L'administration électronique et le Schéma National de Sécurité (ENS espagnol) vont de pair parce que l'un ne peut exister sans l'autre : lorsqu'une administration vous permet de déposer un document sur son portail, de recevoir une notification ou de consulter un dossier en ligne, elle gère des informations et des services par voie électronique, et l'ENS est le cadre légal qui garantit la sécurité de ces moyens. L'ENS est édicté en application de l'article 156 de la Ley 40/2015 et protège cinq dimensions de sécurité — confidentialité, intégrité, traçabilité, authenticité et disponibilité — pour chaque siège et service électronique. En d'autres termes : l'administration électronique est le « quoi » (dématérialiser les démarches) et l'ENS est le « comment le faire en toute sécurité ».

J'accompagne depuis des années des municipalités, des organismes publics et des entreprises prestataires de services à l'administration dans la mise en œuvre de l'ENS, et il y a une idée que je répète dans presque toutes les premières réunions : l'ENS n'est pas un caprice bureaucratique ni une norme technique isolée. C'est la conséquence logique d'avoir numérisé la relation entre le citoyen et l'administration. Dès lors que la loi vous donne le droit de vous adresser électroniquement à n'importe quelle administration, quelqu'un doit répondre du fait que cette relation ne puisse pas être manipulée, usurpée ou interrompue. Ce quelqu'un, c'est l'ENS.

Dans cet article, je vous explique comment l'ENS et l'administration électronique sont liés, d'où vient cette connexion, ce que le Schéma protège exactement dans un siège ou un registre électronique, et qui il oblige. Je le fais avec les sources normatives réelles sous les yeux — le Real Decreto 311/2022, la Ley 40/2015, la Ley 39/2015 — sans inventer d'articles, car en matière de conformité la précision n'est pas un ornement : c'est le travail.

Qu'est-ce que l'administration électronique et pourquoi a-t-elle besoin de sécurité ?

L'administration électronique est, simplement, la prestation de services publics et le traitement de procédures administratives par voie électronique plutôt que sur papier et au guichet physique. Lorsque vous demandez une subvention depuis chez vous, lorsque vous recevez une notification du fisc dans votre boîte électronique ou lorsqu'une municipalité publie un dossier sur son siège électronique, vous êtes dans le périmètre de l'administration électronique.

Son ossature juridique repose sur deux lois de 2015. La Ley 39/2015, du 1er octobre, relative à la procédure administrative commune des administrations publiques, régit la relation « vers l'extérieur » : les droits des citoyens à communiquer par voie électronique, le registre électronique, les notifications électroniques, l'identification et la signature. La Ley 40/2015, du 1er octobre, relative au régime juridique du secteur public, régit le fonctionnement « interne » et entre administrations : le siège électronique, le sceau électronique, l'échange de données et — point essentiel — habilite le Schéma National de Sécurité.

Or, dématérialiser une démarche multiplie les risques. Dans un bureau physique, falsifier un sceau, usurper l'identité d'un agent ou intercepter un document exige une présence et laisse une trace matérielle. Dans le monde électronique, ces mêmes attaques peuvent s'exécuter à distance, à grande échelle et presque sans laisser de trace en l'absence de contrôles. À quoi bon un droit à la notification électronique si n'importe qui pouvait lire votre notification, la modifier ou vous empêcher de la recevoir ? L'administration électronique n'est viable que si ses utilisateurs peuvent lui faire confiance. Et cette confiance ne se décrète pas : elle se construit grâce à des mesures de sécurité vérifiables. Tel est le rôle de l'ENS.

Quel lien y a-t-il entre l'ENS et l'administration électronique ?

ENS et administration électronique : pourquoi ils sont liés
Photo : University of Salford (CC BY 2.0)

Le lien est de moyen à fin. L'administration électronique est la fin — prestation de services et dématérialisation des démarches — et l'ENS est le moyen qui garantit que cette fin est atteinte en toute sécurité. Ce ne sont pas deux univers parallèles : l'ENS naît expressément pour sécuriser l'administration électronique.

Ce n'est pas une interprétation personnelle ; c'est inscrit dans le titre historique même du texte. Le premier Schéma National de Sécurité, approuvé par le Real Decreto 3/2010, s'intitulait littéralement « par lequel est réglementé le Schéma National de Sécurité dans le domaine de l'Administration Électronique ». Le lien est dans le nom. Le Real Decreto 311/2022 en vigueur a élargi le champ d'application à l'ensemble du secteur public, mais l'essence n'a pas changé : là où des informations sont traitées et des services prestés par voie électronique, l'ENS doit être présent.

