- Texte visé : Texte n°2112, adopté par la commission, sur la proposition de loi, adoptée par le Sénat, encadrant l'intervention des cabinets de conseil privés dans les politiques publiques (n°366)
- Stade de lecture : 1ère lecture (2ème assemblée saisie)
- Examiné par : Assemblée nationale (séance publique)
I. – À l’alinéa 2, substituer aux mots :
« nécessitent un haut niveau de sécurité des systèmes d’information »
les mots :
« impliquent que le prestataire ait accès à des données d’une sensibilité particulière, à caractère personnel ou non, et si leur violation est susceptible d’engendrer une atteinte à l’ordre public, la sécurité publique, à la santé ou la vie des personnes ou à la protection de la propriété intellectuelle ».
II. – En conséquence, au même alinéa, supprimer la première occurrence du mot :
« soit ».
III. – En conséquence, à la fin dudit alinéa, supprimer les mots :
« qualifié conformément au référentiel établi par l’Agence nationale de la sécurité des systèmes d’information, soit de tout document équivalent d’un autre État membre de l’Union européenne attestant d’un niveau minimal de sécurité ».
L’article 18 vise à renforcer la protection des données de l’administration.
La notion de « haut niveau de sécurité » ne bénéficie pas d’une définition précise. Il convient donc de lui préférer la référence aux « données d’une sensibilité particulière », définition arrêtée dans la circulaire « cloud au centre » de la Première ministre du 31 mai 2023 et qui respecte le cadre de régulation international et européen. Elle sera précisée par décret en Conseil d’Etat.
Par ailleurs, cette obligation étant contraignante, elle doit être proportionnée à l’objet du marché et aux risques encourus estimés, qui sont donc ainsi précisés.
De même, la mention d’un « référentiel établi par l’ANSSI » ne reflète pas l’évolution et le renforcement prochain du cadre réglementaire au travers notamment de la transposition de la Directive « NIS2 » (n° (UE)2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’union, modifiant le règlement (UE) n°910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2).
La nouvelle directive mettra en œuvre un référentiel de sécurité général auquel devront se conformer un grand nombre d’acteurs au regard de leur sensibilité.
Il convient donc de ne pas multiplier les référentiels afin d’assurer la lisibilité et la bonne adoption de ces règles pour les acteurs publics et économiques et en conséquence de supprimer la mention d’une qualification des prestataires d’audit selon un référentiel établi par l’ANSSI.
En outre, le décret en Conseil d’État prévu par l’article 18 permettra de préciser les modalités techniques d’application de cet article.