Scroll Top
GIP et Loi SREN
Partager l'article



*




Les GIP tous concernés par la loi SREN ?

Article rédigé le 1 juillet 2024 par Me Laurence Huin et Me Raphaël Cavan

 

Un an après la circulaire Cloud au centre relative à l’usage du cloud par l’Etat et les organismes placés sous sa tutelle qui sont soumis au décret n°2019-1088 du 25 octobre 2019 définissant le système d’information de l’Etat, une nouvelle brique à l’édifice de la souveraineté numérique vient d’être ajoutée : la loi visant à sécuriser et réguler l’espace numérique (SREN).

Alors que la circulaire Cloud au centre vise les services de l’Etat et les organismes placés sous sa tutelle (ministère, ARS…), le périmètre des acteurs concernés par la loi SREN s’élargit.

Les services de l’État sont les premiers concernés, incluant les administrations, les opérateurs publics ou privés, mais également les Groupements d’Intérêt Public (GIP) ajoutés lors de la dernière lecture du texte.

Tous les GIP ne seront toutefois pas nécessairement concernés par ces dispositions. On vous explique pourquoi.

L’extension de la loi SREN aux GIP

« Récréer la confiance dans l’économique numérique » est l’enjeu visé par Monsieur Bruno Lemaire, ministre de l’économie, des finances et de la souveraineté industrielle et numérique, au moment de présenter la proposition de la loi SREN le 10 mai 2023.

Initialement, la loi SREN ne comportait pas de disposition en lien avec la souveraineté des données de l’Etat et s’intéressait principalement à :

  • Protéger les enfants de la pornographie en instaurant des limites d’âge ;
  • Lutter contre les arnaques, la haine et la désinformation en intégrant des peines de bannissement des réseaux sociaux ou des mesures de répression contre les deepfake (ou hypertrucage : vidéos, images et autres contenus générés par intelligence artificielle -IA).
  • Ou encore réduire la dépendance des entreprises aux fournisseurs d’informatique en nuage ou cloud à travers l’encadrement des frais de transfert de données et de migration, ou en instaurant l’obligation pour les services cloud d’être interopérables entre eux

Ce n’est que sur une initiative des parlementaires que de nouvelles dispositions concernant le stockage sur le cloud privé des données stratégiques et sensibles des administrations de l’État ont été proposées à travers un amendement comprenant les fameux articles 10 bis A et 10 bis B, aujourd’hui présents au sein de la loi SREN aux articles 31 et 32.

Comme nous l’avons mentionné plus haut, les GIP n’étaient pas initialement compris dans le périmètre des services de l’Etat concernés par ces nouvelles dispositions, et ce n’est qu’au moment de la dernière lecture au sein de la Commission mixte paritaire (« CMP »), le 26 mars 2024, que les GIP ont été rajoutés.

Aujourd’hui ce sont plus de 500 GIP qui sont actifs sur le territoire français, et qui opèrent dans divers domaines tels que la santé, l’éducation, la recherche, le développement économique et social, la culture, et les services numériques. Cet ajout n’est donc pas anodin !

Le HDH mais pas que !

Un de ces GIP est particulièrement visé par ces nouvelles dispositions, à savoir le « Health Data Hub » (ci-après « HDH »), ou « Plateforme des données de santé », qui est aujourd’hui expressément cité dans l’article 31 de la loi SREN comme étant soumis à ces nouvelles exigences de recourir à un prestataire de nuage informatique de confiance :

Article 31 : « IV. – Le I est applicable au groupement mentionné à l’article L. 1462-1 du code de la santé publique. »

En effet, on se souvient des nombreuses critiques qui avaient été formulées au moment où le HDH avait retenu la solution Azure de la société Microsoft pour pouvoir assurer l’hébergement des données de santé des français sur sa plateforme.

Le député modem Philippe Latombe avait alors formulé une demande d’accès aux documents administratifs pour pouvoir obtenir une copie de la totalité du « benchmark » des différentes solutions possibles d’hébergement cloud des données de santé détenu par le Health Data Hub, laquelle avait été rejetée par la Commission d’accès aux documents administratifs (« CADA »).

Pour autant, le HDH a annoncé dans son « Bilan 2022 et programme de travail 2023 » des travaux de consolidation d’une plateforme technologique respectant un principe de réversibilité et la stratégie nationale pour un cloud de confiance, faisant ici référence à la « Doctrine Cloud au centre » du gouvernement.

Concernant les autres GIP, l’article 31 de la loi SREN indique qu’un décret pris en Conseil d’état précisera la liste exacte de l’ensemble des GIP concernés par ces nouvelles mesures.

