Publicité en cours de chargement...
La directive NIS, volet juridique, partie II
Les établissements disposent en moyenne d’un délai compris entre un et trois ans pour instituer les 22 règles édictées et annexées à l’arrêté du 14 septembre 2018.
Sur la quasi-impossibilité technique de les mettre en œuvre dans le délai imparti, le lecteur sera rassuré (ou non) de savoir que chacun est logé à la même enseigne, et pas uniquement les établissements de santé.
Avant d’appliquer ces règles, encore faut-il les comprendre. Cédric Cartau considère à cet égard qu’une « bonne partie des mesures techniques précisées sont tout simplement impossibles à interpréter, sans parler de leur application ».
C’est le sens de la jurisprudence du Conseil constitutionnel qui a considéré à plusieurs reprises que l’objectif de valeur constitutionnelle d’accessibilité et d’intelligibilité de la loi devait guider l’action du législateur, outre le fait que cet objectif représente un des éléments de l’exigence de sécurité juridique.
Des esprits joueurs pourraient choisir de contester cet arrêté devant le Conseil d’État, notamment au motif que ce texte n’est pas compréhensible par ses destinataires, en invoquant la violation de cet objectif. C’est une piste de réflexion.
Dans un tout autre esprit, la DSSIS pourrait produire une note clarifiant les expressions nébuleuses telles que « pourcentage des ressources administrées dont l’administration est réalisée à partir d’un compte non spécifique d’administration », etc.
Cette démarche serait sans doute plus constructive qu’une contestation contentieuse.
Alors, qui est OSE ? Pour répondre aux questions de mon éminent coauteur, il convient d’examiner la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016, laquelle définit l’OSE en son article 4. 4. dans les termes suivants : « une entité publique ou privée dont le type figure à l’annexe II et qui répond aux critères énoncés à l’article 5, paragraphe 2 ».
Et que dit l’annexe II ? Elle distingue successivement les OSE par secteur, sous-secteur et type d’entités.
La messe est dite.
Tous les établissements sont concernés, c’est-à-dire « toute personne physique ou morale ou toute autre entité qui dispense légalement des soins de santé sur le territoire d’un État membre ». C’est la première condition.
Et que dit l’article 5. 2. ? Il prévoit trois sous-conditions cumulatives, dans les termes suivants :
« Les critères d’identification des opérateurs de services essentiels visés à l’article 4, point 4, sont les suivants :
a) une entité fournit un service qui est essentiel au maintien d’activités sociétales et/ou économiques critiques ;
b) la fourniture de ce service est tributaire des réseaux et des systèmes d’information ; et
a) un incident aurait un effet disruptif important sur la fourniture dudit service. »
C’est la seconde condition.
« Quelle sera la marge d’appréciation de la directive ? », nous demande Cédric Cartau. Le texte est-il incitatif ou coercitif ?
L’article 21 de la directive ne laisse guère de place au doute. Il dispose que « les États membres fixent des règles relatives aux sanctions applicables en cas d’infraction aux dispositions nationales adoptées en vertu de la présente directive et prennent toutes les mesures nécessaires pour que ces règles soient appliquées. Les sanctions prévues sont effectives, proportionnées et dissuasives. Les États membres notifient ces règles et ces mesures à la Commission au plus tard le 9 mai 2018 et lui notifient sans retard toute modification ultérieure les concernant ».
Or, la France n’a pas joué le jeu dès lors que, dans la loi de transposition, elle n’a prévu de sanctions (pénales) qu’en ce qui concerne le service public réglementé de la radionavigation par satellite ! Autrement dit, le législateur s’est permis de choisir, parmi les dispositions de la directive, celles qui l’intéressaient.
Quant au décret d’application, il n’évoque aucune sanction.
En conclusion, le dispositif se résume à des ordres dépourvus de sanctions. L’avenir nous dira si ces obligations font au moins l’objet d’un accompagnement financier et d’un effort d’explication de la part des pouvoirs publics.
L’adhésion des RSSI est à ce prix.
Me Omar Yahia
[1] Directive 2011/24/UE du Parlement européen et du Conseil du 9 mars 2011 relative à l’application des droits des patients en matière de soins de santé transfrontaliers.
Avez-vous apprécié ce contenu ?
A lire également.
Une feuille de route IA pour la CNSA
08 sept. 2025 - 22:14,
Actualité
- Damien Dubois, DSIHLe 1er septembre, la CNSA a annoncé la publication de sa feuille de route stratégique centrée sur l’intelligence artificielle au service de la branche Autonomie.
CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA
08 sept. 2025 - 11:50,
Tribune
-Le mois de juillet 2025 a marqué le lancement de CaRE D2, avec pour objectif de renforcer la stratégie de continuité et de reprise d'activité des établissements de santé, aussi bien sur le plan métier que sur le plan informatique. Au cœur du dispositif : le Plan de Continuité et de Reprise d'Activit...
Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025
05 sept. 2025 - 11:39,
Actualité
- DSIHDepuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...
IA et santé : la FHF publie un livre blanc stratégique pour structurer l’innovation
05 sept. 2025 - 11:15,
Actualité
- DSIHLe 3 septembre 2025, la Fédération Hospitalière de France (FHF) a dévoilé son livre blanc « L’IA en santé : qui est le maître ? – Ambitions et perspectives ». Ce document analyse les usages actuels de l’intelligence artificielle dans les établissements publics et propose une feuille de route pour un...
