C’est à l’issue d’une collaboration entre l’ANSSI (Agence Nationales de Sécurité des Systèmes d’Information) et la DAE (Direction des Achats de l’Etat) qu’a été publié et mis en œuvre le 13 novembre 2019 un guide de recommandations visant à intégrer la sécurité des systèmes d’information (SSI) ou cybersécurité, dans les marchés publics de l’Etat.
Ce guide peut être repris pour tous les marchés publics pour lesquels tout ou partie des produits et services achetés font appel, directement ou indirectement, à des dispositifs informatiques. Le projet doit désormais être conforme et limiter le risque en cybersécurité.
Il laisse à la libre disposition des acheteurs ou du client, une méthode de travail et une série de clauses relatives à la gestion et sécurité des systèmes d’information à intégrer lors de la préparation des marchés publics.
Les principaux points à souligner dans ce document sont les suivants :
Sans surprise, le guide distingue les clauses à intégrer dans le Règlement de Consultation (RC), de celles du Cahier des Clauses Administratives particulières (CCAP) et du Cahier des Clauses Techniques Particulières (CCTP). En dépit du critère facultatif de ces clauses, on remarque un renforcement notable des CCAP en matière de sécurité. Ainsi, la sécurité des données personnelles ne se résume plus aux clauses techniques du CCAT. Elle s’émancipe pour s’élargir à des critères juridiques mais aussi méthodologiques et organisationnels afin de limiter le risque.
Si l’on se penche sur ces CCAP, on remarquera une similarité entre les clauses suggérées par le Guide et les obligations du RGPD dans les rapports entre responsable de traitement et sous-traitant. Les clauses du guide posent une obligation générale de protection de l’information qui devient de principe une information au plan confidentielle. Le titulaire du marché se voit affublé d’un devoir de conseil à l’instar du sous-traitant dans la gestion du RGPD pour son client. Il doit mettre à disposition de l’acheteur public tout un ensemble de documentation relative à l’assurance et la protection de ses systèmes. Son personnel doit être formé à la protection de l’information. Il doit démontrer le respect des durées de conservation et leur suppression. Il doit permettre un audit de protection des données informatique des clients. La sollicitation d’un sous-traitant, agence, prestataire ou consultant RGPD, par le titulaire (« sous-traitant ultérieur » pour le RGPD) est également envisagée par les clauses.
A travers ce guide, le plan RGPD se met en œuvre de façon plus concrète sur les marchés publics. Pour les CCAP, le guide propose des modèles de clauses relatives aux obligations de confidentialité, à la sécurité des composants logiciels, au devoir d’information et de conseil, à la cartographie des systèmes d’information, à la gestion et la formation du personnel, au sort des données en fin de contrat, à l’audit de sécurité etc.
Pour les CCTP, le guide se rattache aux exigences techniques de l’ANSSI compte tenu de l’état de l’art en matière de sécurité des systèmes d’information. Le guide pose les obligations de gestion pour les titulaires manipulant des données à caractère personnel. Les clauses abordent notamment la sécurité physique, l’hébergement, le traitement des incidents, les audits, les développements etc.
Au-delà de suggérer de nouvelles clauses, le guide des clauses de sécurité des systèmes d’information propose à l’acheteur public l’acquisition d’une nouvelle méthodologie de travail. Il appartient à l’acheteur de vérifier la bonne adéquation des clauses avec les spécificités de son marché et, si nécessaire, de les adapter notamment quand des réglementations spécifiques trouvent à s’appliquer.
En plus des clauses, le guide suggère les documents que l’acheteur public peut exiger du candidat à travers son Règlement de Consultation (RC). Parmi ces documents, il y a le Plan d’Assurance Sécurité (PAS), document structuré qui va permettre à l’acheteur de répertorier toutes les exigences de sécurité et de comparer avec assurance les réponses des soumissionnaires. Nous retiendrons également le « formulaire d’engagement de reconnaissance de responsabilité » fourni en annexe du guide. Ce document va permettre à l’acheteur de s’assurer que les candidats s’engagent, en principe, à respecter ses obligations de confidentialité, de protection des données à caractère personnel ou sensible et des mesures de sécurité en vigueur.
L’intégration de ces clauses et de ces documents dans le champ contractuel des marchés public change les pratiques des acheteurs car elle suppose une collaboration élargie des parties prenantes à l’acquisition de nouvelles solutions logicielles. La procédure d’achat d’une nouvelle solution va solliciter la participation d’un ensemble de directions autour d’ateliers de travail. On y compte d’abord le Directeur de la Commande publique, le Directeur Juridique et la direction concernée par la solution (ou « prescripteur »). S’ajoute aujourd’hui la Direction des Système d’Information (DSI), voire la Direction de Sécurité des systèmes d’information (DSSI), qui remplace le « Service informatique ». Enfin, le Délégué ou prestataire à la Protection des Données (DPO) fait son apparition dans la procédure d’achat avec pour seule préoccupation la protection des données concernant les agents et les administrés. Le rôle de ce dernier est fondamental, car la rédaction d’une PSSI ou celles des clauses de la CCAP supposent une réflexion en amont sur les traitements opérés et la sensibilité des données concernée par la solution. L’ensemble de ces parties prenantes vont participer à la rédaction des clauses et dans le choix des candidats.
Le Guide propose la rédaction de clauses facultatives laissées au libre arbitre des acheteurs publics. Force est de constater qu’au vu des risques de sécurité posés par de nouvelles solutions techniques toujours plus intrusives d’une part, et des réglementations de protection de la vie privée d’autre part, nous serons demain amenés à retrouver ces clauses dans l’ensemble des marchés publics qui deviendront de facto obligatoires
La présence systématique de ces clauses n’est pas sans conséquence sur les candidats dans la procédure des marchés publics pour qui la sécurité et la confidentialité deviennent une préoccupation majeure pour rester dans la compétition. Un prestataire DPO de qualité devient un enjeu important.
La mise en concurrence se voit donc impactée car le choix du titulaire du marché se fera autour d’un ensemble de critère tels que la formation de son personnel à la sécurité, l’hébergement de sa solution, la prise en compte des durées de conservation des données ou encore la conformité de ses sous-traitants. A ces clauses s’accompagnent des pénalités sévères ou encore la possibilité de résiliation en cas de non-respect des règles de sécurité imposées par l’acheteur du projet.
De même, le lieu d’établissement du candidat est un critère dans la mesure où ce dernier doit « préciser dans son projet si ses infrastructures sont gérées ou simplement accessibles par une entité juridique appartenant à un pays disposant de lois autorisant ce pays à accéder aux données ». Un éditeur de logiciel américain, pourra donc se voir rejeté de la compétition parce que les lois de son pays, notamment le Cloud Act, permet un transfert hors du continent Européen, ce que le RGPD proscrit au regard de la protection de la vie privée des agents et des administrés.
Parce que le choix de l’acheteur public ne s’arrête plus seulement à des critères techniques, la solution proposée par les candidats devra non seulement être performante mais aussi respectueuse de la vie privée et sécurisée. Une sélection naturelle va donc s’opérer entre les candidats dits « conformes » et les autres.
Par Florian Coulon