Publicité en cours de chargement...

Publicité en cours de chargement...

Les GIP ont-ils vu venir la loi SREN ?

05 juil. 2024 - 17:19,
Tribune - Me Laurence Huin et Me Raphaël Cavan.
La stratégie du gouvernement français en matière de souveraineté numérique de la France, détaillée initialement dans la Doctrine cloud de mai 2023, se renforce avec l'adoption le 10 avril dernier de la loi visant à sécuriser et réguler l'espace numérique (SREN).

 Par Me Laurence Huin et Me Raphaël Cavan.


Alors que la Doctrine cloud s'applique spécifiquement aux services de l'État et aux entités sous sa tutelle, comme les ministères ou les ARS, la loi SREN a élargi le champ d'application à un ensemble plus vaste d'acteurs, notamment les Groupements d'Intérêt Public (GIP).

Le périmètre de la Loi SREN étendu aux GIP 

Initialement, la loi SREN ne se concentrait pas sur la souveraineté des données de l'État mais visait principalement à « Récréer la confiance dans l’économique numérique ». 

Ce n'est que grâce à une initiative parlementaire que des mesures concernant le stockage des données stratégiques et sensibles de l'État sur des clouds privés ont été intégrées, via un amendement qui a donné lieu aux articles 31 et 32 de l’actuelle loi SREN. 

Initialement, les Groupements d’Intérêt Public (GIP) n'étaient pas inclus dans ces dispositions, mais ont été rajoutés lors de la dernière lecture par la Commission mixte paritaire le 26 mars 2024. À ce jour, ce sont plus de 500 GIP qui sont actifs en France dans des secteurs variés et notamment la santé et qui pourraient être concernés par cette loi.

 GIP Concernés : Le HDH oui, mais pas que !

Un GIP bien connu dans le secteur de la santé, le « Health Data Hub » (HDH) (ou « Plateforme des données de santé »), est spécifiquement mentionné au sein de l'article 31 de la loi SREN. Le HDH est directement concerné par les nouvelles exigences de recours à un prestataire de cloud de confiance. Les lecteurs assidus de DSIH auront bien compris l’esprit du législateur en intégrant la référence expresse au HDH.

À lire aussi : La mise en place de « référents logiciels » comme première étape d’une mutation des DSI hospitalières

Pour les autres GIP, un décret à venir pris en Conseil d'État comme l’indique l'article 31 de la loi SREN, déterminera quels GIP seront soumis à ces nouvelles exigences. Bien que la date de publication de ce décret reste incertaine, une perspective de publication d’ici la fin de l’année peut être envisagée. 

Les GIP concernés, notamment ceux opérant dans des domaines sensibles tels que la santé, sont dès lors invités à anticiper l'éventuelle application de ces dispositions en vérifiant : 

- d’une part si parmi leurs membres se trouvent des administrations de l’Etat ou leurs opérateurs ;

- d’autre part si les données qu'ils traitent au quotidien sont considérées comme étant « d'une sensibilité particulière » comme le définit l’article 31 de la loi SREN, à savoir : 

o  des données qui relèvent de secrets protégés par la loi au sens du code des relations entre le public et l’administration (CRPA) ; 

o  ou des données nécessaires à l'accomplissement des missions essentielles de l'Etat, notamment la sauvegarde de la sécurité nationale, le maintien de l'ordre public et la protection de la santé et de la vie des personnes.

L’anticipation des GIP face aux nouvelles exigences SREN

Quels impacts auront alors les nouvelles dispositions de la loi SREN sur les GIP ayant recours aux services de cloud fournis par des prestataires privés ? 

Selon l'article 31 de cette loi, ces GIP devront recourir à des services cloud respectant des critères de sécurité renforcés, notamment pour protéger les données contre l'accès non autorisé par des autorités publiques d'état tiers, sauf si cet accès est autorisé par le droit de l'Union Européenne ou celui d'un état membre.

Pour préciser les critères de sécurité, un décret en Conseil d’État doit intervenir dans un délai de 6 mois après la promulgation de la loi SREN intervenu en avril dernier, soit d’ici la fin de l’année 2024. Ce décret précisera également les seuils autorisés de détention du capital d’entreprises hors Union européenne au sein de la société du prestataire cloud. 

Concrètement cela signifie que les GIP devront recourir à des prestataires fournissant des garanties de sécurité respectant ces exigences de sécurité renforcées. Les GIP devront donc intégrer ces normes de sécurité strictes dans les cahiers des charges de leurs futurs marchés publics.

Pour les projets déjà engagés avant la mise en application de la loi, une dérogation sera possible accordée sous la responsabilité du ministre concerné et après validation par le Premier ministre. Cette dérogation est limitée à 18 mois à compter qu’une offre « considérée comme acceptable » ait été rendue disponible en France. La difficulté d’invoquer une telle dérogation souligne l'importance pour les GIP de se préparer à ces exigences.

D'importants changements attendent donc les GIP du secteur de la santé dans les mois à venir, affectant non seulement les GIP éditeurs de DPI mais pas que !

Avez-vous apprécié ce contenu ?

A lire également.

Regonfler un pneu ou s’attaquer à la root cause : vision 27001 de la mise sous contrainte

15 sept. 2025 - 22:20,

Tribune

-
Cédric Cartau

Imaginez un peu la scène : vous êtes dans votre jardin en train de tailler vos rosiers, et par-dessus la clôture vous apercevez votre voisin que vous saluez chaleureusement. Vous en profitez pour le prévenir que le pneu arrière gauche de sa voiture, garée dans son allée et que vous voyez très bien d...

Illustration Tour de France CaRE Domaine 2

Tour de France CaRE Domaine 2

13 sept. 2025 - 16:20,

Communiqué

- Orange Cyberdefense

La cybersécurité n’est plus une option pour les établissements de santé ! Grâce au programme CaRE, vous pouvez bénéficier de subventions pour augmenter votre résilience numérique. Orange Cyberdefense vous invite à son Tour de France autour du Domaine 2 du programme CaRE de mi-septembre à mi-octobre.

Illustration CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA

CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA

08 sept. 2025 - 11:50,

Tribune

-
Manon DALLEAU

Le mois de juillet 2025 a marqué le lancement de CaRE D2, avec pour objectif de renforcer la stratégie de continuité et de reprise d'activité des établissements de santé, aussi bien sur le plan métier que sur le plan informatique. Au cœur du dispositif : le Plan de Continuité et de Reprise d'Activit...

Illustration Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025

Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025

05 sept. 2025 - 11:39,

Actualité

- DSIH

Depuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.