— 1 —

Audition commune de M. Stéphane de la Rosa, professeur de droit public à l’Université Paris-Est Créteil, de Me Thierry Dal Farra, avocat associé du cabinet UGGC Avocats, et de M. François Benchendikh, maître de conférence en droit public à Sciences Po Lille

La séance est ouverte à 9 heures 30.

Présidence de M. Jean-Luc Warsmann, président.

M. le président Jean-Luc Warsmann. Notre mission d’information achève aujourd’hui son cycle d’auditions consacrées à la commande publique par une table ronde rassemblant plusieurs juristes. Nous avons entendu ces dernières semaines des acteurs privés et publics. Il nous semble aujourd’hui important de parcourir le champ des possibles, l’objectif étant de mieux protéger et promouvoir la souveraineté numérique aux niveaux national et européen.

M. Philippe Latombe, rapporteur. J’évoquerai en introduction trois sujets. Premièrement, je souhaiterais que vous présentiez brièvement le droit de la commande publique et ses principales évolutions ces dernières années. Un certain nombre d’initiatives ont été prises pour moderniser la commande publique. Je pense, à la fois, au plan de transformation numérique engagé pour la période 2017-2022, à la loi d’accélération et de simplification de l’action publique du 7 décembre 2020 (loi ASAP), et aux mesures prises pour encourager le recours à davantage de solutions innovantes. Quel regard portez-vous sur ces éléments ? En second lieu, quelles sont, selon vous, les évolutions envisageables ou souhaitables du droit de la commande publique, afin de promouvoir, par son truchement, notre souveraineté numérique ? J’aimerais en particulier savoir s’il existe déjà des outils permettant de favoriser l’achat par des acteurs publics de matériels et de logiciels souverains. Si tel n’est pas le cas, quelles devraient être les caractéristiques d’un nouveau régime juridique allant dans ce sens, en conformité avec le droit européen ? Nous sommes ouverts à toutes vos propositions à cet égard. Enfin, j’aimerais que vous vous exprimiez plus globalement quant à l’influence des règles actuelles de la commande publique sur la capacité des acheteurs publics à prendre des risques dans leurs pratiques d’achats. La semaine dernière, si le directeur interministériel du numérique, M. Nadi Bou Hanna, nous a indiqué que le code de la commande publique pouvait être « désincitatif », la direction des achats de l’État ne semblait pas tout à fait en accord. Partagez-vous ce constat ? Des modifications sont-elles envisageables pour lever les obstacles qui semblent exister sur ce sujet ?

Pr Stéphane de La Rosa, professeur de droit public à l’Université Paris-Est Créteil. Les enjeux de souveraineté numérique nous obligent à réfléchir à l’adéquation des outils actuels de commande publique au besoin d’autonomie stratégique en matière de commande publique et de souveraineté. Ces enjeux croisent bien entendu l’évolution du droit de la commande publique, dans une perspective à la fois nationale et européenne.

L’articulation entre le droit de la commande publique et les activités numériques est essentielle. Le numérique est omniprésent dans de nombreux marchés publics de fourniture de matériels informatiques, de logiciels et de systèmes d’information. Nous saisissons également le numérique comme lot ou comme composante de marchés globaux. Nous le trouvons enfin dans nos contrats de concessions pour les transports ou la mobilité. L’omniprésence du numérique permet de prendre conscience de notre situation de forte dépendance vis-à-vis des géants du numérique ou d’États tiers. Cette dépendance s’illustre dans la rédaction de certains avis de marché. Par exemple, nous observons sur la base en ligne des avis de marché européens que des acheteurs demandent des solutions uniquement Microsoft ou bien des logiciels précis. La rédaction d’avis de marché peut poser des problèmes de spécifications techniques ou même de rupture d’égalité.

Nous avons également pu observer cette dépendance dans le Health Data Hub, le grand contrat par lequel le ministère de la Santé a confié à Microsoft, sans véritable appel d’offres, le soin de stocker des données de santé, le risque étant que ces données soient transférées aux États-Unis. Cela s’est fait en méconnaissance de la jurisprudence Schrems de la Cour de justice, qui a indiqué qu’il n’existait pas de sécurité totale des données pour les usagers européens, si celles-ci sont transférées aux États-Unis.

Afin de limiter la situation de dépendance, réelle, vis-à-vis des grands acteurs du numérique, il existe déjà un certain nombre d’outils, mais ils sont sans doute mal ou insuffisamment exploités. Premièrement, les acheteurs publics pourraient être accompagnés dans la rédaction des clauses d’appel d’offres et des spécifications techniques. Ce travail devrait être mené pour tous les marchés numériques ou informatiques. Il serait également souhaitable d’affiner la rédaction des conditions d’exécution du marché. Par exemple, aux termes de l’article L. 2112-4 du code de la commande publique, l’acheteur peut exiger une localisation de tout ou partie du marché sur le territoire des États de l’Union européenne, afin de prendre en compte, notamment la sécurité des informations ou des approvisionnements. Ces outils sont peut-être mal connus, mais ils existent et peuvent guider une approche plus fine des acheteurs publics en matière de souveraineté numérique. Il existe également des outils de droit permettant de défendre une préférence communautaire pour certains achats. Ils se limitent aux secteurs en réseaux, c’est-à-dire les marchés d’infrastructures dans les domaines de l’eau, de l’énergie et des transports. Les marchés sont conclus par des entités adjudicatrices. Il est possible, sur le fondement du droit européen, de faire valoir un droit de préférence pour les offres européennes en excluant des offres qui ne seraient pas composées à plus de 50 % de produits ou de services européens. Ce système est intéressant, mais il ne peut être mis en œuvre que si le soumissionnaire, issu d’un État tiers, n’est pas partie à l’accord sur les marchés publics de l’OMC ou n’est pas partie à un accord bilatéral qu’aurait conclu l’Union européenne et qui donnerait un droit similaire d’accès préférentiel au marché.