Bien qu’il n’y ait pas de visibilité sur la publication de ce décret, celui-ci devrait intervenir d’ici la fin de l’année, mais ne doit pas pour autant prendre de court les GIP susceptibles d’être concernés par ces nouvelles dispositions.

En effet, ces derniers peuvent d’ores et déjà anticiper l’éventuelle application de ces dispositions en vérifiant :

  • d’une part si parmi leurs membres se trouvent des administrations de l’Etat ou leurs opérateurs ;
  • d’autre part si les données qu’ils traitent au quotidien sont considérées comme étant « d’une sensibilité particulière» comme le définit l’article 31 de la loi SREN, à savoir :
    • des données qui relèvent de secrets protégés par la loi au sens du code des relations entre le public et l’administration (CRPA) ;
    • ou des données nécessaires à l’accomplissement des missions essentielles de l’Etat, notamment la sauvegarde de la sécurité nationale, le maintien de l’ordre public et la protection de la santé et de la vie des personnes.

Le champ est large, l’anticipation des GIP doit l’être tout autant, en particulier pour ceux du secteur de la santé !

L’Adaptation des GIP aux Nouvelles Mesures SREN

Quelles sont alors les conséquences pour les GIP qui seront concernés par ces nouvelles mesures ?

L’article 31 de la loi SREN impose plusieurs obligations pour les GIP visés qui ont recours à des services informatiques en nuage fournis par des prestataires privés.

En effet les GIP devront s’assurer que les services cloud utilisés mettent en œuvre des critères de sécurité renforcés garantissant la protection des données contre l’accès non autorisé par des autorités publiques d’état tiers, sauf si cet accès est autorisé par le droit de l’Union Européenne, celui d’un état membre.

Sur ce point, un décret en Conseil d’état précisera les modalités d’application de cet article et des critères de sécurité et de protection des données qui devront être mises en œuvre, mais également les seuils de détention du capital d’entreprises hors Union européenne au sein de la société du prestataire retenu. Ce décret doit intervenir dans un délai de 6 mois après la promulgation de la loi SREN intervenu en avril dernier, soit d’ici la fin de l’année 2024.

Concrètement cela signifie que les GIP devront recourir à des prestataires fournissant des garanties de sécurité respectant ces exigences de sécurité renforcées. Les cahiers des charges des prochains marchés publics devront alors être plus musclés sur ces différents aspects !

Toutefois l’article 31 précise que les GIP, mais également l’ensemble des services de l’État concernés, pourront bénéficier d’une dérogation accordée sous la responsabilité du ministre dont relève le projet déjà engagé et après validation par le Premier ministre si ces derniers ont au moment de la date d’entrée en vigueur de la loi engagé un projet nécessitant le recours à un service d’informatique en nuage.

À noter que le décret amené à être promulgué dans les 6 prochains mois doit également encadrer les conditions dans lesquelles la dérogation motivée et rendue public pourra être accordée. Par ailleurs cette dérogation ne pourra pas excéder 18 mois à compter qu’une offre « considérée comme acceptable » ait été rendue disponible en France. Invoquer la dérogation ne sera donc pas aisée ;raison de plus pour les GIP d’anticiper rapidement ces nouvelles mesures !

En outre, concernant plus particulièrement la gestion des données de santé l’article 32 de la loi SREN étend désormais le champ d’application des exigences posées en matière d’hébergement de données de santé aux prestataires d’archivage électronique, mais prévoit également de nouvelles obligations issues de la nouvelle version du référentiel Hébergeur de données de santé (« HDS »).

En effet, les hébergeurs de données de santé certifiés HDS auront désormais une obligation de stockage des données sur d’un État membre de l’Union européenne ou de l’espace économique européen (« EEE »), et devront préciser dans les contrats les mesures prises face aux risques de transfert ou d’accès non autorisé des données de santé par des états tiers à l’UE ou l’EEE.

L’ensemble de ces nouvelles exigences seront applicables au plus tard le 1er juillet 2025, la date exacte devra être précisée par un décret à venir.

Des changements non négligeables sont donc à venir pour les GIP du secteur de la santé – on pense aux éditeurs mais pas que – ces prochains mois !

Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.

Raphaël Cavan a rejoint le Cabinet Houdart & Associés en 2022 tant qu’élève avocat, et exerce aujourd’hui en tant qu'avocat au sein du pôle santé numérique.

L’obtention de son master en droit du numérique auprès de l’université Paris XII (UPEC)et ses différentes expériences professionnelles auprès d’acteurs publics lui ont permis de développer un sens du service public et un intérêt pour les enjeux posés par le numérique aujourd’hui dans le secteur de la santé et de la recherche scientifique.

Il intervient aujourd’hui auprès des établissements de santé privés et publics dans leur mise en conformité à la réglementation en matière de données personnelles, et les conseille sur les questions en lien avec le droit du numérique.