LE MAGAZINE DES VILLES ET DES TERRITOIRES CONNECTÉS ET DURABLES

[TRIBUNE] La loi SREN, quel impact pour les données territoriales ?

Législation

« Sécuriser et réguler l’espace numérique » (SREN) : telle est l’ambition de la loi promulguée le 21 mai 2024 et publiée au Journal officiel du 22 mai 2024.

Au travers d’un éventail de mesures concrètes et inédites, les pouvoirs publics entendent restaurer la confiance dans le digital en offrant un espace numérique plus sûr et souverain à l’ensemble des Français. Mais quel est l'impact pour les données territorales ?

Tribune rédigée par Schéhérazade Abboud, Avocate associée et Khadija Kazouz, Avocate, du cabinet Parme Avocats.

Rimg0
Khadija Kazouz et Schéhérazade Abboub du cabinet Parme Avocats.

La loi n°2024-449 visant à Sécuriser et Réguler l’Espace Numérique (ci-après « la loi SREN ») a été publiée au Journal officiel le 22 mai 2024.


Pour les besoins du présent article, et afin de revenir principalement sur le sujet des données territoriales, nous insisterons essentiellement sur les mesures relatives à la mise en œuvre du Règlement n°2022/868 portant sur la gouvernance européenne des données, « Data Governance Act » (ci-après « le DGA »), entré en vigueur le 24 septembre 2024 (1) et le renforcement du niveau de protection des données sensibles (2).


1) Comment la loi SREN prend en compte le DGA ?


La loi SREN prend en compte un cadre juridique ambitieux relatif à l’échange de données (1.1) tout en laissant de nombreuses interrogations en suspens (1.2).


1.1 :  Un cadre juridique ambitieux relatif à l’échange des données

Ce Règlement s’inscrit dans le cadre de la stratégie numérique pour l’Europe pour 2020-2030 et répond à la volonté des Etats-membres de construire un marché unique du numérique européen. Le DGA a pour objet de favoriser l’échange de données dans le secteur public et a notamment créé deux nouvelles entités, à savoir, les « intermédiaires de données », d’une part, et les « organisations altruistes », d’autre part.


La loi SREN est venue apporter les précisions suivantes, en désignant :


- l’ARCEP en tant qu’autorité compétente en matière de régulation des services d’intermédiation de données ;
- la CNIL en tant qu’autorité compétente pour l’enregistrement des organisations altruistes en matière de données.


1.2 : Une transposition minimaliste

Il est regrettable que la loi SREN se soit limitée à une transposition minimaliste du DGA alors que des précisions auraient pu être utilement apportées notamment sur le sujet des organisations altruistes. L’absence d’étude de l’impact du DGA pour les administrations en témoigne, alors même que la nouvelle entité altruiste relève sans aucun doute de leurs compétences dès lors que cette entité doit notamment :


• mener des activités altruistes en matière de données ;


• être une personne morale poursuivant des objectifs d’intérêt général ;


• exercer ses activités dans un but non lucratif.

 

2) Comment la loi SREN vient renforcer le niveau de protection des données sensibles ?


La loi SREN est la première loi française à donner une définition de la notion de donnée sensible (2.1) et ce afin d’en renforcer le niveau de protection (2.2).


2.1 : Qu’est-ce qu’une donnée sensible ?

Alors que le vocable de « données sensibles » était couramment utilisé par l’ensemble des acteurs de la donnée, l’article 31 de la loi SREN vient introduire la définition de donnée d’une « sensibilité particulière » qui s’entend désormais comme :


- les données relevant des secrets protégés par la loi au sens des articles L.311-5 et L.311-6 du Code des relations entre le public et l’administration et,


- les données nécessaires à l’accomplissement des missions essentielles de l’Etat, notamment la sauvegarde de la sécurité nationale, le maintien de l’ordre public et la protection de la santé et de la vie des personnes.


2.2 : Quel niveau de protection pour les données sensibles ?

L’inscription de la définition de « données sensibles » a pour objectif principal d’élever leur niveau de protection. A cet égard, l’article qui traite des données sensibles est situé dans le chapitre III de la loi, relatif à la protection des données stratégiques et sensibles sur le marché de l’informatique en nuage.


Désormais, les administrations de l’Etat, ses opérateurs ainsi que les groupements, lorsqu’ils ont recours à un service de cloud pour l’hébergement des données sensibles, devront respecter les critères de sécurité et de protection contre l’accès à ces données par des autorités publiques d’Etats tiers.

Le magazine

Dans Smart City Mag, retrouvez nos dossiers, enquêtes, reportages, interviews... sur les smart cities, en France comme à l'étranger.

Toutes vos formules d'abonnement donnent désormais accès aux archives numériques du magazine sous forme de liseuse et de pdf à télécharger. L'achat au numéro d'exemplaires papier vous donne également accès aux versions numériques du magazine (liseuse + pdf téléchargeable).

Contact annonceurs

Christine Doussot, directrice de clientèle
christine.doussot@smartcitymag.fr
Tél. + 33 7 69 21 82 45

RECEVOIR LA NEWSLETTER
Agenda
URBEST
Du 14 au 15 janvier 2025
Carrefour des gestions locales de l'eau
Du 22 au 23 janvier 2025
Hyvolution Paris
Du 28 au 30 janvier 2025