Si ces outils existent, force est de reconnaître qu’ils demeurent assez limités. Cela incite les législateurs nationaux, dont la France, à s’engager dans l’élaboration de solutions strictement nationales, afin de privilégier les opérateurs internes du numérique. Tel est le cas de la loi ASAP du 7 décembre 2020 qui prévoit un mécanisme de relèvement des seuils à 100 000 euros jusqu’en 2022, ainsi que des dispenses de publicité et de mise en concurrence. Justifiées par un motif d’intérêt général, ces dispositions permettent d’attribuer directement le marché et de favoriser ainsi certains opérateurs. Ces mesures sont intéressantes, car elles sont rapidement applicables par les acheteurs. Suivant ce dispositif, il est possible de privilégier un opérateur européen du numérique. Néanmoins, je ne suis pas tout à fait certain qu’il soit conforme au droit européen de la commande publique. L’interprétation que la Cour de justice fait du principe de transparence implique des mesures de publicité et de mise en concurrence pour des marchés qui présentent un intérêt transfrontalier certain. Par exemple, s’agissant d’un marché de 100 000 euros localisé à Lille ou à Strasbourg, je ne sais pas si ce dispositif passerait avec succès le filtre de la jurisprudence européenne. Cela montre qu’on se situe à la limite de ce qu’on peut faire par rapport au droit européen avec des réponses qui seraient strictement nationales en la matière.

À partir de ces observations, il est nécessaire de mieux penser à l’échelle européenne un système de priorité en faveur d’opérateurs européens dans les marchés publics, en particulier dans le numérique. Comment et par quelles voies ? Tout d’abord, il convient d’engager une réflexion sur les conséquences de l’appartenance à l’accord sur les marchés publics (AMP) conclu dans le cadre de l’OMC. Je rappelle que les règles de calcul des seuils sont issues de l’AMP, qui est révisé tous les deux ans par référence à la valeur des droits de tirage spéciaux. Ces variations de seuils sont ensuite reprises par la Commission, puis reprises par les États membres pour le calcul de leurs seuils de passation. Il s’agit donc bien d’un instrument qui nous lie quant à ces questions de seuils. Il nous lie également concernant la clause d’exigence de la nation la plus favorisée, qui suppose, en application de l’accord, que nous donnions la même préférence aux opérateurs français, européens ou tiers, dès lors qu’on a conclu l’AMP ou un accord bilatéral reprenant des stipulations identiques. Engager une réflexion sur l’AMP me semble d’autant plus nécessaire que l’administration Biden vient de réactiver le Buy American Act qui prévoit un système de préférence aux entreprises américaines sous les seuils issus de l’AMP. Il permet également un achat préférentiel de biens à plus de 50 % d’origine américaine. Le Buy American Act pourrait également se déployer sous les seuils formalisés issus de l’AMP. Dans sa présentation du décret présidentiel diffusée sur le site de la Maison-Blanche depuis le 25 janvier, la nouvelle administration américaine indique clairement qu’elle souhaite réengager une négociation relative à l’AMP sur la question de la préférence interne. Ce champ doit donc être investi par le législateur français et par les institutions européennes.

La deuxième voie concerne l’extension du régime de préférence des produits à plus de 50 % d’origine européenne, que j’ai présenté dans mon rapport. Pourquoi ne pas étendre ce dispositif à l’ensemble des marchés publics au lieu de le limiter aux secteurs en réseaux ? Cette voie ne pourra être suivie qu’en concordance avec une révision de l’AMP.

En troisième lieu, la Commission a conçu des systèmes de réciprocité par rapport aux États tiers. Une proposition a été émise en 2012, une deuxième en 2016. Un livre blanc est paru sur les distorsions de concurrence étrangère. Aucun texte précis ne détermine aujourd’hui si nous pourrions fermer nos marchés en cas de concurrence déloyale d’États tiers. Ce thème pourrait être approfondi.

En ce qui concerne les marchés innovants, le système de 2018 pourrait être une bonne solution, mais les acheteurs ne se le sont pas pleinement approprié, certains craignant la requalification des marchés innovants en marchés classiques de la commande publique, avec le risque de contentieux que cela entraînerait. En tout cas, une réflexion devra être menée sur l’usage de ce dispositif avec le partenariat d’innovation issu des directives et qui peut également permettre des marchés innovants. Le dispositif pourrait éviter un effet de dispersion.

M. François Benchendikh, maître de conférences en droit public à Sciences Po Lille. La situation venant d’être décrite à l’échelle européenne, je porterai mon analyse au niveau national. Le droit de la commande publique se trouve formalisé dans un code établi en avril 2019, qui soulève certaines questions concernant les outils informatiques. Le droit de la commande publique a été longtemps instable. Plusieurs codes se sont succédé, en 2001, en 2004, puis en 2006, ce qui illustre le caractère difficile à appréhender de ce droit. Lorsque nous discutons avec des chefs d’entreprise, certains disent même qu’ils ne souhaitent plus répondre à un appel d’offres, car le coût de compréhension de la matière juridique, le temps que cela représente, rapportés à la faible chance d’obtenir l’offre, peuvent s’avérer dissuasifs. Il est important de garder à l’esprit que ce droit est susceptible d’évoluer souvent.