Je le constate au quotidien. Lorsqu'une municipalité me dit « nous voulons nous conformer à l'ENS », ce qu'elle me demande en réalité, c'est : « nous voulons que notre siège électronique, notre registre et nos notifications fonctionnent sans que personne puisse les pirater, usurper ou les mettre hors service ». L'ENS est le traducteur entre cette préoccupation légitime et un ensemble de mesures concrètes, auditables et exigibles. Si vous souhaitez comprendre le cadre complet, je le développe dans mon guide complet du Schéma National de Sécurité.

L'origine commune : de la Ley 11/2007 à l'article 156 de la Ley 40/2015

Pour comprendre pourquoi l'ENS et l'administration électronique partagent le même ADN, il faut regarder en arrière. L'administration électronique est née formellement avec la Ley 11/2007, du 22 juin, relative à l'accès électronique des citoyens aux services publics. Cette loi a reconnu pour la première fois le droit des citoyens à se rapporter à l'administration par voie électronique, et son articulation a prévu deux instruments jumeaux pour rendre cela possible de façon sécurisée et interopérable :

L'ENS a été développé par le Real Decreto 3/2010 et l'interopérabilité par le Real Decreto 4/2010. C'étaient les deux faces d'une même pièce : une administration électronique qui n'est ni sécurisée ni interopérable ne sert à rien.

Lorsque la Ley 11/2007 a été abrogée et son contenu réparti entre les lois 39/2015 et 40/2015, l'ENS n'a pas disparu : il a été repositionné. Son ancrage légal est aujourd'hui l'article 156 de la Ley 40/2015, dont le paragraphe 2 établit que le Schéma National de Sécurité a pour objet de fixer la politique de sécurité dans l'utilisation des moyens électroniques et est constitué des principes de base et des exigences minimales qui garantissent de manière adéquate la sécurité des informations traitées. Ce même article 156 le désigne comme instrument pour garantir la sécurité et la protection des données à caractère personnel des systèmes adoptés par les administrations.

Pour résumer la chaîne normative sans détour : l'administration électronique et l'ENS sont nés ensemble dans la Ley 11/2007 (article 42), ils se sont développés en parallèle en 2010, et coexistent aujourd'hui dans les lois de 2015, où la 39/2015 accorde les droits au citoyen et la 40/2015 (article 156) habilite l'ENS qui protège leur exercice. Le Real Decreto 311/2022 est la pièce qui réglemente cet ENS dans le détail.

Les cinq dimensions de sécurité de l'ENS

Le cœur technique de l'ENS repose sur ses cinq dimensions de sécurité. Toutes les informations et tous les services qu'une administration gère par voie électronique sont évalués selon le préjudice que causerait la compromission de chacune de ces dimensions. De cette évaluation découlent les catégories du système (basique, moyenne ou élevée) et, avec elles, les mesures à mettre en œuvre.

Les cinq dimensions, définies dans le Real Decreto 311/2022, sont :

Ces cinq dimensions ne sont pas abstraites : elles s'appliquent à chaque élément de l'administration électronique que vous utilisez. Je les développe plus en détail dans le tableau ci-après, mais retenez l'idée : le siège que vous visitez, le registre où vous déposez vos documents et la notification que vous recevez sont — si l'administration respecte l'ENS — protégés simultanément sur ces cinq dimensions.

Comment l'ENS protège-t-il le siège et les services électroniques ?

C'est ici que la relation entre ENS et administration électronique cesse d'être théorique. Prenons les grands éléments que la Ley 39/2015 et la Ley 40/2015 mettent à votre disposition et voyons ce que l'ENS apporte à chacun d'eux.

Le siège électronique est l'adresse électronique détenue par une administration via laquelle vous vous rapportez à elle (défini à l'article 38 de la Ley 40/2015). L'ENS exige que ce siège garantisse l'authenticité — qu'il s'agisse bien du siège officiel et non d'une usurpation —, l'intégrité des informations qu'il publie et la disponibilité afin qu'il ne tombe pas en panne en période de délais administratifs.

Le registre électronique, que la Ley 39/2015 impose à toutes les administrations, reçoit et accuse réception de vos documents. L'ENS protège le fait que ce que vous déposez soit enregistré avec son horodatage, ne soit pas altéré (intégrité) et que la trace immuable de l'inscription subsiste (traçabilité).

Les notifications électroniques sont peut-être le cas le plus sensible, car des délais et des droits en dépendent. L'ENS garantit que la notification arrive intacte, que seule la personne concernée y accède (confidentialité) et que le moment exact de la mise à disposition et de l'accès est enregistré (traçabilité et authenticité).

