L’arrêté du 13 juin 2018 relatif aux déclarations des OSE et FSN complète le dispositif applicable aux OSE et aux FSN.
L’arrêté du 13 juin 2018 vient compléter le dispositif applicable aux OSE et FSN posé par la loi de transposition de la directive Network and Information Security ainsi que son décret d’application relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique.
Ces dispositions concernent notamment plusieurs acteurs du secteur de la santé et, par exemple, les établissements de soins qui seront désignés OSE mais également certains hébergeurs de données de santé qui proposent des services cloud et seront qualifiés de FSN, sous les conditions exposées ci-après.
Transposition de la directive NIS
La directive Network and Information Security (NIS) adoptée le 6 juillet 2016 par le Parlement européen et le Conseil de l’Union européenne a été transposée en droit français par la loi n°2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité (1). Elle a pour objectif de renforcer les capacités nationales en matière de cybersécurité afin d’améliorer le fonctionnement du marché intérieur.
Conformément à la directive NIS, d’une part, et à sa loi de transposition, d’autre part, les obligations issues de ces textes concernent notamment :
- les opérateurs de services essentiels qu’ils soient publics ou privées (les OSE) ;
- les fournisseurs de service numérique (les FSN).
Fournisseurs de service numérique dans le secteur de santé
Notion de FSN dans le secteur santé
Certains hébergeurs de données de santé pourront être concernés par les obligations mises à la charge des FSN.
Conformément à l’article 10 de la loi de transposition, les FSN sont définis comme toute personne morale qui fournit l’un des services suivants (2) :
a) Place de marché en ligne […] ;
b) Moteurs de recherche en ligne […] ;
c) Service d’informatique en nuage à savoir un service numérique qui permet l’accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées.
Ainsi, ces dispositions peuvent concerner certains hébergeurs de données de santé qui proposent des services cloud. Toutefois, les « entreprises qui emploient moins de cinquante salariés et dont le chiffre d’affaires annuel n’excède pas 10 millions d’euros » ne sont pas concernées par les règles encadrant les FSN (3).
La réglementation spécifique aux FSN doit donc être appliquée dès lors que l’une des conditions est remplie :
- le nombre d’employés de l’hébergeur de données de santé est supérieur ou égal à 50 ;
- le chiffre d’affaires annuel de l’hébergeur de données de santé est supérieur à 10 millions d’euros.
Absence de désignation
L’Anssi a élaboré une foire aux questions concernant les FSN au sein de laquelle elle précise que, contrairement à la désignation des OSE, « les FSN ne sont pas désignés par l’autorité administrative et donc appliquent directement les dispositions de transposition de la directive dès leur entrée en vigueur » (4).
Obligations des FSN dans le secteur de la santé
Les hébergeurs de données de santé FSN sont tenus d’identifier les risques qui menacent la sécurité des réseaux et des systèmes d’information nécessaires à la fourniture du service cloud. Pour ces hébergeurs, les obligations se composent des volets suivants :
- identification des réseaux et systèmes d’information nécessaires à la fourniture du service cloud, étant précisé que l’hébergeur établit et tient à jour une liste des réseaux et systèmes d’information concernés (5) ;
- adoption « des mesures techniques et organisationnelles nécessaires et proportionnées pour éviter les incidents de nature à porter atteinte à ces réseaux et systèmes d’information ainsi que pour en réduire au minimum l’impact de manière à garantir la continuité de leurs services » (6) ;
- déclaration des incidents ayant un impact significatif sur la fourniture des services cloud (4) :
- la déclaration est réalisée sans préjudice de toute autre formalité déclarative à la charge de l’hébergeur FSN. Par exemple, lorsqu’il est sous-traitant au sens de la réglementation sur la protection des données, il reste tenu de notifier au responsable de traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance, conformément à l’article 33, 2° du RGPD ;
- la déclaration est réalisée en utilisant le formulaire disponible sur le site internet de l’Anssi, dans lequel l’hébergeur FSN mentionne notamment : des informations sur le déclarant, le réseau et le système d’information affecté par l’incident, les conséquences de l’incident sur les services essentiels concernés, le type d’incident, les causes, les mesures prises permettant d’y répondre ;
- le formulaire est transmis par voie électronique ou postale.
- se soumettre à des contrôles de l’Anssi destinés à vérifier le respect de ces obligations et le niveau de sécurité des réseaux et des systèmes d’information nécessaires à la fourniture du service de cloud (6).
Sanctions des FSN
L’article 15 de la loi prévoit les sanctions encourues en cas de non-respect des obligations par les FSN. Ainsi, la loi prévoit que le fait pour les dirigeants des FSN de ne pas se conformer aux règles de sécurité à l’issue du délai fixé par mise en demeure est puni de 75 000 € d’amende. Est également puni de 50 000 € d’amende le fait, pour les dirigeants des FSN, de ne pas satisfaire à l’obligation de déclaration d’incident. Enfin, est puni de 100 000 € d’amende le fait, pour les mêmes personnes, de faire obstacle aux opérations de contrôle de l’Anssi.
Marguerite Brac de la Perrière
Chloé Gaveau
Département Santé numérique
(1) Loi 2018-133 du 26-2-2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité
(2) Loi 2018-133 du 26-2-2018, art. 10
(3) Loi 2018-133 du 26-2-2018, art. 11
(4) ANSSI, FAQ – Fournisseurs de services numériques (FSN)
(5) Décret 2018-384 du 23-3-2018 relatif à la sécurité des réseaux et systèmes d’information des OSE et des FSN, art. 17
(6) Loi 2018-133 du 26-2-2018, art. 12