La seconde caractéristique de ce droit est d’être paradoxal. D’un côté, il énonce des principes fondamentaux rappelés à la fois par la jurisprudence de la Cour de justice, par le Conseil d’État et par le Conseil constitutionnel. Ce sont notamment les principes d’efficacité de la commande publique, de la protection et de la bonne utilisation de la donnée publique. Les notions de transparence et d’égalité de traitement sont également défendues. De l’autre, le droit de la commande publique énonce des éléments d’une grande précision concernant les délais ou les seuils qu’il est indispensable de connaître, lorsqu’on répond à un appel d’offres. L’écart des grands principes aux détails concrets requiert une attention particulière.

Un premier élément essentiel est l’information des agents publics et des entreprises innovantes. Leurs capacités à concevoir et à structurer un cahier des charges, à rédiger des clauses, à déposer une offre en relation avec l’objectif du marché, sont déterminantes. Lorsqu’une commune de 5 000 habitants cherche à se doter d’un outil informatique innovant, la difficulté est de trouver des agents publics capables de formaliser l’offre. L’accompagnement des maîtres d’ouvrage publics est donc une caractéristique importante. Les observatoires régionaux de la commande publique sont des structures intéressantes. Ils peuvent à la fois accompagner les collectivités et faire office de cellules de réflexion. Les chambres des métiers et les chambres de commerce et d’industrie peuvent également mener des travaux sur le sujet. L’enjeu est la capacité à intervenir au sein du territoire.

Le deuxième élément important est la capacité des services de l’État. Depuis quelques années, ils sont structurés en de nouvelles directions, telles que la direction interministérielle du numérique (DINUM). L’État est détenteur d’une expertise poussée qui doit être sollicitée vis-à-vis des marchés publics.

En troisième lieu, il convient de détailler la relation entre la souveraineté numérique et la notion d’économie circulaire. Il est très important de pouvoir innover sur les territoires à ce niveau. Par exemple, l’hôpital de Metz conduit une réflexion sur la chaleur numérique. On peut également s’intéresser au recyclage des appareils électroniques. La capacité à localiser des entreprises innovantes sur le territoire national me semble déterminante.

Les différents plans de l’État, tels que le plan quantique annoncé par le chef de l’État ou le plan France très haut débit, offrent la possibilité d’obtenir des budgets significatifs pour avancer sur ces questions. Enfin, les centres de données (data centers) publics, qui permettent de localiser une information numérique sur le territoire national ou européen, sont un moyen pour les entreprises françaises ou européennes d’obtenir des marchés. Pour des raisons de sécurité publique, la maîtrise du stockage par les services de l’État, les universités et les établissements publics hospitaliers, est fondamentale. Il est important de pouvoir exiger que les données demeurent sur le territoire national ou européen.

Enfin, le Buy European Act est un enjeu crucial qui doit être appréhendé avec l’AMP au sein de l’OMC. L’alternative est soit de fermer quelques portes aux entreprises américaines et chinoises, soit de se montrer plus diplomate et d’inviter les États tiers à accueillir favorablement les outils numériques européens et nationaux.

Me Thierry Dal Farra, avocat associé du cabinet UGGC Avocats. Je souscris pleinement à l’analyse juridique et aux préconisations qui viennent d’être formulées. J’exposerai pour ma part le point de vue du praticien. J’ai accompagné des maîtres d’ouvrage informatique importants, notamment le projet Chorus, le projet d’opérateur national de paye, l’informatisation de l’AP-HP et les systèmes d’information clinique. J’accompagne aujourd’hui l’agence du numérique en santé. Mon point de vue est plutôt celui des grands maîtres d’ouvrage informatiques.

L’objectif de souveraineté numérique soulève deux grandes questions. La première, d’ordre économique, consiste à se demander comment l’achat public peut contribuer à l’émergence d’une offre économique orientée vers l’autosuffisance et qui permette aux acheteurs publics, lorsqu’ils lancent de grands projets informatiques, d’accéder à une offre française ou européenne crédible face à celle des grands opérateurs ou éditeurs américains. L’achat public peut aider à atteindre l’objectif économique d’autosuffisance, mais de manière assez limitée, car comme l’a rappelé le Pr Stéphane de La Rosa, les politiques de préférence nationale se heurteront au droit européen et pourront difficilement faire obstacle au choix de l’offre économiquement la plus avantageuse. Un acheteur public souhaite d’abord acquérir le meilleur système. L’acheteur public fait une politique de la demande. Or, aucune politique de la demande ne peut remplacer une politique de l’offre. En économie, c’est plutôt l’offre qui crée la demande. L’acheteur public émettra bien entendu des besoins, mais il ne peut pas les formuler trop à l’avance à l’égard de certains opérateurs, car cela constituerait une sorte de favoritisme par détention d’informations privilégiées. Il s’agit d’une politique de demande émise 52 jours avant le dépôt des offres.

Dans l’affaire Chorus, l’État a voulu acquérir un logiciel qui traduisait la LOLF (loi organique relative aux lois de finances) pour la gestion des fonds publics. Le ministère des Finances voulait absolument un marché à l’éditeur, et pas un marché où il y ait des prestations d’intégration qui rendraient le dispositif difficilement maintenable. Par conséquent, nous nous sommes demandé comment faire pour contacter les grands éditeurs afin de les inviter à réfléchir aux besoins. J’ai eu l’idée de faire publier sur le site internet du ministère une espèce de politique d’orientation précisant nos besoins et notre volonté d’obtenir un marché à l’éditeur. Il s’agissait bien entendu d’une information un peu privilégiée sur les intentions d’achat. Les modalités de publicité se sont avérées quelque peu empiriques. Une nouvelle fois, c’est une politique de la demande, ce n’est pas une politique de l’offre. Il n’y a pas de politique de la demande qui puisse suppléer une politique de l’offre.

