Vous êtes dans : Accueil > Tribunes libres >

La directive NIS, volet juridique, partie II

Me Omar Yahia , MARDI 23 OCTOBRE 2018

Accompagner et expliquer ? Ordonner et sanctionner ? Il semble que le législateur ait choisi.

Les établissements disposent en moyenne d’un délai compris entre un et trois ans pour instituer les 22 règles édictées et annexées à l’arrêté du 14 septembre 2018.

Sur la quasi-impossibilité technique de les mettre en œuvre dans le délai imparti, le lecteur sera rassuré (ou non) de savoir que chacun est logé à la même enseigne, et pas uniquement les établissements de santé.

Avant d’appliquer ces règles, encore faut-il les comprendre. Cédric Cartau considère à cet égard qu’une « bonne partie des mesures techniques précisées sont tout simplement impossibles à interpréter, sans parler de leur application ».

C’est le sens de la jurisprudence du Conseil constitutionnel qui a considéré à plusieurs reprises que l’objectif de valeur constitutionnelle d’accessibilité et d’intelligibilité de la loi devait guider l’action du législateur, outre le fait que cet objectif représente un des éléments de l’exigence de sécurité juridique.

Des esprits joueurs pourraient choisir de contester cet arrêté devant le Conseil d’État, notamment au motif que ce texte n’est pas compréhensible par ses destinataires, en invoquant la violation de cet objectif. C’est une piste de réflexion.

Dans un tout autre esprit, la DSSIS pourrait produire une note clarifiant les expressions nébuleuses telles que « pourcentage des ressources administrées dont l’administration est réalisée à partir d’un compte non spécifique d’administration », etc.

Cette démarche serait sans doute plus constructive qu’une contestation contentieuse.

Alors, qui est OSE ? Pour répondre aux questions de mon éminent coauteur, il convient d’examiner la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016, laquelle définit l’OSE en son article 4. 4. dans les termes suivants : « une entité publique ou privée dont le type figure à l’annexe II et qui répond aux critères énoncés à l’article 5, paragraphe 2 ».

Et que dit l’annexe II ? Elle distingue successivement les OSE par secteur, sous-secteur et type d’entités.

La messe est dite.

Tous les établissements sont concernés, c’est-à-dire « toute personne physique ou morale ou toute autre entité qui dispense légalement des soins de santé sur le territoire d’un État membre ». C’est la première condition.

Et que dit l’article 5. 2. ? Il prévoit trois sous-conditions cumulatives, dans les termes suivants :

« Les critères d’identification des opérateurs de services essentiels visés à l’article 4, point 4, sont les suivants :

a) une entité fournit un service qui est essentiel au maintien d’activités sociétales et/ou économiques critiques ;

b) la fourniture de ce service est tributaire des réseaux et des systèmes d’information ; et

a) un incident aurait un effet disruptif important sur la fourniture dudit service. »

C’est la seconde condition.

« Quelle sera la marge d’appréciation de la directive ? », nous demande Cédric Cartau. Le texte est-il incitatif ou coercitif ?

L’article 21 de la directive ne laisse guère de place au doute. Il dispose que « les États membres fixent des règles relatives aux sanctions applicables en cas d’infraction aux dispositions nationales adoptées en vertu de la présente directive et prennent toutes les mesures nécessaires pour que ces règles soient appliquéesLes sanctions prévues sont effectives, proportionnées et dissuasives. Les États membres notifient ces règles et ces mesures à la Commission au plus tard le 9 mai 2018 et lui notifient sans retard toute modification ultérieure les concernant ».

Or, la France n’a pas joué le jeu dès lors que, dans la loi de transposition, elle n’a prévu de sanctions (pénales) qu’en ce qui concerne le service public réglementé de la radionavigation par satellite ! Autrement dit, le législateur s’est permis de choisir, parmi les dispositions de la directive, celles qui l’intéressaient.

Quant au décret d’application, il n’évoque aucune sanction.

En conclusion, le dispositif se résume à des ordres dépourvus de sanctions. L’avenir nous dira si ces obligations font au moins l’objet d’un accompagnement financier et d’un effort d’explication de la part des pouvoirs publics.

L’adhésion des RSSI est à ce prix.

Me Omar Yahia
contact@yahia-avocats.fr 

 

 

 

[1] Directive 2011/24/UE du Parlement européen et du Conseil du 9 mars 2011 relative à l’application des droits des patients en matière de soins de santé transfrontaliers.

##cédric cartau