L'identification et la signature électronique constituent la porte d'entrée à tout ce qui précède. L'ENS soutient les systèmes qui garantissent que celui qui signe est bien celui qu'il prétend être (authenticité) et que cette signature ne peut être répudiée ultérieurement.

Dans mon expérience, lorsqu'une administration comprend ce mappage, elle cesse de voir l'ENS comme une contrainte et commence à le percevoir pour ce qu'il est : la ceinture de sécurité de sa propre administration électronique. Si vous souhaitez voir comment cela se traduit dans un projet réel, je le décris sur ma page de conseil en mise en œuvre de l'ENS.

Tableau : les 5 dimensions de sécurité de l'ENS appliquées à l'administration électronique

C'est le tableau que l'on me demande le plus souvent lorsque j'explique l'ENS à des équipes issues du monde de l'administration électronique. Il relie chaque dimension abstraite du Schéma à ce qu'elle garantit concrètement, avec un exemple précis dans un siège ou un service électronique.

Dimension de l'ENS Ce qu'elle garantit Exemple dans un siège ou service électronique
Confidentialité Que seules les personnes autorisées accèdent à l'information. Votre notification électronique ne peut pas être lue par un autre citoyen ni par du personnel non habilité.
Intégrité Que l'information n'est pas modifiée sans autorisation. Le document que vous déposez au registre électronique arrive et est conservé exactement tel que vous l'avez envoyé.
Traçabilité Qu'il reste une trace de qui a fait quoi et quand. Chaque inscription au registre et chaque accès à une notification laisse une trace horodatée et immuable.
Authenticité Que l'identité de qui agit et l'origine de l'information sont garanties. La signature par certificat et le siège électronique lui-même sont vérifiables et non falsifiables.
Disponibilité Que l'information et les services sont accessibles quand on en a besoin. Le siège et le registre restent opérationnels le dernier jour du délai d'un appel à candidatures.

Qui l'ENS oblige-t-il dans le cadre de l'administration électronique ?

C'est la question qui détermine si l'ENS vous concerne ou non. Le Real Decreto 311/2022, en cohérence avec la Ley 40/2015, a un champ d'application très large. Il oblige, en substance :

Pour les entités locales, ce point est particulièrement important, car ce sont elles qui sont au plus près du citoyen et qui gèrent le plus de sièges et de registres. Si vous travaillez dans ou avec une municipalité, mon article spécifique sur l'ENS dans les municipalités et l'administration locale vous sera utile. Et si votre organisation preste des services au secteur public depuis Castilla y León ou depuis les Canaries, ce sont les deux zones où j'accompagne le plus ce type de projets.

ENS, interopérabilité et protection des données : l'écosystème complet

L'ENS ne travaille pas seul. Il fait partie d'un écosystème de normes qui font fonctionner l'administration électronique, et il convient de ne pas les confondre.

Son frère historique est le Schéma National d'Interopérabilité (ENI), réglementé par le Real Decreto 4/2010. Si l'ENS répond à la question « que ce soit sécurisé », l'ENI répond à « que les systèmes se comprennent entre eux ». Tous deux sont nés du même article 42 de la Ley 11/2007 et sont complémentaires : il ne sert à rien que deux administrations puissent échanger des données (interopérabilité) si cet échange n'est pas sécurisé, et il ne sert à rien que ce soit sécurisé si les systèmes ne peuvent pas communiquer. L'ENI lui-même renvoie à l'ENS pour tout ce qui va au-delà du strict nécessaire pour l'interopérabilité.

Il y a d'autre part la protection des données à caractère personnel. L'ENS et le RGPD ne sont pas la même chose, mais ils se renforcent mutuellement : l'article 156 de la Ley 40/2015 mentionne expressément la protection des données à caractère personnel comme l'une des finalités, et de nombreuses mesures de l'ENS (chiffrement, contrôle d'accès, journalisation des activités) sont également des mesures de sécurité des données personnelles. Respecter l'ENS vous permet d'accomplir une grande partie du travail technique requis par le RGPD, même si chacun dispose de son propre régime.

Aux côtés de l'ENS coexistent les normes internationales de sécurité, comme l'ISO 27001, qui partage la même philosophie que le Schéma, bien qu'elle soit d'adoption volontaire. De nombreuses organisations déjà certifiées ISO 27001 constatent que cela facilite grandement leur mise en conformité avec l'ENS.