L’autre objectif de la souveraineté numérique est plus juridique. Il s’agit d’une approche complémentaire qui consiste à contribuer à l’indépendance, à la sécurité des traitements, à la protection des données et des intérêts essentiels de l’État et des Français. Or, sur ce point, les leviers ne se situent pas au stade de la passation, mais au stade de l’exécution. Les potentialités sont bien plus nombreuses dans les clauses d’exécution que dans les procédures de passation.

Des mesures comme le Buy European Act pourront s’avérer utiles, mais elles ne résoudront pas tout. Les mesures telles que l’assouplissement des procédures de passation, le relèvement des seuils et le motif d’intérêt général supposent que les acheteurs publics s’approprient ces outils. Or, la mise en œuvre des possibilités du code de la commande publique suscite des craintes, en particulier le délit de favoritisme. Par conséquent, alors même que ce n’est pas obligatoire, les acheteurs ont tendance à mener des appels d’offres ouverts. Il est sans doute nécessaire d’éduquer les acheteurs publics dans ce domaine. Par ailleurs, le sourcing, qui permet aux opérateurs informatiques de présenter leurs savoir-faire, devrait être davantage encouragé. Un autre levier important est l’allotissement, qui permet de confier aux entreprises de petite taille et aux opérateurs une partie des programmes. La difficulté est qu’en ce cas, l’interface doit être réalisée par la maîtrise d’ouvrage informatique. Or, les interfaces peuvent devenir très difficiles à gérer lorsque les deux prestataires sont en retard et se rejettent la faute mutuellement. Cela met même certains programmes à l’arrêt.

Il existe des solutions d’accompagnement pour faire émerger une offre, mais elles sont limitées. Si l’on examine maintenant l’aspect plus juridique de la souveraineté numérique, c’est-à-dire le respect des intérêts essentiels, des données sensibles ou la sécurité du traitement informatique, les leviers sont nombreux. Tout d’abord, les contraintes sont mieux admises en droit si elles sont légitimes. Comme cela a été rappelé, des dispositions du code de la commande publique permettent de protéger la sécurité informatique, de maintenir le traitement et le stockage des données sur place. D’une certaine manière, ces mesures peuvent même être « trop » efficaces. Par exemple, il est loisible aujourd’hui à un grand acheteur public d’exiger des modalités d’accès aux codes sources et de maîtrise de ceux-ci, d’interdire le transfert des données numériques, de multiplier les clauses relatives à l’intégrité et à la confidentialité des données et même d’exiger des stipulations particulières relatives aux licences. Les géants américains proposent des offres très formatées, les contrats de licence sont très souvent imposés ou très faiblement négociables. Si vous considérez les stipulations du dossier de consultation des entreprises, le cahier des clauses administratives particulières (CCAP) ou le cahier des clauses techniques particulières (CCTP) l’emportent nécessairement sur toutes les offres des candidats, alors vous pouvez éliminer ces offres. Or, il est évident que les contrats de licence des géants ne sont pas fondamentalement négociables. Comment s’en sort-on aujourd’hui ? Les acheteurs publics ferment les yeux et l’on adopte la clause du CCAP relative à la hiérarchie des documents contractuels. Il y a d’abord le cahier des charges de l’administration, puis l’offre vient à la fin de la liste. Ainsi, l’offre du candidat ne l’emporte pas sur les besoins de l’administration. Le problème est que cette « rustine » cache en réalité un risque de non-conformité des offres. La clause n’est pas conçue pour couvrir la non-conformité, elle a vocation à traiter des incompatibilités tout à fait ponctuelles qui pourraient exister entre les stipulations de contrats très complexes. Face à un acheteur public qui peut imposer des clauses de propriété intellectuelle, de sécurité informatique, de stockage de données ou de non-transfert aux opérateurs économiques dans les appels d’offres au titre des contraintes d’exécution, de nombreux opérateurs n’accepteront jamais de négocier leur licence ou de renoncer à la possibilité de transférer des données aux États-Unis, lorsque le Patriot Act exige de la société mère le transfert des données détenues par les sociétés filiales. Par conséquent, si nous allons au bout de l’analyse, l’offre est irrecevable.

Des services de l’État ont été confrontés à ce problème. On leur a expliqué que dans un certain nombre de situations, les données fiscales devaient pouvoir être transmises à la maison mère parce que l’administration américaine le demandait. C’était cela ou ne pas avoir de prestataire. Les clauses existent aujourd’hui. Nous avons les moyens de la souveraineté numérique au stade des contraintes que nous pouvons imposer en termes d’exécution. Si nous le faisons, nous pourrons déclarer non-conformes aux besoins du pouvoir adjudicateurs les offres qui se présenteront, mais en ce cas, nous ne trouverons plus personne.

