La directive NIS, volet juridique, partie II
Les établissements disposent en moyenne d’un délai compris entre un et trois ans pour instituer les 22 règles édictées et annexées à l’arrêté du 14 septembre 2018.
Sur la quasi-impossibilité technique de les mettre en œuvre dans le délai imparti, le lecteur sera rassuré (ou non) de savoir que chacun est logé à la même enseigne, et pas uniquement les établissements de santé.
Avant d’appliquer ces règles, encore faut-il les comprendre. Cédric Cartau considère à cet égard qu’une « bonne partie des mesures techniques précisées sont tout simplement impossibles à interpréter, sans parler de leur application ».
C’est le sens de la jurisprudence du Conseil constitutionnel qui a considéré à plusieurs reprises que l’objectif de valeur constitutionnelle d’accessibilité et d’intelligibilité de la loi devait guider l’action du législateur, outre le fait que cet objectif représente un des éléments de l’exigence de sécurité juridique.
Des esprits joueurs pourraient choisir de contester cet arrêté devant le Conseil d’État, notamment au motif que ce texte n’est pas compréhensible par ses destinataires, en invoquant la violation de cet objectif. C’est une piste de réflexion.
Dans un tout autre esprit, la DSSIS pourrait produire une note clarifiant les expressions nébuleuses telles que « pourcentage des ressources administrées dont l’administration est réalisée à partir d’un compte non spécifique d’administration », etc.
Cette démarche serait sans doute plus constructive qu’une contestation contentieuse.
Alors, qui est OSE ? Pour répondre aux questions de mon éminent coauteur, il convient d’examiner la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016, laquelle définit l’OSE en son article 4. 4. dans les termes suivants : « une entité publique ou privée dont le type figure à l’annexe II et qui répond aux critères énoncés à l’article 5, paragraphe 2 ».
Et que dit l’annexe II ? Elle distingue successivement les OSE par secteur, sous-secteur et type d’entités.
La messe est dite.
Tous les établissements sont concernés, c’est-à-dire « toute personne physique ou morale ou toute autre entité qui dispense légalement des soins de santé sur le territoire d’un État membre ». C’est la première condition.
Et que dit l’article 5. 2. ? Il prévoit trois sous-conditions cumulatives, dans les termes suivants :
« Les critères d’identification des opérateurs de services essentiels visés à l’article 4, point 4, sont les suivants :
a) une entité fournit un service qui est essentiel au maintien d’activités sociétales et/ou économiques critiques ;
b) la fourniture de ce service est tributaire des réseaux et des systèmes d’information ; et
a) un incident aurait un effet disruptif important sur la fourniture dudit service. »
C’est la seconde condition.
« Quelle sera la marge d’appréciation de la directive ? », nous demande Cédric Cartau. Le texte est-il incitatif ou coercitif ?
L’article 21 de la directive ne laisse guère de place au doute. Il dispose que « les États membres fixent des règles relatives aux sanctions applicables en cas d’infraction aux dispositions nationales adoptées en vertu de la présente directive et prennent toutes les mesures nécessaires pour que ces règles soient appliquées. Les sanctions prévues sont effectives, proportionnées et dissuasives. Les États membres notifient ces règles et ces mesures à la Commission au plus tard le 9 mai 2018 et lui notifient sans retard toute modification ultérieure les concernant ».
Or, la France n’a pas joué le jeu dès lors que, dans la loi de transposition, elle n’a prévu de sanctions (pénales) qu’en ce qui concerne le service public réglementé de la radionavigation par satellite ! Autrement dit, le législateur s’est permis de choisir, parmi les dispositions de la directive, celles qui l’intéressaient.
Quant au décret d’application, il n’évoque aucune sanction.
En conclusion, le dispositif se résume à des ordres dépourvus de sanctions. L’avenir nous dira si ces obligations font au moins l’objet d’un accompagnement financier et d’un effort d’explication de la part des pouvoirs publics.
L’adhésion des RSSI est à ce prix.
Me Omar Yahia
[1] Directive 2011/24/UE du Parlement européen et du Conseil du 9 mars 2011 relative à l’application des droits des patients en matière de soins de santé transfrontaliers.
Avez-vous apprécié ce contenu ?
A lire également.
L’IA, fossoyeur de l’IT ? Pas si simple, et certainement pas tout de suite
07 avril 2026 - 07:40,
Tribune
-Dans la première moitié du XIXe siècle, les usines textiles, qui avaient déployé massivement des métiers à tisser mécaniques, utilisaient les ouvriers pour contrôler le tissu sortant de la chaîne de production : absence de fil cassé, etc. Un ouvrier pouvait piloter 2 machines en même temps, et à un ...
Du séjour au domicile : le SMS comme brique du système d’information hospitalier
07 avril 2026 - 07:30,
Actualité
- Pierre Derrouch, DSIHLa réduction continue des durées de séjour hospitalier déplace une part du risque clinique vers le domicile. En chirurgie ambulatoire, les réhospitalisations entre un à trois jours après l’intervention figurent parmi les indicateurs de sécurité suivis par la Haute Autorité de Santé dans le cadre des...
Au GHT de Saône-et-Loire – Bresse-Morvan, un concentrateur de données comme socle des usages d’IA et de la coordination territoriale
17 mars 2026 - 08:32,
Actualité
- Par Pierre Derrouch, DSIHFace aux limites d’une convergence applicative étendue à plus de 350 logiciels hétérogènes, le Groupement hospitalier de territoire de Saône-et-Loire – Bresse-Morvan a engagé, à partir de 2022, une inflexion stratégique centrée sur la donnée. Mis en production en 2023, un concentrateur de données de...
L’Occident se fracasse sur Seedance – la cyber face au paradigme de Robin des Bois
24 fév. 2026 - 08:18,
Tribune
-Impossible de le rater si on s’intéresse un minimum aux évolutions de l’IA : le logiciel Seedance(1), IA spécialisée dans la génération de vidéo d’un réalisme époustouflant, déclenche la colère des Majors américaines : Warner, Disney, Netflix, etc.
