Depuis quelques années, les procédures de certification se multiplient dans la législation sanitaire. Il y avait déjà eu les laboratoires de biologie médicale, les logiciels d’aide à la prescription et à la dispensation, l’hébergement de données de santé. La loi n° 2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé a poursuivi en prévoyant notamment la certification des systèmes d’information ou les services ou outils numériques médicaux et médico-sociaux (Art. L1110-4-1) et des outils désireux d’intégrer le futur Espace Numérique de Santé (Art. L1111-13 dans sa rédaction au 1er janvier 2022).
La certification est un outil avantageux pour les pouvoirs publics. Il permet d’élever le niveau de sécurité et de qualité, tout en déléguant la responsabilité du tampon « Certifié » à un tiers et en faisant peser l’essentiel des frais de la démarche sur le candidat à la certification.
Reste une problématique constante : le référentiel de certification. Deux solutions sont envisageables. La première, simple et efficace, repose sur « l’endossement » d’une norme, d’un standard, d’un code de conduite établi par un tiers. La seconde consiste à bâtir le référentiel. Elle est plus laborieuse, plus couteuse et, peut-être peu efficace, car redondante avec l’existant.
Si, en apparence, le législateur français a opté pour la construction des référentiels en interne, force est de constater que souvent, les rédacteurs de ces documents pointent directement vers des normes et standards. Certains, prudents, se bornent à les citer en tant qu’exemple – la CNIL vise ainsi le référentiel PCI-DSS dans sa recommandation du 20 juillet 2017 sur le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance – tandis que d’autres exigent ni plus ni moins le respect d’une norme. En matière de cybersécurité, les normes ISO27001 et ISO27005 sont ainsi régulièrement intégrées dans un référentiel à portée juridique.
Sauf que…
Par un arrêt du 28 juillet 2017 (n° 402752), le Conseil d’Etat a posé le principe selon lequel un texte réglementaire ne peut pas imposer le respect de normes – en l’occurrence, une norme AFNOR – lorsqu’elles sont payantes. La juridiction a été ici on ne peut plus claire :
« qu’il en résulte qu’en décidant de rendre obligatoires des normes dont l’accessibilité libre et gratuite n’était pas garantie, l’arrêté du 29 février 2016 a méconnu les dispositions du troisième alinéa de l’article 17 du décret du 16 juin 2009 ; »
Le principe d’accessibilité de la loi est un objectif à valeur constitutionnel (CC, 7 décembre 2000, Loi d’orientation pour l’outre-mer, n° 2000-435 DC), en lien direct avec le principe de sécurité juridique. Concrètement, si nul n’est censé ignorer la loi, nul ne doit avoir à payer pour la connaître.
En pratique, les normes ISO sont quasi systématiquement payantes. Tel est en tout le cas des normes ISO 27001, 27005 et 27701 (relative aux systèmes de management de la protection des données personnelles) dont les autorités françaises imposent – ou rêvent d’imposer – le respect.
Voilà qui jette un doute sérieux sur tout référentiel à valeur réglementaire exigeant le respect ou se référant à une norme payante.
Reste à savoir comment conjuguer ce franco-français avec le droit européen. A cet égard, avez-vous déjà parcouru le règlement e-IDAS ?