La Cour de justice a invalidé la décision de la Commission européenne qui estimait que les Américains respectaient rigoureusement la protection des données. Un arrêt du Conseil d’État belge a rappelé que les pouvoirs adjudicateurs n’étaient pas tenus de se soumettre au dispositif du RGPD, en ses articles 45 et 46, pour accepter le transfert des données : ce dernier peut être refusé. Nous avons aujourd’hui les moyens de la souveraineté numérique nationale en termes d’exécution. Nous pouvons faire respecter l’indépendance, la sécurité, l’intégrité et le non-transfert des données. Néanmoins, les pouvoirs adjudicateurs sont réticents à utiliser ces dispositifs, car ils n’ont alors plus d’offres. Dans les grands appels d’offres dont j’ai suivi la passation, on compte finalement peu d’offres crédibles. Par exemple, s’agissant du marché pour l’opérateur national de paye, un marché de 350 millions d’euros, nous avions au bout du compte une seule offre convenable. Il n’est pas rare qu’une seule offre soit crédible sur les grands marchés et elle n’est pas forcément nationale. Enfin, s’agissant du Buy European Act, une condition préalable sera de définir ce qu’est un opérateur économique national ou européen. Dès lors que des sociétés filiales sont admises à opérer librement en Europe et sur le territoire national, il est délicat de déterminer les opérateurs étrangers. Quels critères utilisera-t-on : la localisation du siège qui peut évoluer ? la détention du capital, qui peut être placé en bourse ? la nationalité des dirigeants, parmi lesquels on trouve toujours des Français ? Il est très difficile de décréter aujourd’hui quelles entreprises sont françaises. En somme, les enjeux et leviers de la souveraineté numérique sont dans l’exécution, mais nous devons être attentifs à défendre une politique de l’offre afin que les acheteurs publics trouvent des opérateurs qui présentent des offres crédibles.

M. Philippe Latombe, rapporteur. La CNIL a indiqué récemment qu’il n’était pas possible de recourir à des opérateurs concernant la partie RGPD, même s’ils étaient régulièrement domiciliés en Irlande. L’ensemble des GAFA sont localisés en Irlande et y ont un siège régulier, ce qui fait d’eux des acteurs européens. Dans ces conditions, comment les exclure ou prévoir de les intégrer différemment dans l’ensemble du champ légal de la commande publique ? Quels critères pourrait-on utiliser ? Par ailleurs, la localisation des serveurs est également un enjeu important, qu’il s’agisse du Health Data Hub ou de BPIfrance. Des acteurs disent avoir utilisé le cloud de Microsoft Azure ou d’AWS, qui donnent satisfaction. Ils invoquent l’absence de risque au motif que les clés de chiffrement sont chez nous et les serveurs localisés en Europe. S’il y a risque, comment s’en prémunir ? Les opérateurs peuvent-ils être écartés à ce titre ? Les acteurs du numérique sont très intéressés par ces sujets.

Pr Stéphane de La Rosa. Ces questions sont complexes, car elles se situent au croisement de deux logiques. La première est la liberté d’établissement et la caractérisation de l’établissement en droit européen. À ce sujet, les jurisprudences diffèrent selon les champs considérés. La deuxième est la logique propre à la commande publique. Les entreprises qui soumissionnent à des contrats de marché, informatiques ou autres, sont considérées comme des opérateurs économiques. Or, la notion d’opérateur économique est extrêmement large. N’importe quelle entité qui peut produire une offre et soumissionner à un contrat, sans être nécessairement une entreprise, est un opérateur économique. Par conséquent, toute entité publique ou privée, dès lors qu’elle est apte à faire une offre, peut se porter candidate indépendamment de sa localisation ou de son établissement. Ces critères n’apparaissent pas dans la définition des parties à un contrat de commande publique.

La nationalité des opérateurs des sociétés et de leurs filiales est une question également complexe. La jurisprudence a admis un certain nombre d’hypothèses de transfert de sièges sociaux et d’implantation de filiales par rapport à des sociétés mères. L’interface par rapport à la commande publique s’effectue essentiellement selon les conditions d’aptitude. Un acheteur peut invoquer les obligations d’enregistrement au registre du commerce et quant à l’immatriculation sociale et fiscale.

La question de l’abus de droit doit également être examinée avec attention. Face à certains montages fiscaux élaborés par les GAFA, la Cour européenne a ouvert la voie à des localisations qui seraient constitutives d’abus de droit, au terme du droit européen et du droit interne, en tant qu’elles visent à contourner les règlementations existantes. La qualification d’abus de droit devrait être mieux exploitée en matière de commande publique.

Enfin, la localisation et les transferts de données nous ramènent à une problématique de « bouclier ». Le risque est le transfert des données européennes aux États-Unis. La jurisprudence Schrems a donné lieu à plusieurs arrêts, dont le dernier de juillet 2020. Nous sommes confrontés à un enjeu de reconnaissance mutuelle : dans quelle mesure peut-on admettre qu’on a un système de protection à peu près équivalent chez des États tiers, en particulier aux États-Unis ? La question est très difficile, car par application du Cloud Act aux États-Unis, les renseignements américains exerceront toujours un contrôle sur les données qui doivent être transmises par les grandes entreprises. La Commission a soulevé récemment les autres questions de la cybersécurité et de la cyberdéfense. La révision des directives de cybersécurité des données et de cyberdéfense est différente du Digital Act. Elle constitue à mon avis un élément de réponse sur lequel le législateur français devrait prendre position.

M. François Benchendikh. C’est sans doute un vœu pieux de déterminer la qualification des entreprises, compte tenu de leur facilité à se déplacer sur le territoire de l’Union ou même mondialement. La notion d’entreprise locale ne comporte pas celle de nationalité. Ainsi, une entreprise locale étrangère demeurerait une entreprise locale. Nous voyons cela illustré notamment dans un texte de 2017 sur les territoires ultramarins. Il est dit que l’on souhaite pouvoir privilégier une entreprise locale dans un appel d’offres. La commande publique peut faire office de levier pour permettre à certains territoires de bénéficier d’un achat public.