De l'obligation à la pratique : comment démontrer la conformité

Se conformer à l'ENS ne consiste pas à le déclarer, mais à le démontrer. Le Schéma exige que chaque organisation évalue ses systèmes, choisisse la catégorie correspondante (basique, moyenne ou élevée), mette en œuvre les mesures de l'Annexe II applicables et, selon le cas, l'accrédite par auto-évaluation ou par certification avec audit.

La différence est importante : les systèmes de catégorie basique peuvent accréditer leur conformité par auto-évaluation, tandis que ceux de catégorie moyenne et élevée requièrent une certification formelle à l'issue d'un audit réalisé par un organisme accrédité. Ce processus, avec ses délais et ses coûts, est détaillé dans mon article sur la certification de l'ENS, son processus, ses exigences et ses coûts.

En pratique, le chemin que je recommande à toute administration ou prestataire est structuré : d'abord comprendre quelles informations et quels services électroniques vous gérez, puis les catégoriser selon les cinq dimensions, ensuite combler l'écart avec les mesures manquantes et, enfin, accréditer ce qui a été accompli. Ce n'est pas un projet de quelques jours, mais ce n'est pas non plus le monstre que beaucoup redoutent à première vue. Avec une bonne cartographie de départ, c'est tout à fait réalisable.

Questions fréquentes

Quel lien y a-t-il entre l'ENS et l'administration électronique ?

C'est un lien de moyen à fin. L'administration électronique permet de traiter des démarches et de prester des services en ligne, et l'ENS est le cadre légal qui garantit que ces moyens électroniques sont sécurisés. L'ENS est né précisément pour sécuriser l'administration électronique : le premier Schéma, le Real Decreto 3/2010, s'intitulait « dans le domaine de l'Administration Électronique ». Son ancrage aujourd'hui se trouve à l'article 156 de la Ley 40/2015.

Pourquoi l'administration électronique a-t-elle besoin de l'ENS ?

Parce que la dématérialisation d'une démarche multiplie les risques de manipulation, d'usurpation ou d'interruption du service. Sans garanties de sécurité, les droits que la Ley 39/2015 reconnaît au citoyen — recevoir des notifications, déposer des documents, s'identifier électroniquement — ne seraient pas fiables. L'ENS apporte ces garanties à travers cinq dimensions : confidentialité, intégrité, traçabilité, authenticité et disponibilité.

Quels services électroniques l'ENS couvre-t-il ?

L'ENS couvre toutes les informations et tous les services prestés par voie électronique dans son périmètre : sièges électroniques, registres électroniques, notifications électroniques, systèmes d'identification et de signature, échange de données entre administrations et, en général, tout système traitant des informations dans le cadre de l'administration électronique du secteur public.

L'ENS s'applique-t-il aux sièges électroniques ?

Oui. Le siège électronique est l'un des éléments centraux protégés par l'ENS. Le Schéma exige que le siège garantisse son authenticité (qu'il s'agisse du siège officiel et non d'une usurpation), l'intégrité des informations qu'il propose et sa disponibilité, particulièrement importante lorsque des délais administratifs sont en jeu.

L'ENS n'oblige-t-il que les administrations publiques ?

Non, pas seulement elles. Le Real Decreto 311/2022 oblige l'ensemble du secteur public, mais également les entreprises privées prestataires de services ou de solutions technologiques aux administrations lorsque, pour ce faire, elles traitent des informations ou des systèmes entrant dans le périmètre de l'ENS. De nombreux prestataires technologiques découvrent que l'ENS les concerne aussi.

Quelle est la différence entre l'ENS et le Schéma National d'Interopérabilité ?

L'ENS (Real Decreto 311/2022) garantit que les systèmes de l'administration électronique sont sécurisés ; le Schéma National d'Interopérabilité ou ENI (Real Decreto 4/2010) garantit que ces systèmes peuvent communiquer et échanger des informations entre administrations. Ils sont complémentaires et sont nés du même article 42 de la Ley 11/2007.

Comment une administration démontre-t-elle qu'elle respecte l'ENS ?

En évaluant ses systèmes, en leur assignant une catégorie (basique, moyenne ou élevée) et en mettant en œuvre les mesures correspondantes. Les systèmes de catégorie basique peuvent l'accréditer par auto-évaluation ; ceux de catégorie moyenne et élevée nécessitent une certification à l'issue d'un audit réalisé par un organisme accrédité.

Sources

Votre organisation preste des services par voie électronique et a besoin d'organiser sa mise en conformité avec l'ENS ? Contactez-moi et je vous aide à tracer le chemin. Contenu élaboré par Summum Marketing.