- Texte visé : Projet de loi, adopté par le Sénat, après engagement de la procédure accélérée, relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, n° 1112
- Stade de lecture : 1ère lecture (2ème assemblée saisie)
- Examiné par : Commission spéciale chargée d'examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité
Compléter cet article par les six alinéas suivants :
« Après l’article L. 1113‑2 du code de la commande publique, il est inséré un article L. 1113‑2‑1 ainsi rédigé :
« Art. L. 1113‑2‑1. – Application du régime de défense et de sécurité aux marchés des opérateurs d’importance vitale ;
« Les marchés publics et contrats de concession passés par des opérateurs d’importance vitale mentionnés à l’article L. 1332‑1 du code de la défense, lorsqu’ils ont pour objet des prestations, fournitures ou services présentant un lien direct avec la cybersécurité, la protection des systèmes d’information, le traitement de données sensibles ou la surveillance des flux physiques ou numériques, sont soumis aux règles applicables aux marchés de défense ou de sécurité nationale définies au titre II. du livre III. du code de la commande publique.
« À ce titre, les pouvoirs adjudicateurs peuvent restreindre la participation aux seules entreprises établies dans un État membre de l’Union européenne ou de l’Espace économique européen, ou dans un État ayant conclu avec la France un accord bilatéral de sécurité garantissant un niveau équivalent de protection des intérêts essentiels de sécurité.
« Le recours à cette faculté doit être justifié dans les documents de la consultation, par une analyse des risques pesant sur l’intégrité, la confidentialité ou la continuité des activités de l’opérateur concerné.
« Un décret en Conseil d’État précise les conditions d’application du présent article, notamment les critères de sécurité permettant d’activer cette faculté. »
Certains Opérateurs d’importances vitales (OIV) relèvent ipso facto des marchés de défense et de sécurité, mais cet état n’est pas encore juridiquement clarifié. En effet, il est possible d’écarter un prestataire non européen dans un marché de défense ou de sécurité nationale, mais cela suppose un arbitrage politique, parfois contra-legem vis-à-vis de Bercy.
Cet amendement vise donc à aligner explicitement les marchés publics et les concessions passés par les opérateurs d’importance vitale (OIV) sur le régime applicable aux marchés de défense ou de sécurité nationale. Il permet ainsi de garantir un niveau de protection équivalent pour les infrastructures critiques de la Nation.
En effet, certains marchés confiés à des OIV (tels que les gestionnaires d’aéroports internationaux, d’infrastructures portuaires, de réseaux d’eau ou d’énergie, etc.) peuvent porter sur des équipements ou services aussi sensibles que ceux des forces armées ou des ministères régaliens. C’est notamment le cas des systèmes de détection et d’analyse automatisée des bagages dans les aéroports, où des fournisseurs extra-européens (notamment Chinois) détiennent aujourd’hui une position dominante.
Cette dépendance crée un risque, par la possibilité d’exfiltration de données critiques, ou de captation biométrique. En alignant le régime juridique applicable sur celui de la défense, le présent article permet aux OIV d’écarter légalement les prestataires étrangers non sécurisés, tout en garantissant la conformité au droit européen par une justification fondée sur les intérêts essentiels de sécurité (article 346 TFUE).