Je crois que l’intérêt général pourrait également être mobilisé dans ce cadre, bien qu’il ne soit pas en harmonie avec la directive européenne. Enfin, le centre de données (data center) public est un peu un serpent de mer. On s’est aperçu que des données de santé des collectivités étaient hébergées dans un État étranger. Les collectivités n’ont pas des informations suffisamment précises leur permettant d’avoir accès aux données. Je suis personnellement convaincu qu’il est nécessaire de développer un centre de données (data center) public. Une entité publique devrait être propriétaire des données. Ce peut être un syndicat mixte ou une structure juridique particulière, mais l’intérêt de ce système est que les données ne bougent pas après l’appel d’offres. Même si le gestionnaire est une entreprise informatique classique, les données demeureront localisées.

M. Philippe Latombe, rapporteur. Le logiciel libre est reconnu aujourd’hui comme pouvant être intégré dans des appels d’offres. Constitue-t-il une solution pour vous et si oui, comment concevez-vous sa mise en œuvre ? Le logiciel libre doit-il être privilégié comme le demandent un certain nombre d’acteurs du numérique, notamment français ? Comment percevez-vous son efficacité ?

Me Thierry Dal Farra. Un arrêt du Conseil d’État du 30 septembre 2011 redresse l’opinion d’un juge des référés précontractuels sur le fait qu’il est loisible à un pouvoir adjudicateur d’encourager des solutions de recours à des logiciels libres. La perspective est intéressante, mais soulève un certain nombre de difficultés. S’agissant de projets sensibles et de grande envergure, une solution à partir de logiciels libres n’offre pas de garanties de montée en version ou de mise à jour. En outre, quand vous téléchargez le logiciel libre, vous êtes tenus par la licence qui l’accompagne sans discussion possible. Celle-ci est rédigée en langue étrangère, les juridictions prévues sont également étrangères. Enfin, les responsabilités sont diluées : le logiciel étant libre, il n’est à personne et l’on ne trouve pas d’interlocuteur. L’utilisation du logiciel libre est envisageable pour des prestations standards à faible degré de sensibilité et pour autant qu’on puisse respecter les stipulations de la licence, mais ce point doit être examiné. Du point de vue du praticien, le logiciel libre n’est pas le remède miracle, notamment pour les grands projets sensibles, pour lesquels la souveraineté numérique est un enjeu essentiel.

Pr Stéphane de La Rosa. Je partage cette analyse. Il convient d’envisager l’usage du logiciel libre selon la taille, le montant du marché et le type de contrat, marché ou concession. Depuis quelques années, on observe quelques velléités contentieuses d’organismes représentant les logiciels libres qui viennent contester des appels d’offres au motif que les spécifications techniques désignent nommément un logiciel ou un exploitant plutôt qu’un autre, et méconnaissent par conséquent le principe d’égalité. Dans certains cas, il leur est donné raison. L’enjeu est que les spécifications techniques soient rédigées en termes strictement fonctionnels sans cibler un système d’exploitation ou un logiciel en particulier. Ce sont des organismes proches du logiciel libre qui ont déposé des recours concernant le Health Data Hub. Un référé du Conseil d’État du 13 octobre 2020 a enjoint de prendre des garanties supplémentaires face aux risque de transfert de certaines données.

Au-delà de l’aspect contentieux, s’agissant de la mise en œuvre, il est souhaitable de conduire une analyse fine de l’articulation entre les logiciels, les systèmes d’exploitation, l’obligation pour un système d’accueillir différents types de logiciels qui ne soient pas incompatibles. De ce point de vue, le Digital Act obligerait les grands systèmes d’exploitation à accueillir des logiciels d’autres éditeurs.

M. François Benchendikh. Les éléments essentiels pour l’État ou les collectivités, lorsqu’ils s’engagent dans une relation contractuelle, sont les clauses du contrat. Elles peuvent notamment garantir les conditions d’utilisation, les conditions d’accès ou la capacité à se doter d’une hotline. Or, un logiciel libre ne permet pas ces garanties. L’élément fondamental lorsque l’État souhaite lancer un marché est la détermination préalable des besoins. C’est ce travail qui permettra à l’acheteur public de structurer le cahier des charges et de choisir l’entreprise la plus à même de répondre.

M. Philippe Latombe, rapporteur. Dans vos propos liminaires, vous avez tous évoqué l’éducation des acheteurs publics. Lorsque nous avons interrogé l’UGAP, la semaine dernière, ses représentants nous ont indiqué que leur activité de veille vis-à-vis des nouvelles solutions était très limitée. Avec des acheteurs qui ne sont pas parfaitement préparés, d’un côté, et une cellule de veille qui n’est pas à même de proposer des solutions très innovantes, de l’autre, on a tendance à adopter les mêmes solutions, le plus souvent intégrées et provenant des GAFA. Ce sont Microsoft 365 pour la gestion des mails, intégrant Azure, ou bien AWS pour BPI en ce qui concerne le prêt garanti par l’État (PGE). Comment inciter les acheteurs publics à prendre des risques, et dans quelles limites ? Comment procéder pour les éduquer ? Pourrait-on aller au-delà des observatoires ?

