Vous êtes dans : Accueil > Tribunes libres >
Puisque mon illustre coauteur, Cédric Cartau, me tend la perche, je m’en voudrais de ne pas la saisir !
Prenons un instant un peu de hauteur de vue pour comprendre l’agencement des multiples textes évoqués par Cédric Cartau ici. Le président de la Commission européenne, M. Jean-Claude Juncker, a œuvré à ce qui a été appelé le « printemps européen des données », à travers trois dates très importantes :
Ces trois dates marquent en quelque sorte l’émergence d’un droit commun de la cybersécurité.
En vigueur depuis le 25 mai 2018, le RGPD adopte une approche transversale de la sécurité des données. La directive UE 2016/1148 impose aux États membres d’adopter une stratégie nationale en matière de sécurité des réseaux et des SI ainsi que la mise en place de centres de réponse aux incidents de sécurité informatique. Elle cherche à favoriser la coopération en la matière et édicte des exigences de sécurité minimales pour les opérateurs de services essentiels (OSE) et maximales concernant les fournisseurs de services numériques.
Le règlement et les deux directives font partie du « paquet numérique » voulu par la commission Juncker afin de créer et d’harmoniser à l’échelle continentale un niveau élevé de sécurité des données et des infrastructures.
Pour la petite histoire, la France s’est dotée d’une stratégie de cybersécurité à la suite des attaques survenues dans les années 2000 affectant les SI présents sur son territoire. C’est à partir de la déclinaison de la loi n° 2005-1550 du 12 décembre 2005 et du décret n° 2006-212 du 23 février 2006 que naquit l’idée consistant non plus à identifier des établissements/installations, mais à cibler des secteurs (et des sous-secteurs) d’activité d’importance vitale et à désigner, au sein de ces secteurs, les OIV.
Pour des non-juristes, le mécanisme des textes reste assez simple à comprendre : la directive est transposée par une loi, laquelle renvoie à un ou à plusieurs décrets d’application, lesquels renvoient eux-mêmes à des arrêtés. Et comme si cela ne suffisait pas, on voit fleurir la littérature ministérielle censée expliciter les textes précédents (circulaires, instructions, lettres, recommandations, etc.). Le schéma d’ensemble ressemble à une pyramide symbolisant la hiérarchie des normes.
En l’espèce, la directive UE 2016/1148 du 6 juillet 2016 a été transposée par la loi n° 2018-133 du 26 février 2018, laquelle a renvoyé au décret n° 2018-384 du 23 mai 2018 le soin de fixer la liste des services essentiels et les modalités de désignation des OSE, sans oublier les fournisseurs de services numériques. À son tour, le décret a renvoyé :
Il est difficile de résumer en quelques lignes l’ensemble du dispositif de sécurité dessiné par l’apport successif des textes votés depuis 2016.
Disons que désormais la loi du 26 janvier 2016 fait obligation :
Quant à l’hébergement des données de santé, il n’est pas en reste puisqu’il suppose l’utilisation de SI conformes aux référentiels d’interopérabilité et de sécurité élaborés par l’Asip Santé.
Comme l’indique Cédric Cartau, la directive NIS et le RGPD sont complémentaires, mais ne se recouvrent pas ou peu. J’y ajouterai des textes qui ne sont issus ni de l’un ni de l’autre, à savoir la loi du 26 janvier 2016 – qui parachève le travail amorcé par la loi HPST (21 juillet 2009) et poursuivi par la loi Fourcade (10 août 2011) – de même que la loi Informatique et Libertés, version 3, qui (de façon totalement inédite et baroque) transpose un règlement qui n’avait pas besoin de l’être puisqu’il est d’application directe.
Le temps de la production réglementaire étant vraisemblablement terminé, c’est maintenant que les vrais problèmes commencent.
Me Omar Yahia
Avocat à la Cour
contact@yahia-avocats.fr
Les plus lus