà sous tension réglementaire. Le RGPD vous impose une conformité documentée sur l’ensemble des traitements liés à l’équipement scolaire. La directive NIS2, transposée en droit français en octobre 2024, élargit les obligations de cybersécurité et peut concerner votre collectivité selon sa taille et ses missions critiques. Et la proposition d’extension de l’article 31 de la loi SREN est dans le pipeline législatif.

Concrètement, trois actions s’imposent maintenant, sans attendre l’obligation formelle. Auditer les contrats de sous-traitance de vos prestataires numériques pour vérifier la conformité RGPD. Identifier les solutions d’hébergement utilisées pour les données scolaires et évaluer leur exposition aux législations extraterritoriales Cloud Act américain en particulier. Et documenter vos choix d’architecture pour être en mesure de justifier vos arbitrages dans vos marchés publics.

Les échéances à surveiller en 2025-2026

Trois dates structurent la pression réglementaire sur le numérique scolaire des collectivités.

Avril 2026 : Publication du décret d’application de l’article 31 de la loi SREN. Les administrations d’État ont désormais 18 mois pour migrer leurs données sensibles vers des hébergeurs conformes SecNumCloud. Les collectivités ne sont pas encore dans le périmètre, mais le signal est clair sur la direction prise.

En cours : Examen de la proposition de loi relative à la sécurisation des marchés publics numériques. Si adoptée, les collectivités de plus de 30 000 habitants entreront dans le périmètre SecNumCloud. Aucune date certaine, mais le texte avance en commission.

Continu : La CNIL intensifie ses contrôles dans le secteur éducatif, notamment sur l’usage des outils américains dans les classes et les ENT. Le renouvellement du partenariat CNIL – Éducation nationale en décembre 2025 marque une montée en puissance de la surveillance sur ce sujet.

Conclusion

Le cadre réglementaire qui s’applique au numérique scolaire des collectivités évolue vite, avec une direction claire : davantage de responsabilité sur les données, davantage d’exigences sur l’hébergement, davantage de traçabilité dans les choix d’équipement.

Aujourd’hui, le RGPD s’applique sans exception. La loi SREN et SecNumCloud arrivent pour les collectivités. L’étude du Conseil d’État pose le cadre politique dans lequel ces évolutions s’inscrivent.

Anticiper plutôt que subir : c’est la posture que les DSI et les élus les mieux positionnés adoptent dès maintenant, avant que l’obligation formelle ne réduise leur marge de manœuvre.

Pour aller plus loin sur les enjeux de souveraineté numérique éducative et les critères concrets pour choisir un équipement conforme, téléchargez le livre blanc UNOWHY sur la souveraineté numérique à l’école.