Le 17 juillet 2014, les services du Premier Ministre publiaient sur le site circulaire.legifrance.fr une circulaire relative à la Politique de Sécurité des Systèmes d’Information de l’État (PSSIE), élaborée par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).
Passons les détails techniques de cette politique pour nous intéresser à quelques points juridiques.
S’agissant du champ d’application, sont concernés toutes les administrations de l’État, comprendre les ministères, établissements publics sous leur tutelle, services déconcentrés et autorités administratives indépendantes. La PSSIE s’applique donc à un nombre extrêmement important d’entités, de la CNIL ou l’Autorité de Lutte contre le Dopage (AFLD) aux préfectures en passant par… les établissements de santé publics ! Eh oui, car depuis le 22 juillet 2009, lendemain de la publication au JO de la loi HPST, ce sont des établissements publics de l’État. Au 1er janvier 2015, les hôpitaux publics devront donc être conformes à la PSSIE, ou à tout le moins avoir établi un plan d’action pour l’être sous trois ans.
Devront ? Cette circulaire s’impose-t-elle aux établissements ? On touche ici à la délicate question de la valeur juridique d’une circulaire. Comme le rappelle Légifrance, une circulaire n’a en principe pas plus de valeur qu’une « note de service ». D’accord, mais malgré cela, le Conseil d’État estime qu’il existe des « circulaires réglementaires », impératives (CE, 4 octobre 2013, n° 358896). Et en l’occurrence, il n’y a que peu de doutes sur la valeur de la circulaire PSSIE. Elle n’a pas vocation à interpréter le droit, elle fixe le droit concernant la sécurité des systèmes d’information de l’État. En tant que telle, la circulaire serait susceptible de recours pour excès de pouvoir. Partant, on voit mal comment lui contester une certaine force contraignante. Et au demeurant, les contrôleurs de la HAS pourraient, dans le cadre de la certification HAS v 2014, tenter d’opposer cette circulaire aux établissements. Dernier argument en faveur de l’opposabilité de la circulaire : tout ou partie des établissements de santé publics pourraient être considérés comme des « opérateurs d’importance vitale » (OIV), et le cas échéant, le respect de la PSSIE leur serait vraisemblablement imposé, à peine de sanction.
Quelles sanctions ?
En admettant le caractère impératif de cette PSSIE, quelles sanctions encourrait un établissement de santé public ne s’y conformant pas ? La circulaire en elle-même ne prévoit – c’est normal – aucune mesure répressive. Mais pour autant, une méconnaissance de cette instruction ministérielle ne serait pas neutre. Outre un risque de sanction pour les OIV (150 000 euros d’amende), cela pourrait en effet se traduire par une mauvaise note lors de la certification HAS au titre de la sécurité du système d’information, voire par une sanction de la CNIL pour manquement à la sécurité des données.
Cette non-conformité pourrait par ailleurs aboutir à la condamnation de l’établissement dans le cadre d’une action d’un patient fondée sur l’article 9 du Code Civil (droit à la vie privée) ou sur l’article 34 de la loi Informatique et Libertés (confidentialité des données personnelles) et sur leurs pendants pénaux. En effet, si les juges sont en principe hostiles à l’opposabilité d’une circulaire à l’administration, le caractère impératif de celle-ci pourrait les conduire à plus de souplesse.
Reste une potentielle difficulté. Imaginons une contrariété de la PSSIE à la PGSSI-S en cours d’élaboration (ou de finalisation ?) par l’ASIP Santé. En effet, il semble que dans le cadre du projet de loi Santé Public, on entende conférer une valeur juridique supérieure aux « référentiels » établis par cette agence ou son successeur. Gérer un conflit de normes est toujours délicat, mais ce devrait l’être encore plus pour un établissement de santé qui se retrouverait alors « coincé » entre l’ANSSI et l’ASIP Santé. Espérons que les deux agences se seront entendues ou auront une vision similaire de ce que doit être la sécurité d’un système d’information.