Peut-être avez-vous déjà lu quelques lignes sur cet arrêt Public.Resource.Org, rendu hier par la CJUE (CJUE, 5 mars 2024, n° C‑588/21).
Dans la négative, en synthèse, la Cour a jugé qu’aucun texte juridique ne peut rendre obligatoire, directement ou indirectement, une « norme ». Par norme, il faut entendre un document élaboré par un organisme privé, se voulant « l’étalon-or » du sujet et commercialisé. D’aucuns diraient même vendus très cher.
Des exemples? Prenez l’HDS. Le référentiel de certification impose le respect de la norme ISO27001. La version 2022 est proposée par AFNOR Editions pour la modique somme de 297,00 euros HT. Le référentiel d’accréditation, lui, impose le respect de la 17021-1, au tarif de 236,64 euros HT. Même chose pour le référentiel Force Probante, qui vise la 19005.
Et quel aurait été… le juste prix pour l’accès au droit? 0 euros.
La jurisprudence s’affine, en droit de l’Union Européenne, depuis 2022 (CJUE, 22 février 2022, n° C‑160/20). Mais la solution était déjà clairement posée en France depuis 2017:
« qu’il en résulte qu’en décidant de rendre obligatoires des normes dont l’accessibilité libre et gratuite n’était pas garantie, l’arrêté du 29 février 2016 a méconnu les dispositions du troisième alinéa de l’article 17 du décret du 16 juin 2009 ; » CE, 28 juillet 2017, n° 402752
L’accès au droit est libre et gratuit.
Ok, mais en pratique? En pratique, cela montre que la « forteresse HDS » repose sur des bases bien faible.
Pire, cela compromet tout l’édifice « normatif » de l’Agence du Numérique en Santé. Prenez le référentiel opérateur pour les messageries sécurisées de santé. Il impose la certification HDS. Mais si le référentiel devait être déclaré nul, quel avenir pour la MSS?
La robustesse d’une chaine dépend de son maillon le plus faible. Et là, en l’occurrence, le chateau de cartes risque d’être emporté par la bourrasque de l’UE.
Vos options? Si vous êtes en cours de certification, j’aurais tendance à préconiser de continuer. Si vous projetez de le faire, n’annulez pas cet objectif. A supposer que les autorités tirent les conséquences de l’arrêt de la CJUE, elles publieront vraisemblablement un « patch » pour colmater la faille.
Des interrogations sur l’impact de cette décision sur vos projets? Besoin d’étudier vos options, si le château s’effondrait effectivement? N’hésitez pas à nous contacter, Damien et moi.