Il existe une idée très répandue selon laquelle le Schéma National de Sécurité (ENS espagnol) serait une affaire exclusivement réservée aux mairies, aux ministères et aux conseils généraux. C'est une demi-vérité qui exclut de plus en plus d'entreprises. Depuis l'entrée en vigueur du Décret Royal 311/2022, l'ENS s'applique pleinement à une grande partie du tissu entrepreneurial privé, bien que pas à toute entreprise ni dans toutes les circonstances. Il convient de savoir précisément où se situe la limite.
L'ENS s'applique-t-il à une entreprise privée ? Oui, mais uniquement dans des cas précis : lorsque vous fournissez des services ou des solutions au secteur public par voie contractuelle (article 2.3 du RD 311/2022), lorsque vous faites partie de la chaîne d'approvisionnement d'un contractant public, ou lorsque vous êtes une entité privée liée ou dépendante de l'Administration. En dehors de ces cas, l'ENS n'oblige pas directement une entreprise privée.
L'ENS ne concerne pas uniquement l'Administration : où commence le secteur privé
Le point de départ est l'article 2 du Décret Royal 311/2022, qui régit le champ d'application de l'ENS. Son paragraphe 1 indique que l'ENS s'applique « à l'ensemble du secteur public, dans les termes définis à l'article 2 de la Loi 40/2015 ». Jusqu'ici, la lecture classique : Administration générale de l'État, communautés autonomes, collectivités locales, universités publiques et le secteur public institutionnel.
La clé pour le secteur privé réside dans le paragraphe 3 du même article, que beaucoup négligent. Sa rédaction est sans ambiguïté : ce décret royal « s'applique également aux systèmes d'information des entités du secteur privé, y compris l'obligation de disposer de la politique de sécurité visée à l'article 12, lorsque, conformément à la réglementation applicable et en vertu d'une relation contractuelle, elles fournissent des services ou des solutions aux entités du secteur public pour l'exercice par celles-ci de leurs compétences et pouvoirs administratifs ».
Autrement dit : l'ENS n'a pas été conçu pour réguler l'entreprise privée en tant que telle, mais il l'attire dans son orbite lorsque cette entreprise devient un maillon de la chaîne qui soutient un service public numérique. L'obligation n'est pas générique, elle est contextuelle. C'est pourquoi il est si important de distinguer les cas où l'ENS s'applique réellement de ceux où il ne s'applique pas, car exiger la conformité ENS là où ce n'est pas requis est aussi coûteux que l'ignorer là où elle est nécessaire. Pour avoir une vue d'ensemble du cadre, partez du guide complet du Schéma National de Sécurité.
Quand une entreprise privée est-elle soumise à l'ENS ?
Les cas pratiques se réduisent à trois grandes voies d'entrée, plus un quatrième cas limite qu'il convient de surveiller.
| Cas | Base juridique | L'ENS s'applique-t-il ? | Ce qu'il exige en pratique |
|---|---|---|---|
| Prestataire qui fournit des services ou des solutions à une entité du secteur public (hébergement, SaaS, développement, support, traitement de données administratives…) | Art. 2.3 RD 311/2022 | Oui, directement | Politique de sécurité (art. 12), conformité à l'ENS et Déclaration ou Certification de Conformité selon la catégorie du système (basique, intermédiaire ou haute). |
| Sous-traitant au sein de la chaîne d'approvisionnement d'un titulaire d'un marché public | Art. 2.3 RD 311/2022 (dernier alinéa) | Oui, « dans la mesure nécessaire » selon l'analyse des risques | Le titulaire transfère les exigences de l'ENS à ses sous-traitants ; conformité proportionnelle au risque apporté par le maillon. |
| Entité privée liée ou dépendante d'une Administration (société commerciale publique, fondation du secteur public, consortium) | Art. 2.2 b) Loi 40/2015 + art. 2.1 RD 311/2022 | Oui, en tant que partie du secteur public institutionnel lorsqu'elle exerce des prérogatives administratives | Traitement équivalent à celui de l'Administration de rattachement : politique de sécurité, mise en conformité et certification. |
| Opérateur de secteur réglementé (services essentiels, financier, télécommunications) sans marché public | NIS2, DORA, réglementation sectorielle (renvoi) | Indirect : l'ENS peut être exigé comme cadre de référence ou équivalent | Cadre de sécurité sectoriel qui, dans certains cas, prend l'ENS comme référence ou l'exige par renvoi normatif. |
| Entreprise privée sans lien avec le secteur public | — | Non, l'ENS n'oblige pas directement | Conformité volontaire ; la voie naturelle est la norme ISO/IEC 27001 comme système de gestion de la sécurité reconnu. |
Cas 1 : prestataires fournissant des services au secteur public
C'est, de loin, la voie d'entrée la plus fréquente. Si votre entreprise signe un contrat avec une entité publique pour fournir un service ou une solution qui soutient l'exercice de ses compétences et pouvoirs administratifs, l'ENS vous est directement applicable. Il n'est pas nécessaire de traiter des informations classifiées ni des données particulièrement sensibles : il suffit que le système d'information utilisé pour fournir ce service soutienne, totalement ou partiellement, l'activité administrative du client public.
Les exemples abondent : une entreprise qui héberge dans son cloud le gestionnaire de dossiers d'une mairie ; un développeur qui maintient le guichet électronique d'une conseillérie régionale ; une société de support qui administre la messagerie professionnelle d'un organisme public ; un prestataire SaaS de facturation, de paie ou de dossiers de santé pour une entité publique. Dans tous ces cas, les systèmes qui soutiennent le service entrent dans le champ d'application de l'ENS.
