Publicité en cours de chargement...
La directive NIS, volet juridique, partie II
Les établissements disposent en moyenne d’un délai compris entre un et trois ans pour instituer les 22 règles édictées et annexées à l’arrêté du 14 septembre 2018.
Sur la quasi-impossibilité technique de les mettre en œuvre dans le délai imparti, le lecteur sera rassuré (ou non) de savoir que chacun est logé à la même enseigne, et pas uniquement les établissements de santé.
Avant d’appliquer ces règles, encore faut-il les comprendre. Cédric Cartau considère à cet égard qu’une « bonne partie des mesures techniques précisées sont tout simplement impossibles à interpréter, sans parler de leur application ».
C’est le sens de la jurisprudence du Conseil constitutionnel qui a considéré à plusieurs reprises que l’objectif de valeur constitutionnelle d’accessibilité et d’intelligibilité de la loi devait guider l’action du législateur, outre le fait que cet objectif représente un des éléments de l’exigence de sécurité juridique.
Des esprits joueurs pourraient choisir de contester cet arrêté devant le Conseil d’État, notamment au motif que ce texte n’est pas compréhensible par ses destinataires, en invoquant la violation de cet objectif. C’est une piste de réflexion.
Dans un tout autre esprit, la DSSIS pourrait produire une note clarifiant les expressions nébuleuses telles que « pourcentage des ressources administrées dont l’administration est réalisée à partir d’un compte non spécifique d’administration », etc.
Cette démarche serait sans doute plus constructive qu’une contestation contentieuse.
Alors, qui est OSE ? Pour répondre aux questions de mon éminent coauteur, il convient d’examiner la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016, laquelle définit l’OSE en son article 4. 4. dans les termes suivants : « une entité publique ou privée dont le type figure à l’annexe II et qui répond aux critères énoncés à l’article 5, paragraphe 2 ».
Et que dit l’annexe II ? Elle distingue successivement les OSE par secteur, sous-secteur et type d’entités.
La messe est dite.
Tous les établissements sont concernés, c’est-à-dire « toute personne physique ou morale ou toute autre entité qui dispense légalement des soins de santé sur le territoire d’un État membre ». C’est la première condition.
Et que dit l’article 5. 2. ? Il prévoit trois sous-conditions cumulatives, dans les termes suivants :
« Les critères d’identification des opérateurs de services essentiels visés à l’article 4, point 4, sont les suivants :
a) une entité fournit un service qui est essentiel au maintien d’activités sociétales et/ou économiques critiques ;
b) la fourniture de ce service est tributaire des réseaux et des systèmes d’information ; et
a) un incident aurait un effet disruptif important sur la fourniture dudit service. »
C’est la seconde condition.
« Quelle sera la marge d’appréciation de la directive ? », nous demande Cédric Cartau. Le texte est-il incitatif ou coercitif ?
L’article 21 de la directive ne laisse guère de place au doute. Il dispose que « les États membres fixent des règles relatives aux sanctions applicables en cas d’infraction aux dispositions nationales adoptées en vertu de la présente directive et prennent toutes les mesures nécessaires pour que ces règles soient appliquées. Les sanctions prévues sont effectives, proportionnées et dissuasives. Les États membres notifient ces règles et ces mesures à la Commission au plus tard le 9 mai 2018 et lui notifient sans retard toute modification ultérieure les concernant ».
Or, la France n’a pas joué le jeu dès lors que, dans la loi de transposition, elle n’a prévu de sanctions (pénales) qu’en ce qui concerne le service public réglementé de la radionavigation par satellite ! Autrement dit, le législateur s’est permis de choisir, parmi les dispositions de la directive, celles qui l’intéressaient.
Quant au décret d’application, il n’évoque aucune sanction.
En conclusion, le dispositif se résume à des ordres dépourvus de sanctions. L’avenir nous dira si ces obligations font au moins l’objet d’un accompagnement financier et d’un effort d’explication de la part des pouvoirs publics.
L’adhésion des RSSI est à ce prix.
Me Omar Yahia
[1] Directive 2011/24/UE du Parlement européen et du Conseil du 9 mars 2011 relative à l’application des droits des patients en matière de soins de santé transfrontaliers.
Avez-vous apprécié ce contenu ?
A lire également.
Vu à SantExpo 2025 : le CHU d’Amiens obtient l’accord officiel des archives départementales pour son Système d’Archivage Electronique avec la solution HYDMedia de Dedalus
26 mai 2025 - 15:41,
Actualité
- Pauline Nicolas, DSIHLors d’une session au sein de l’auditorium Dedalus, Jacques Delamarre, Responsable Parcours Patient au CHU d’Amiens a témoigné de la genèse qui a conduit à l’adoption de la solution SAE HYDMedia de Dedalus dans son établissement et des principaux apports de cette solution. Un SAE doit intégrer un l...
Vu à SantExpo 2025 | Pour une sortie d’hospitalisation coordonnée et sécurisée : la promesse de Careside, la plateforme d'orchestration des parcours de santé
22 mai 2025 - 18:09,
Actualité
- Pauline Nicolas, DSIHPlateforme d’orchestration de services humains et digitaux pour les parcours de santé, Careside démontre sa capacité à répondre à un enjeu crucial pour les établissements de santé : la sécurisation des sorties d’hospitalisation. Autre point fort à relever dans cette agora, Careside s’inscrit dans la...
Les avantages de lier les rétrocessions au Dossier Pharmaceutique
22 mai 2025 - 10:30,
Communiqué
- Computer EngineeringEn développant un lien direct entre son logiciel Rétro et le Dossier Pharmaceutique du patient, l’éditeur Computer Engineering améliore la sécurisation de la dispensation des médicaments rétrocédés. Et les équipes hospitalières gagnent du temps…
Vu à SantExpo 2025 | De l’international à la France : comment la donnée peut réinventer les systèmes d’information de santé – la vision de La Poste Santé & Autonomie et de ses partenaires
21 mai 2025 - 22:50,
Actualité
- Pauline Nicolas, DSIHDédiée à la transformation du système de santé à travers la data et comment la data peut réinventer le système d’information hospitalier, cette nouvelle agora se présente sous la forme d’un panorama en deux langues car tournée vers l’international. Entre exemple catalan et vision française d’un écos...
