La directive NIS, volet juridique, partie 1

Prenons un instant un peu de hauteur de vue pour comprendre l’agencement des multiples textes évoqués par Cédric Cartau ici. Le président de la Commission européenne, M. Jean-Claude Juncker, a œuvré à ce qui a été appelé le « printemps européen des données », à travers trois dates très importantes :

• le 27 avril 2016 (règlement général sur la protection des données) ;
• le 8 juin 2016 (directive UE 2016/943 sur le secret des affaires et les renseignements stratégiques) ;
• le 6 juillet 2016 (directive UE 2016/1148 concernant les mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des SI dans l’UE).

Ces trois dates marquent en quelque sorte l’émergence d’un droit commun de la cybersécurité.

En vigueur depuis le 25 mai 2018, le RGPD adopte une approche transversale de la sécurité des données. La directive UE 2016/1148 impose aux États membres d’adopter une stratégie nationale en matière de sécurité des réseaux et des SI ainsi que la mise en place de centres de réponse aux incidents de sécurité informatique. Elle cherche à favoriser la coopération en la matière et édicte des exigences de sécurité minimales pour les opérateurs de services essentiels (OSE) et maximales concernant les fournisseurs de services numériques.

Le règlement et les deux directives font partie du « paquet numérique » voulu par la commission Juncker afin de créer et d’harmoniser à l’échelle continentale un niveau élevé de sécurité des données et des infrastructures.

Pour la petite histoire, la France s’est dotée d’une stratégie de cybersécurité à la suite des attaques survenues dans les années 2000 affectant les SI présents sur son territoire. C’est à partir de la déclinaison de la loi n° 2005-1550 du 12 décembre 2005 et du décret n° 2006-212 du 23 février 2006 que naquit l’idée consistant non plus à identifier des établissements/installations, mais à cibler des secteurs (et des sous-secteurs) d’activité d’importance vitale et à désigner, au sein de ces secteurs, les OIV.

Pour des non-juristes, le mécanisme des textes reste assez simple à comprendre : la directive est transposée par une loi, laquelle renvoie à un ou à plusieurs décrets d’application, lesquels renvoient eux-mêmes à des arrêtés. Et comme si cela ne suffisait pas, on voit fleurir la littérature ministérielle censée expliciter les textes précédents (circulaires, instructions, lettres, recommandations, etc.). Le schéma d’ensemble ressemble à une pyramide symbolisant la hiérarchie des normes.

En l’espèce, la directive UE 2016/1148 du 6 juillet 2016 a été transposée par la loi n° 2018-133 du 26 février 2018, laquelle a renvoyé au décret n° 2018-384 du 23 mai 2018 le soin de fixer la liste des services essentiels et les modalités de désignation des OSE, sans oublier les fournisseurs de services numériques. À son tour, le décret a renvoyé :

• à l’arrêté du 13 juin 2018 le soin de fixer les modalités des déclarations des réseaux, des SI et des incidents de sécurité ;
• à l’arrêté du 1^er août 2018 la détermination du coût journalier d’un contrôle mobilisant un agent public de l’Anssi (1 200 euros) ;
• à l’arrêté du 14 septembre 2018 la fixation des règles de sécurité (annexe I) que les OSE sont tenus d’appliquer aux réseaux et aux SI nécessaires à la fourniture de leurs services essentiels, et la fixation des délais (annexe II) dans lesquels les OSE appliquent ces règles de sécurité.

Il est difficile de résumer en quelques lignes l’ensemble du dispositif de sécurité dessiné par l’apport successif des textes votés depuis 2016.

Disons que désormais la loi du 26 janvier 2016 fait obligation :

• aux établissements de signaler sans délai à l’ARS les incidents graves de sécurité des SI, selon les modalités fixées par le décret n° 2016-1214 du 12 septembre 2016 ;une instruction de la DSSIS du 14 octobre 2016 est venue couronner le tout en énonçant le « Plan d’action SSI » ;
• aux établissements supports de GHT de mettre en œuvre, dans le cadre de la gestion du SI, les mesures techniques de nature à assurer le respect des obligations prévues par la loi Informatique et Libertés (notamment son article 34 relatif à la préservation de la sécurité des données et à la prévention de leur détérioration ou de leur accès par des tiers non autorisés).

Quant à l’hébergement des données de santé, il n’est pas en reste puisqu’il suppose l’utilisation de SI conformes aux référentiels d’interopérabilité et de sécurité élaborés par l’Asip Santé.

Comme l’indique Cédric Cartau, la directive NIS et le RGPD sont complémentaires, mais ne se recouvrent pas ou peu. J’y ajouterai des textes qui ne sont issus ni de l’un ni de l’autre, à savoir la loi du 26 janvier 2016 – qui parachève le travail amorcé par la loi HPST (21 juillet 2009) et poursuivi par la loi Fourcade (10 août 2011) – de même que la loi Informatique et Libertés, version 3, qui (de façon totalement inédite et baroque) transpose un règlement qui n’avait pas besoin de l’être puisqu’il est d’application directe.

Le temps de la production réglementaire étant vraisemblablement terminé, c’est maintenant que les vrais problèmes commencent.

Me Omar Yahia
Avocat à la Cour
[email protected]