Le paragraphe 3 lui-même ajoute une obligation expresse et minimale pour le prestataire : disposer de la politique de sécurité de l'article 12, qui dans ces entités « sera approuvée par l'organe détenant les plus hautes compétences exécutives ».
Comment l'ENS parvient-il aux entreprises via les cahiers des charges des marchés publics ?
Le mécanisme concret par lequel l'ENS s'impose à une entreprise privée est la commande publique. Les cahiers des clauses administratives ou techniques des marchés conclus par les entités du secteur public « prévoiront toutes les exigences nécessaires pour assurer la conformité à l'ENS des systèmes d'information sur lesquels reposent les services fournis par les contractants, notamment la présentation des Déclarations ou Certifications de Conformité à l'ENS correspondantes ».
Pour de nombreuses entreprises, la conséquence opérationnelle est considérable : sans conformité ENS, il est impossible de soumissionner à certains marchés. La conformité cesse d'être un atout « nice to have » pour devenir une condition d'accès au marché public.
Cas 2 : la chaîne d'approvisionnement du contractant
L'article 2.3 se conclut par une précaution qui étend notablement le champ d'application : « Cette précaution s'étendra également à la chaîne d'approvisionnement desdits contractants, dans la mesure nécessaire et conformément aux résultats de l'analyse des risques correspondante ». Si vous êtes sous-traitant, fournisseur d'un fournisseur, ou si vous apportez un composant que le titulaire intègre dans ce qu'il livre au client public, vous pouvez vous retrouver soumis aux exigences de l'ENS.
Que sont les entités liées ou dépendantes ?
Le troisième cas ne découle pas d'un contrat, mais d'un contrôle organique. Les entités du secteur public institutionnel comprennent des entités de droit privé — sociétés commerciales d'État, régionales ou locales, fondations du secteur public, consortiums — qui, malgré leur forme juridique privée, sont contrôlées par l'Administration. Une société commerciale publique de distribution d'eau, de transport ou de logement, ou une fondation dépendante d'une conseillérie, relève du champ d'application de l'ENS au même titre que tout organisme public.
L'ENS concerne-t-il les secteurs réglementés ?
Le quatrième cas est plus diffus. Des textes tels que la Directive NIS2 (cybersécurité des services essentiels et numériques) ou le Règlement DORA (résilience opérationnelle numérique du secteur financier) imposent leurs propres obligations de sécurité. Dans ces cas, l'ENS intervient comme cadre de référence ou par renvoi normatif.
ENS ou ISO 27001 : ce dont votre entreprise privée a réellement besoin
L'ENS est un cadre obligatoire d'origine légale lorsque les cas décrits ci-dessus sont réunis ; la norme ISO 27001 est un standard volontaire et international. Pour une entreprise privée sans lien avec le secteur public, l'ISO 27001 est la voie logique. Pour une entreprise qui entre dans le champ d'application de l'ENS, les deux cadres partagent une partie importante de contrôles.
Comment anticiper : étapes pour une entreprise privée
- Déterminez votre situation. Vérifiez si vous êtes prestataire direct, maillon d'une chaîne d'approvisionnement, entité liée ou dépendante, ou opérateur d'un secteur réglementé.
- Identifiez les systèmes concernés. Uniquement les systèmes d'information qui soutiennent le service fourni au secteur public.
- Catégorisez le système. Basique, intermédiaire ou haute.
- Approuvez votre politique de sécurité. Obligation expresse de l'article 12.
- Mettez-vous en conformité et démontrez-la. Obtenez la Déclaration ou la Certification de Conformité.
Questions fréquentes
L'ENS s'applique-t-il aux entreprises privées ?
Oui, mais pas à toute entreprise privée. L'article 2.3 du RD 311/2022 l'applique lorsque, en vertu d'une relation contractuelle, elles fournissent des services ou des solutions au secteur public. Il concerne également la chaîne d'approvisionnement et les entités privées liées ou dépendantes de l'Administration.
Quand une entreprise privée est-elle soumise à l'ENS ?
Dans trois cas principaux : lorsqu'elle est prestataire direct d'une entité publique (art. 2.3) ; lorsqu'elle fait partie de la chaîne d'approvisionnement d'un contractant public ; et lorsqu'elle est une entité privée liée ou dépendante de l'Administration.
Que sont les entités liées ou dépendantes ?
Ce sont des organismes contrôlés par une Administration — notamment les sociétés commerciales publiques, les fondations du secteur public ou les consortiums — intégrés dans le secteur public institutionnel conformément à l'article 2 de la Loi 40/2015.
L'ENS concerne-t-il les secteurs réglementés ?
Pas directement. Cependant, des textes tels que NIS2 ou DORA imposent des obligations de sécurité qui se recoupent avec l'ENS, et certaines exigences sectorielles ou cahiers des charges prennent l'ENS comme cadre de référence.
Sources
- Décret Royal 311/2022, du 3 mai — article 2. BOE-A-2022-7191
- Loi 40/2015, du 1er octobre — article 2. BOE-A-2015-10566
- Loi 9/2017, du 8 novembre, relative aux marchés publics. BOE-A-2017-12902
- Centre Cryptologique National — Portail ENS. ens.ccn.cni.es
Contenu élaboré par Summum Marketing pour angelortegacastro.com.