Publicité en cours de chargement...
La directive NIS, volet juridique, partie II
Les établissements disposent en moyenne d’un délai compris entre un et trois ans pour instituer les 22 règles édictées et annexées à l’arrêté du 14 septembre 2018.
Sur la quasi-impossibilité technique de les mettre en œuvre dans le délai imparti, le lecteur sera rassuré (ou non) de savoir que chacun est logé à la même enseigne, et pas uniquement les établissements de santé.
Avant d’appliquer ces règles, encore faut-il les comprendre. Cédric Cartau considère à cet égard qu’une « bonne partie des mesures techniques précisées sont tout simplement impossibles à interpréter, sans parler de leur application ».
C’est le sens de la jurisprudence du Conseil constitutionnel qui a considéré à plusieurs reprises que l’objectif de valeur constitutionnelle d’accessibilité et d’intelligibilité de la loi devait guider l’action du législateur, outre le fait que cet objectif représente un des éléments de l’exigence de sécurité juridique.
Des esprits joueurs pourraient choisir de contester cet arrêté devant le Conseil d’État, notamment au motif que ce texte n’est pas compréhensible par ses destinataires, en invoquant la violation de cet objectif. C’est une piste de réflexion.
Dans un tout autre esprit, la DSSIS pourrait produire une note clarifiant les expressions nébuleuses telles que « pourcentage des ressources administrées dont l’administration est réalisée à partir d’un compte non spécifique d’administration », etc.
Cette démarche serait sans doute plus constructive qu’une contestation contentieuse.
Alors, qui est OSE ? Pour répondre aux questions de mon éminent coauteur, il convient d’examiner la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016, laquelle définit l’OSE en son article 4. 4. dans les termes suivants : « une entité publique ou privée dont le type figure à l’annexe II et qui répond aux critères énoncés à l’article 5, paragraphe 2 ».
Et que dit l’annexe II ? Elle distingue successivement les OSE par secteur, sous-secteur et type d’entités.
La messe est dite.
Tous les établissements sont concernés, c’est-à-dire « toute personne physique ou morale ou toute autre entité qui dispense légalement des soins de santé sur le territoire d’un État membre ». C’est la première condition.
Et que dit l’article 5. 2. ? Il prévoit trois sous-conditions cumulatives, dans les termes suivants :
« Les critères d’identification des opérateurs de services essentiels visés à l’article 4, point 4, sont les suivants :
a) une entité fournit un service qui est essentiel au maintien d’activités sociétales et/ou économiques critiques ;
b) la fourniture de ce service est tributaire des réseaux et des systèmes d’information ; et
a) un incident aurait un effet disruptif important sur la fourniture dudit service. »
C’est la seconde condition.
« Quelle sera la marge d’appréciation de la directive ? », nous demande Cédric Cartau. Le texte est-il incitatif ou coercitif ?
L’article 21 de la directive ne laisse guère de place au doute. Il dispose que « les États membres fixent des règles relatives aux sanctions applicables en cas d’infraction aux dispositions nationales adoptées en vertu de la présente directive et prennent toutes les mesures nécessaires pour que ces règles soient appliquées. Les sanctions prévues sont effectives, proportionnées et dissuasives. Les États membres notifient ces règles et ces mesures à la Commission au plus tard le 9 mai 2018 et lui notifient sans retard toute modification ultérieure les concernant ».
Or, la France n’a pas joué le jeu dès lors que, dans la loi de transposition, elle n’a prévu de sanctions (pénales) qu’en ce qui concerne le service public réglementé de la radionavigation par satellite ! Autrement dit, le législateur s’est permis de choisir, parmi les dispositions de la directive, celles qui l’intéressaient.
Quant au décret d’application, il n’évoque aucune sanction.
En conclusion, le dispositif se résume à des ordres dépourvus de sanctions. L’avenir nous dira si ces obligations font au moins l’objet d’un accompagnement financier et d’un effort d’explication de la part des pouvoirs publics.
L’adhésion des RSSI est à ce prix.
Me Omar Yahia
[1] Directive 2011/24/UE du Parlement européen et du Conseil du 9 mars 2011 relative à l’application des droits des patients en matière de soins de santé transfrontaliers.
Avez-vous apprécié ce contenu ?
A lire également.
Yooli, le portail patient unique qui réduit les outils en optimisant les parcours en toute sécurité.
07 mai 2026 - 15:00,
Communiqué
- Yooli,Le contexte actuel impose des exigences toujours fortes aux systèmes d’information médicaux. Ils doivent répondre à des enjeux organisationnels, budgétaires, réglementaires et de sécurité, tout en s’adaptant à une pression croissante sur les parcours de soins.
Centre hospitalier de Moulins-Yzeure : conserver une capacité de coordination lorsque la crise survient
05 mai 2026 - 07:15,
Actualité
- Fabrice Deblock, DSIHPlan Blanc, cyberattaque, intoxication… Les établissements de santé doivent piloter des crises impliquant SAMU, services, direction de garde et partenaires extérieurs. Au CH de Moulins-Yzeure, les solutions CrisiSoft structurent l’alerte, le suivi des ressources et la coordination territoriale.
Comment Médiateam utilise l’intelligence artificielle pour interroger les données de reporting des établissements médico sociaux
28 avril 2026 - 16:41,
Communiqué
- MédiateamRépondre à la multiplication des demandes d’indicateurs de l’ANAP, des ARS et du référentiel SERAFIN PH
Cloud souverain : le décret SREN durcit le cadre pour les données sensibles du secteur public
27 avril 2026 - 09:16,
Actualité
- Rédaction, DSIHLe décret d’application de l’article 31 de la loi visant à sécuriser et réguler l’espace numérique vient enfin préciser les conditions d’hébergement des données sensibles dans le cloud. Pour les établissements de santé, les administrations et les opérateurs publics, le texte marque une nouvelle étap...