Me Thierry Dal Farra. En tant que praticien, je crois qu’il convient de distinguer la maîtrise des besoins et la maîtrise des procédures. S’agissant de la maîtrise des besoins, il existe en droit de la commande publique l’obligation de déterminer le besoin en amont de toute procédure de mise en concurrence. Cela suppose que l’acheteur public est omniscient. Or, vous ne pouvez commander que ce que vous connaissez. Nous sommes une nouvelle fois face à la logique de la demande qui est un peu antiéconomique, puisqu’en principe, c’est l’offre qui crée la demande. Si vous ne savez pas ce qui existe, vous ne pouvez pas le commander. Nous sommes donc face à un véritable problème, spécifiquement dans le domaine informatique, de non-maîtrise par les acheteurs publics de leurs propres besoins. Ils ne les maîtrisent pas parce qu’ils ne savent pas ce qui existe et ne savent pas quoi commander.

Il existe un certain nombre de techniques qui fonctionnement plus ou moins bien, telles que la méthode agile. Je considère qu’elles sont peu efficaces, car elles conduisent à contractualiser à nouveau après la passation du contrat. Elles peuvent également conduire à des contentieux d’exécution sans fin. Une technique permettant d’améliorer la maîtrise par les acheteurs publics de leurs propres besoins en matière d’informatique est d’encourager le sourcing, c’est-à-dire de permettre à des opérateurs économiques, en les encadrant davantage et sans favoritisme, de proposer des solutions qu’ils ont conçues. À un moment donné, lorsque la discussion s’arrête, on lance la procédure dans le respect du principe d’égalité. Quoi qu’il en soit, il est très important que les acheteurs publics maîtrisent mieux leurs besoins. La prise de risque n’est pas tolérable sur ce point, car faute de maîtrise, ce qu’ils commandent ne correspond pas à ce qu’ils obtiendront. Ils devront alors changer les besoins en cours d’exécution du contrat lorsqu’ils s’apercevront que ce qu’ils ont commandé ne correspond pas à la totalité de leurs besoins.

Le deuxième problème est la maîtrise des procédures. Prendre des risques est difficile lorsque toute la matière est pénalement sanctionnée. Quand vous examinez les arrêts de la Cour de cassation en matière de favoritisme, la moindre irrégularité est constitutive d’une infraction. Alors même qu’aux termes de l’article 432-14 du code pénal, le délit est constitué par le fait d’avoir procuré ou tenté de procurer un avantage à autrui par violation des règles garantissant l’égalité et la liberté d’accès aux contrats de la commande publique, la Cour de cassation a complètement « écrasé » la première condition sur la tentative ou l’octroi d’un avantage injustifié. Elle considère que toute violation des règles de passation induit obligatoirement un avantage injustifié. L’écrasement de la première condition entraîne un élargissement du champ du délit. De fait, la moindre irrégularité peut conduire au délit de favoritisme. J’ai soulevé une question prioritaire de constitutionnalité concernant l’écrasement de la condition tenant à l’avantage injustifié, mais il est peu concevable qu’un acheteur public prenne un risque, alors qu’on lui explique que, s’il commet la moindre irrégularité, il risque de tomber sous l’accusation de favoritisme.

Même dans les marchés à procédure adaptée, les acheteurs ne bénéficient pas de la liberté que le code leur octroie. Alors qu’ils pourraient rencontrer les opérateurs, afin d’éviter les risques, ils font de l’appel d’offres ouvert, car c’est la voie la plus commode. Quant à l’UGAP, elle fonctionne bien pour les fournitures standards, mais elle n’est pas le bon instrument pour les solutions innovantes, car ils ne connaissent pas forcément tous les besoins de leurs clients. À mon sens, la meilleure perspective pour maîtriser les besoins consiste à encourager une meilleure connaissance de l’offre par le sourcing.

Pr Stéphane de La Rosa. En ce qui concerne l’accompagnement des acheteurs, les formations proposées dans les universités demeurent très juridiques. Il s’agit de formations classiques en droit des contrats. Il me semble que la technique de l’acheteur public est insuffisamment investie. Il est important que la formation des futurs juristes en commande publique ne se limite pas aux aspects juridiques et contentieux. Cette évolution est d’autant plus nécessaire que lorsque nous examinons nos voisins, l’approche est différente. Par exemple, aux États-Unis, les juristes en commande publique sont formés de manière beaucoup plus concrète.

La question du sourcing est essentielle. Les acheteurs publics sont toujours réticents à en faire usage. Il y a dix ans, on attribuait le contrat à la personne qui avait défini le besoin. Cette technique a été condamnée par la Cour de justice. La compréhension du sourcing doit être affinée. La mise en place d’un portail public d’accès à l’offre existante serait un moyen d’approfondir les connaissances des acheteurs dans ce domaine. Le travail sur ce point est insuffisant, tant en France qu’au niveau de la Commission ou des autres institutions européennes. Si la Commission produit régulièrement des communications un peu techniques sur les bonnes pratiques observées ici ou là, elle ne propose pas de portail global de l’offre européenne d’entreprises numériques. Un travail pourrait être conduit pour développer la connaissance de l’offre, détaillant notamment les systèmes d’exploitation ou les aspects relatifs à la cybersécurité.

Enfin, la question des marchés de R&D sur les solutions innovantes doit être approfondie. En l’état actuel du droit, les marchés de R&D échappent au code. On peut attribuer un marché de R&D sans s’y soumettre. Le problème est que ces marchés doivent être uniquement à des fins d’établissement de prototypes. En d’autres termes, ils ne peuvent pas avoir de prolongement industriel. Quel est l’intérêt pour un opérateur de développer ce type de marché s’il ne peut pas l’exploiter d’un point de vue commercial ? L’outil est sans doute intéressant, mais il doit évoluer afin de donner une viabilité économique réelle aux projets financés en R&D.

