Les GIP ont-ils vu venir la loi SREN ?

 Par Me Laurence Huin et Me Raphaël Cavan.

Alors que la Doctrine cloud s'applique spécifiquement aux services de l'État et aux entités sous sa tutelle, comme les ministères ou les ARS, la loi SREN a élargi le champ d'application à un ensemble plus vaste d'acteurs, notamment les Groupements d'Intérêt Public (GIP).

Le périmètre de la Loi SREN étendu aux GIP 

Initialement, la loi SREN ne se concentrait pas sur la souveraineté des données de l'État mais visait principalement à « Récréer la confiance dans l’économique numérique ». 

Ce n'est que grâce à une initiative parlementaire que des mesures concernant le stockage des données stratégiques et sensibles de l'État sur des clouds privés ont été intégrées, via un amendement qui a donné lieu aux articles 31 et 32 de l’actuelle loi SREN. 

Initialement, les Groupements d’Intérêt Public (GIP) n'étaient pas inclus dans ces dispositions, mais ont été rajoutés lors de la dernière lecture par la Commission mixte paritaire le 26 mars 2024. À ce jour, ce sont plus de 500 GIP qui sont actifs en France dans des secteurs variés et notamment la santé et qui pourraient être concernés par cette loi.

 GIP Concernés : Le HDH oui, mais pas que !

Un GIP bien connu dans le secteur de la santé, le « Health Data Hub » (HDH) (ou « Plateforme des données de santé »), est spécifiquement mentionné au sein de l'article 31 de la loi SREN. Le HDH est directement concerné par les nouvelles exigences de recours à un prestataire de cloud de confiance. Les lecteurs assidus de DSIH auront bien compris l’esprit du législateur en intégrant la référence expresse au HDH.

Pour les autres GIP, un décret à venir pris en Conseil d'État comme l’indique l'article 31 de la loi SREN, déterminera quels GIP seront soumis à ces nouvelles exigences. Bien que la date de publication de ce décret reste incertaine, une perspective de publication d’ici la fin de l’année peut être envisagée. 

Les GIP concernés, notamment ceux opérant dans des domaines sensibles tels que la santé, sont dès lors invités à anticiper l'éventuelle application de ces dispositions en vérifiant : 

- d’une part si parmi leurs membres se trouvent des administrations de l’Etat ou leurs opérateurs ;

- d’autre part si les données qu'ils traitent au quotidien sont considérées comme étant « d'une sensibilité particulière » comme le définit l’article 31 de la loi SREN, à savoir : 

o  des données qui relèvent de secrets protégés par la loi au sens du code des relations entre le public et l’administration (CRPA) ; 

o  ou des données nécessaires à l'accomplissement des missions essentielles de l'Etat, notamment la sauvegarde de la sécurité nationale, le maintien de l'ordre public et la protection de la santé et de la vie des personnes.

L’anticipation des GIP face aux nouvelles exigences SREN

Quels impacts auront alors les nouvelles dispositions de la loi SREN sur les GIP ayant recours aux services de cloud fournis par des prestataires privés ? 

Selon l'article 31 de cette loi, ces GIP devront recourir à des services cloud respectant des critères de sécurité renforcés, notamment pour protéger les données contre l'accès non autorisé par des autorités publiques d'état tiers, sauf si cet accès est autorisé par le droit de l'Union Européenne ou celui d'un état membre.

Pour préciser les critères de sécurité, un décret en Conseil d’État doit intervenir dans un délai de 6 mois après la promulgation de la loi SREN intervenu en avril dernier, soit d’ici la fin de l’année 2024. Ce décret précisera également les seuils autorisés de détention du capital d’entreprises hors Union européenne au sein de la société du prestataire cloud. 

Concrètement cela signifie que les GIP devront recourir à des prestataires fournissant des garanties de sécurité respectant ces exigences de sécurité renforcées. Les GIP devront donc intégrer ces normes de sécurité strictes dans les cahiers des charges de leurs futurs marchés publics.

Pour les projets déjà engagés avant la mise en application de la loi, une dérogation sera possible accordée sous la responsabilité du ministre concerné et après validation par le Premier ministre. Cette dérogation est limitée à 18 mois à compter qu’une offre « considérée comme acceptable » ait été rendue disponible en France. La difficulté d’invoquer une telle dérogation souligne l'importance pour les GIP de se préparer à ces exigences.

D'importants changements attendent donc les GIP du secteur de la santé dans les mois à venir, affectant non seulement les GIP éditeurs de DPI mais pas que !