Mon précédent billet revenait sur l’impossibilité pour les pouvoirs publics d’imposer le respect d’une norme, d’un standard, d’un code de conduite payant ou de s’y référer dans un texte réglementaire.

Cette règle découle directement du principe de sécurité juridique.

La loi est déjà suffisamment complexe et évolutive sans qu’en plus les assujettis soient obligés de payer pour en prendre connaissance.

La problématique est que l’Union Européenne ne semble pas, à l’heure actuelle, faire preuve de la même sensibilité que les juridictions françaises. Plusieurs textes européens envisagent ainsi le recours à des normes, peu important si elles sont payantes.

En matière de cybersécurité, on peut prendre pour exemple les dispositions relatives au règlement e-IDAS sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur.

Ce texte prévoit expressément la possibilité de rendre obligatoire des normes et spécifications techniques et invite la Commission Européenne, lorsqu’elle doit prendre des actes d’exécution, à tenir compte de celles existantes (Considérant 27). On voit ici poindre le pragmatisme communautaire qui privilégie l’efficacité à l’accessibilité.

La Commission s’est conformée à cette recommandation, en imposant par exemple aux « opérateurs de nœud » le respect des exigences de la norme ISO 27001 (Art. 10 du règlement d’exécution n° 2015/1501 du 8 septembre 2015 sur le cadre d’interopérabilité).

Ici, on se retrouve donc avec une situation dans le cadre de laquelle un opérateur français se voit imposer une norme payante par l’Union Européenne, là où la France n’aurait pas pu le faire.

La hiérarchie des normes, qui fait théoriquement primer la Constitution sur le droit communautaire, ne devrait toutefois pas permettre d’écarter l’application d’un texte européen imposant une norme payante. En effet, la conformité des textes de transposition à la Constitution n’est examinée qu’à l’aune des principes inhérents à l’identité́ constitutionnelle de la France. Outre qu’il n’y a pas de transposition d’un règlement communautaire, il semble peu probable que le respect d’une norme ISO payante puisse être considéré comme portant atteinte à l’identité́ constitutionnelle du pays.

Reste qu’il existe donc une asymétrie dans les pouvoirs des législateurs européen et français, le premier pouvant, de façon pragmatique, imposer le respect d’une norme payante, là où le second, à des fins de sécurité juridique, doit se l’interdire.

Transposer cette asymétrie au droit des données personnelles et de la cybersécurité conduit à retenir que des autorités européennes pourraient prescrire le respect de la norme ISO 27701 sur les systèmes de management de la protection des données, là où la CNIL ne pourrait pas le faire à l’échelon national.