François Benchendikh. Un autre élément important est le cadre d’emploi. Une personne qui détient des connaissances assez poussées en informatique, si elle souhaite une rémunération attractive, aura tendance à rejoindre le privé plutôt qu’une collectivité ou l’État. L’enjeu pour l’acheteur public est de compter chez lui un ingénieur informatique qui privilégierait une carrière publique. La difficulté à faire émerger des projets est cependant fondamentale : des collectivités ou certains services de l’État ne savent pas ce qu’ils souhaiteraient, parce qu’ils ne peuvent connaître avec précision leurs besoins. Certains pourront solliciter un bureau d’études, mais la démarche demeure compliquée. Sur les marchés téléphoniques, par exemple, les collectivités dépensent des sommes colossales parce que les offres ne leur sont pas adaptées.

En ce qui concerne l’élaboration du portail, les données sont disponibles. Avec l’aide des chambres consulaires et de certains syndicats patronaux, le portail pourrait faciliter largement les projets et permettre l’avènement du sourcing.

M. Philippe Latombe, rapporteur. Y a-t-il des sujets que nous n’aurions pas encore abordés ? Souhaitez-vous encore apporter d’autres précisions ?

Pr Stéphane de La Rosa. À titre conclusif, il me semble que votre mission appelle une clarification de la notion de souveraineté numérique. Le volet interne et stratégique consiste à privilégier les entreprises françaises afin de compter des champions nationaux. Le volet externe consiste à organiser une défense efficace contre des comportements prédateurs ou des pratiques déloyales. La question de la souveraineté se pose aussi dans un cadre européen, dans la mesure où les normes sont aussi européennes. Ces aspects doivent être pensés ensemble, afin d’obtenir une compréhension fine de la souveraineté numérique et de ne pas en faire un « attrape-tout ».

Deuxièmement, il est important d’adopter une nouvelle position par rapport à l’accord sur les marchés publics. Les calculs des seuils nous viennent de l’AMP, ainsi que les clauses de non-discrimination par rapport aux États tiers. En outre, dans la hiérarchie des normes européennes, l’AMP prévaut sur les directives européennes. Or, on est confronté à une tendance à questionner le contenu de l’AMP, en particulier aux États-Unis. Il serait donc important que la France tienne un discours clair sur l’AMP. Doit-on le renégocier, émettre des réserves ? Si ce travail n’est pas effectué, la souveraineté numérique ne sera pas bien définie sur le plan technique et juridique. Enfin, une réflexion doit être menée sur les grands financements publics. Il convient d’envisager l’évolution du droit des aides d’État en ce qui concerne le financement de projets innovants. Ces approches doivent s’inscrire dans une perspective plus large qui est le marché numérique et la réorientation de la politique industrielle européenne.

M. Philippe Latombe, rapporteur. Nous avons commencé notre mission par un travail de définition de la souveraineté numérique afin d’éviter les acceptions trop générales. Selon vous, une réflexion est-elle en cours sur l’AMP à l’heure actuelle ?

Pr Stéphane de La Rosa. Comme l’atteste le décret de Joseph Biden publié depuis quelques jours, la réflexion est engagée aux États-Unis. L’administration américaine vise un repositionnement de l’AMP afin de proposer un système d’offre. S’agissant de la Commission, je ne peux vous répondre avec précision. Quoi qu’il en soit, les mécanismes de préférence et de Buy European Act me semblent indissociables d’une réflexion sur le texte.

Me Thierry Dal Farra. Je souscris à ce qui vient d’être dit : il n’y aura pas d’évolution significative sans un accompagnement européen. Il est très important de développer une politique de l’offre à laquelle l’acheteur public puisse contribuer, car, afin d’acheter européen, encore faut-il qu'une offre européenne existe. De même, afin d’acheter français, l’offre économique la plus avantageuse doit être l’offre nationale. Nous avons aujourd’hui les moyens d’exclure du champ les géants américains en alléguant des clauses incompatibles avec leurs politiques de groupe. Mais si nous n’avons pas entre temps contribué à l’élaboration d’une offre alternative, nous n’aurons personne. En somme, le risque est soit de n’avoir que des offres irrégulières, soit de ne pas avoir d’offres. Les grands acheteurs publics français que je connais ont pour objectif premier de satisfaire les besoins et d’assurer le bon fonctionnement des services publics. Ils sont par conséquent portés à choisir l’offre la plus efficace.

Au-delà des aides d’État, plusieurs pistes peuvent être proposées pour développer la politique d’offre numérique. La première est le sourcing qui permettrait une meilleure connaissance des solutions innovantes françaises. La deuxième est l’élaboration de participations de l’État à des entreprises. L’État pourrait être présent le temps de créer l’offre et ressortir ensuite. Il aurait alors contribué à bâtir une filière. Cela s’est fait dans le domaine de l’énergie dans les années 1970. Pourquoi ne pas l’envisager dans les années 2020 pour le numérique ? L’importance de l’enjeu le justifie.

M. François Benchendikh. Il est nécessaire de développer une recherche publique fondamentale sur la question numérique. Elle pourrait contribuer à l’émergence d’entreprises et d’acteurs qui en bénéficieraient. Un autre élément important est la place et le rôle des services de l’État, qu’il s’agisse de l’agence du numérique ou de la DINUM. Chaque direction peut permettre de trouver des solutions.

La séance est levée à 10 heures 50.

————

Membres présents ou excusés

Mission d'information sur le thème « Bâtir et promouvoir une souveraineté numérique nationale et européenne »

Réunion du jeudi 28 janvier 2021 à 9 heures 30

Présents. - MM. Philippe Latombe, Jean-Luc Warsmann

Excusé. - M. Philippe Gosselin