Logo : Sénat français

Direction de la séance

Proposition de loi

Certification de cybersécurité des plateformes numériques

(1ère lecture)

(n° 39 , 38 )

N° 5

20 octobre 2020
 

AMENDEMENT

présenté par
C Favorable
G Favorable
Adopté

Le Gouvernement

ARTICLE 2

Supprimer cet article.

Objet

L’article proposé a pour conséquence d’imposer une obligation de prendre en compte les impératifs de cybersécurité dans la définition du besoin, pour l’ensemble des marchés publics.

La modification de l’article L. 2111-1 proposée est inappropriée puisqu’elle porte sur l’ensemble des marchés quel que soit l’objet du marché. Or, à la différence du critère du développement durable, qui  est susceptible de concerner tous les marchés, le critère de la cybersécurité ne pourrait porter que sur les achats de prestations informatiques. Le principe fondamental d’égalité devant la commande publique imposant de ne formuler les exigences en termes d’expression des besoins, de critères de choix et de clauses d’exécution qu’en lien avec l’objet du marché, et dans la mesure où cette proposition porte sur tous les marchés, elle aurait pour conséquence d’imposer une exigence contrevenant au principe d’égalité.

Par ailleurs, cette modification n’est pas utile, puisque l’état actuel du droit offre déjà tous les outils nécessaires à la prise en compte de la cybersécurité dans les marchés informatiques ; l’article R.2152-7 du code de la commande publique précise en effet qu’il est possible de prendre en compte la valeur technique d’une offre dans le choix des critères d’attribution. Il est donc légitime d’utiliser un critère portant sur la sécurité pour juger de la qualité technique d’une offre, dans le cadre d’un marché portant sur des prestations informatiques.

Au surplus, une telle modification du code de la commande publique est insusceptible de remplir l’objectif qui lui est assigné et qui consiste à améliorer la cybersécurité des systèmes d’information utilisées par les personnes publiques. De fait, la proposition aurait pour conséquence d’imposer à tous les acheteurs de définir leurs besoins en prenant en compte la cybersécurité mais sans leur donner les moyens et les compétences leur permettant de le faire ; les acheteurs ont conscience du fait que leurs systèmes d’information doivent être sûrs, mais ils n’ont généralement pas les compétences pour s’assurer que l’offre qu’ils examinent leur permet d’atteindre un niveau satisfaisant de sécurité. Plus que par une modification de la réglementation des marchés publics, la sensibilisation des acheteurs sur les questions de cybersécurité passe par des actions de formation et d’accompagnement dans la rédaction des clauses particulières des marchés.