Publié le 20 janvier 2024 par : Mme Miller, M. Gouffier Valente, Mme Abadie, Mme Chassaniol, Mme Chandler, M. Dunoyer, Mme Guévenoux, M. Houlié, M. Mendes, M. Le Gendre, M. Didier Paris, M. Pellerin, M. Pont, M. Poulliat, M. Rebeyrotte, M. Rudigoz, M. Terlier, M. Valence, Mme Yadan.
Rédiger ainsi l’alinéa 2 :
« II. – Lorsque l’objet ou les caractéristiques du marché nécessitent un haut niveau de sécurité des systèmes d’information, l’administration bénéficiaire peut imposer comme condition de participation la transmission par le candidat des conclusions d’un audit de sécurité réalisé par un tiers prestataire d’audit de sécurité des systèmes d’information qualifié conformément au référentiel établi par l’Agence nationale de la sécurité des systèmes d’information, ou de tout document équivalent d’un autre État membre de l’Union européenne, attestant d’un niveau minimal de sécurité. »
L’article 18 impose aux cabinets de conseil souhaitant participer à la passation d’un contrat de la commande publique de systématiquement produire les conclusions d’un audit de sécurité, attestant d’un niveau minimal de sécurité, réalisé conformément à un référentiel de sécurité établi par l’autorité nationale de la sécurité des systèmes d’information (ANSSI). Cette disposition vise à renforcer la protection des données de l’administration.
Toutefois, en l’état de sa rédaction, l’article 18 n’est pas compatible avec les principes issus des directives 2014/24/UE et 2014/25/UE relatives aux marchés publics.
En effet, l’article 58 de la directive 2014/24/UE (et, par renvoi, l’article 80 de la directive 2014/25/UE) prévoit que toutes les conditions de participation imposées aux opérateurs économiques doivent être limitées « à celles qui sont propres à garantir qu’un candidat ou un soumissionnaire dispose de la capacité juridique et financière ainsi que des compétences techniques et professionnelles nécessaires pour exécuter le marché à attribuer. Toutes les conditions sont liées et proportionnées à l’objet du marché ».
Ce lien nécessaire entre conditions de participation et objet du marché, comme l’exigence de proportionnalité, ont encore été récemment rappelés par le Conseil d’État (CE, 12 avril 2023, Office national des forêts, req. n° 466740).
Or, en visant l’ensemble des marchés pour lesquels un prestataire de conseil est susceptible de déposer une candidature, l’article 18 de la proposition de loi inclut nécessairement des marchés n’exigeant aucunement que soit spécifiquement garantie la sécurité des systèmes d’information.
S’il est incontestable que certains marchés exigent un haut niveau de sécurité des systèmes d’information, il convient de réserver à ceux-là la production des conclusions d’un audit de sécurité.
Par ailleurs, l’annexe XII de la directive 2014/24/UE liste, notamment, les éléments acceptés au titre de la preuve des capacités techniques des opérateurs techniques. À cet égard, est entre autres visé comme moyen de preuve, le contrôle effectué « par un organisme officiel compétent du pays dans lequel le fournisseur ou le prestataire de services est établi » – si bien qu’il est indispensable que soient acceptées les conclusions d’audit réalisé par un prestataire qualifié conformément à un référentiel établi non seulement par l’ANSSI, mais également tout document équivalent d’un autre État membre de l’Union européenne.
Aucun commentaire n'a encore été formulé sur cet amendement.