Le 10 avril 2024, l’Assemblée Nationale a définitivement adopté le projet de Loi Sécuriser et Réguler l’Espace Numérique (ci-après désigné « SREN »). Pour rappel, ce projet de loi avait été présenté en Conseil des ministres le 10 mai 2023 par Bruno Le Maire, ministre de l’économie, des finances et de la souveraineté industrielle et numérique et par Jean-Noël Barrot, ministre délégué chargé du numérique. Ce texte a ensuite été adopté en première lecture, avec modifications, par le Sénat le 5 juillet 2023, puis par l’Assemblée nationale le 17 octobre 2023. A l’issue d’une commission mixte paritaire (ci-après désignée « CMP ») conclusive le 26 mars 2024, le Sénat a finalement adopté la version finale du projet de loi le 2 avril, suivi enfin par l’Assemblée le 10 avril.
Ce texte a pour objectif général de renforcer la protection en ligne des citoyens et adapter le droit national aux récentes évolutions de la régulation européenne du domaine numérique. Ses mesures principales visent notamment à assurer une meilleure protection contre le vol de coordonnées personnelles ou bancaires ; renforcer les sanctions contre le cyberharcèlement ; assurer le respect de limites d’âge en ligne pour l’accès aux sites pornographiques ; protéger contre la désinformation et les ingérences étrangères ; restaurer l’équité commerciale et assurer l’interopérabilité des services sur le marché du cloud ; et adapter le droit national au règlement sur les services numériques (DSA) et au règlement sur les marchés numériques (DMA).
Alors que le texte était déjà largement critiqué pour ses dispositions relatives à la régulation des contenus en ligne, faisant notamment l’objet de deux avis circonstanciés de la Commission européenne en octobre 2023 et janvier 2024 reprochant à ces dispositions d’empiéter sur celles du DSA, ses dispositions relatives à la santé font également couler de l’encre. Alors que le projet de loi ne comportait initialement aucune disposition directement liée à ce domaine, ce dernier a été enrichi par les sénateurs puis les députés de deux articles additionnels visant à renforcer les exigences de sécurité relatives à l’hébergement des données de santé : les articles 10 bis A et 10 bis B.
L’article 10 bis A crée une nouvelle obligation de stockage des données sensibles des services de l’Etat sur des services qui « garantissent la protection des données traitées ou stockées contre tout accès par des autorités publiques d’Etats tiers non autorisés ». Désormais, les administrations de l’Etat ; leurs opérateurs, publics ou privés ; et les groupements d’intérêts publics (ci-après désigné « GIP »), lorsqu’ils font appel à des fournisseurs privés de services de cloud pour l’hébergement de données sensibles, doivent s’assurer que ces derniers respectent des critères de protection contre l’accès à ces données par des puissances étrangères. Concrètement, cela implique le recours à des fournisseurs de services de cloud dotés de la certification SecNumCloud par l’Agence nationale de la sécurité des systèmes d’information (ci-après désignée « ANSSI »).
Par la notion de « données sensibles », le texte vise « les données qui relèvent de secrets protégés par la loi », ainsi que « les données nécessaires à l’accomplissement des missions essentielles de l’Etat, notamment la sauvegarde de la sécurité nationale, le maintien de l’ordre public et la protection de la santé et de la vie des personnes », ce qui couvre donc les données de santé.
Alors que le périmètre initial de cette disposition se limitait aux administrations de l’Etat et à leurs opérateurs, le texte de compromis élaboré lors de la Commission mixte paritaire le 26 mars 2024 étend désormais ce périmètre pour y inclure une liste de GIP. Le contenu de cette liste sera établi par un décret en Conseil d’Etat. Le texte final du projet de loi fait déjà toutefois une référence expresse à la Plateforme des données de santé, lui imposant de recourir, à terme, à une solution d’hébergement reconnue SecNumCloud par l’ANSSI.
L’article 10 bis A ouvre toutefois la porte à une dérogation temporaire - dont les modalités seront définies dans un décret en Conseil d’Etat - pour les projets déjà engagés, à l’instar des données de santé hébergées aujourd’hui par la Plateforme des données de santé par l’intermédiaire de l’opérateur Microsoft Azure. Cette dérogation devra toutefois être rendue publique et faire l’objet d’un avis motivé du Parlement. En outre, sa durée ne pourra excéder un délai de 18 mois après qu’une offre « considérée comme acceptable » a été rendue disponible en France.
Cela laisse donc encore un peu de répit à la Plateforme des données de santé dans sa quête d’un hébergeur capable de répondre aux exigences de la loi SREN, alors que ce GIP annonçait en mars 2024 qu’un appel à projets sur quatre ans serait lancé au premier trimestre pour choisir un tel « cloud de confiance » pouvant succéder à Microsoft.
Outre la question de l’hébergement des données sensibles détenue par l’Etat, l’article 10 bis B du projet de loi SREN apporte également des modifications à l’article L.1111-8 du Code de la Santé Publique (ci-après désigné « CSP ») qui impose le recours à un hébergeur certifié ou agréé en cas d’externalisation de l’hébergement de données de santé recueillies à l’occasion d’activité de prévention, de diagnostic, de soin ou de suivi social et médico-social, dans des conditions propres à garantir leur confidentialité et leur sécurité.
Lors des discussions du projet de loi à l’Assemblée nationale, il était proposé d’imposer aux fournisseurs de services de cloud d’être certifiés SecNumCloud, à compter du 1er juillet 2024, pour l’hébergement des données de santé. Le texte finalement adopté à l’issue de la CMP se contente d’inscrire dans la loi les évolutions prochaines du référentiel « hébergeur de données personnelles de santé » (ci-après désigné « HDS ») introduites par le ministère de la santé et de la prévention. L’article 10 bis B prévoit désormais que le référentiel doit préciser « les obligations de l’hébergeur en matière de stockage de ces données sur le territoire » d’un État membre de l’Union européenne ou de l’espace économique européen (ci-après désigné « EEE ») ainsi que, dans le contrat entre le prestataire et le client, « les mesures prises face aux risques de transfert ou d’accès non autorisé de ces données par des États tiers » à l’Union européenne ou l’EEE. De plus, cet article étend désormais le référentiel HDS, applicable aujourd’hui aux hébergeurs de données de santé, aux fournisseurs de services d’archivage numérique de ces données à l’issue de leur durée de conservation, au sens du Règlement de protection des données personnelles (ci-après désigné « RGPD »), jusqu’à présent soumis à une procédure d’agrément spécifique par le ministère de la culture. Le texte prévoit enfin que ces dispositions deviendront applicables au plus tard le 1er juillet 2025, la date précise devant être précisée par un décret.
Il faut noter enfin que le projet de loi SREN devra très probablement franchir une ultime étape : l’examen de sa conformité par le Conseil constitutionnel. En effet, certains députés des groupes La France Insoumise et Rassemblement National ont annoncé s’apprêter à saisir le Conseil afin d’évaluer la conformité du projet de loi à la Constitution. Alors que les dispositions intéressant les données de santé ne devraient pas être inquiétées, les dispositions relatives à la régulation des contenus en ligne et à la protection des mineurs sur internet semblent pour leur part menacées de retoquage. L’article 5bis portant sur le délit d’outrage en ligne est notamment particulièrement visé par les critiques des députés précités.
Jeanne BOSSI MALAFOSSE, associée, et Grégoire PETYT, stagiaire