SREN
En breve
La ley francesa de 2024 que regula el espacio digital. En particular, obliga al Estado a alojar sus datos sensibles en servicios en la nube que cumplan con el máximo nivel de seguridad.
▶ Definición precisa
Ley de 21 de mayo de 2024 destinada a garantizar la seguridad y regular el espacio digital, que transpone varios textos europeos e incorpora disposiciones nacionales. Su artículo 31 obliga a las administraciones y a sus operadores a recurrir a una oferta en la nube certificada como SecNumCloud para alojar datos de especial sensibilidad, lo que, de hecho, reserva una parte de la contratación pública en la nube a los proveedores certificados por la ANSSI.
Nuestro análisis
La ley SREN, promulgada el 21 de mayo de 2024, es un texto de amplio alcance que aborda la protección de los menores en Internet, la lucha contra los contenidos ilícitos, la regulación de los juegos con objetos digitales monetizables y la regulación del mercado de la nube. Esta ley transpone al ordenamiento jurídico francés varios reglamentos europeos, entre ellos el Reglamento sobre servicios digitales y el Reglamento sobre mercados digitales, al tiempo que añade disposiciones específicas para Francia. El capítulo dedicado a la nube es el que interesa directamente a los directivos que deben decidir sobre sus opciones de alojamiento.
El punto más determinante para el sector público es el artículo 31. Este obliga a las administraciones del Estado, a sus organismos y a sus operadores a recurrir a una oferta en la nube con la certificación SecNumCloud cuando confíen a un tercero el alojamiento de datos de especial sensibilidad. El alcance práctico es claro: en este ámbito, la contratación pública en la nube se limita a los prestadores que cuenten con la certificación expedida por la ANSSI, quedando excluido cualquier proveedor no certificado, independientemente de sus argumentos comerciales o técnicos.
Sin embargo, es necesario precisar lo que el texto no hace. La obligación se refiere a los datos sensibles del ámbito público, no al conjunto de los datos públicos ni a los datos de las empresas privadas, que siguen siendo libres de elegir. La ley tampoco crea una nueva certificación: se basa en SecNumCloud, de la que hereda tanto sus puntos fuertes como sus puntos débiles. Establece un requisito de adquisición, sin garantizar por sí sola que el uso que se haga de los mismos sea realmente soberano.
El artículo 31 ilustra el desplazamiento del debate de la soberanía jurídica hacia la soberanía industrial. Incorporar una obligación en la ley crea una demanda cautiva, pero no genera la oferta: aún se necesitan actores capaces de prestar estos servicios a gran escala, de forma duradera y con un nivel de madurez comparable al de los proveedores mundiales. Una protección jurídica sólida que se apoyara en un tejido industrial insuficiente seguiría siendo una soberanía sobre el papel. Este es el gran reto de la próxima década, y la razón por la que la SREN no debe leerse de forma aislada, sino como una señal de política industrial tanto como una norma jurídica.
Ver también