- Texte visé : Proposition de loi, adoptée par le Sénat, encadrant l'intervention des cabinets de conseil privés dans les politiques publiques, n° 366
- Stade de lecture : 1ère lecture (2ème assemblée saisie)
- Examiné par : Commission des lois constitutionnelles, de la législation et de l'administration générale de la République
Rédiger ainsi l’alinéa 2 :
« II. – Lorsque l’objet ou les caractéristiques du marché nécessitent un haut niveau de sécurité des systèmes d’information, l’administration bénéficiaire peut imposer comme condition de participation la transmission par le candidat des conclusions d’un audit de sécurité réalisé par un tiers prestataire d’audit de sécurité des systèmes d’information qualifié conformément au référentiel établi par l’Agence nationale de la sécurité des systèmes d’information, ou de tout document équivalent d’un autre État membre de l’Union européenne, attestant d’un niveau minimal de sécurité. »
L’article 18 impose aux cabinets de conseil souhaitant participer à la passation d’un contrat de la commande publique de systématiquement produire les conclusions d’un audit de sécurité, attestant d’un niveau minimal de sécurité, réalisé conformément à un référentiel de sécurité établi par l’autorité nationale de la sécurité des systèmes d’information (ANSSI). Cette disposition vise à renforcer la protection des données de l’administration.
Toutefois, en l’état de sa rédaction, l’article 18 n’est pas compatible avec les principes issus des directives 2014/24/UE et 2014/25/UE relatives aux marchés publics.
En effet, l’article 58 de la directive 2014/24/UE (et, par renvoi, l’article 80 de la directive 2014/25/UE) prévoit que toutes les conditions de participation imposées aux opérateurs économiques doivent être limitées « à celles qui sont propres à garantir qu’un candidat ou un soumissionnaire dispose de la capacité juridique et financière ainsi que des compétences techniques et professionnelles nécessaires pour exécuter le marché à attribuer. Toutes les conditions sont liées et proportionnées à l’objet du marché ».
Ce lien nécessaire entre conditions de participation et objet du marché, comme l’exigence de proportionnalité, ont encore été récemment rappelés par le Conseil d’État (CE, 12 avril 2023, Office national des forêts, req. n° 466740).
Or, en visant l’ensemble des marchés pour lesquels un prestataire de conseil est susceptible de déposer une candidature, l’article 18 de la proposition de loi inclut nécessairement des marchés n’exigeant aucunement que soit spécifiquement garantie la sécurité des systèmes d’information.
S’il est incontestable que certains marchés exigent un haut niveau de sécurité des systèmes d’information, il convient de réserver à ceux-là la production des conclusions d’un audit de sécurité.
Par ailleurs, l’annexe XII de la directive 2014/24/UE liste, notamment, les éléments acceptés au titre de la preuve des capacités techniques des opérateurs techniques. À cet égard, est entre autres visé comme moyen de preuve, le contrôle effectué « par un organisme officiel compétent du pays dans lequel le fournisseur ou le prestataire de services est établi » – si bien qu’il est indispensable que soient acceptées les conclusions d’audit réalisé par un prestataire qualifié conformément à un référentiel établi non seulement par l’ANSSI, mais également tout document équivalent d’un autre État membre de l’Union européenne.