Risques intrinsèques à la délocalisation de la gestion de la paie

Question de Mme DUMAS Catherine (Paris - Les Républicains) publiée le 14/07/2022

Mme Catherine Dumas interroge Mme la Première ministre sur les risques intrinsèques à la délocalisation, hors de nos frontières, de la gestion de la paie d'un nombre toujours croissant d'entreprises installées en France.
Elle rappelle que la gestion de la paie est un aspect essentiel de la relation entre l'employeur et le salarié, le salaire étant la contrepartie de la prestation de travail effectuée par un salarié.
Elle note qu'un grand nombre de contraintes liées à la gestion de la paie (évolution des textes, conventions collectives, règlements, taux et bases de cotisations, logiciels spécifiques, veille juridique…) et leur évolution permanente amènent nombre d'entreprises, y compris les très petites entreprises et les petites et moyennes entreprises, à externaliser cette fonction ainsi que celle des déclarations sociales et fiscales qui y sont liées.
Elle s'inquiète du fait que nombre d'entreprises spécialisées dans l'externalisation de la gestion de la paie installent de plus en plus leurs centres de traitement hors des frontières françaises, parfois dans des pays où la stabilité politique et sociale est jugée critique par notre ministère des affaires étrangères.
Elle s'interroge donc sur le risque que fait peser cette évolution de sous-traitance « Business Process Outsourcing » (BPO) sur la gestion de données sensibles à sécuriser, sur le respect du règlement général sur la protection des données hors de nos frontières nationales ou européennes, sur le risque de déstabilisation sociale ou économique qui pourrait viser notre économie, voire la stabilité de notre pays.

Publiée dans le JO Sénat du 14/07/2022 - page 3510

Transmise au Ministère de l'économie, des finances et de la souveraineté industrielle et numérique

Réponse du Ministère de l'économie, des finances et de la souveraineté industrielle et numérique publiée le 27/07/2023

Il est utile de faire une distinction entre l'évolution du marché de l'externalisation de la gestion de paie, et l'évolution des outils logiciels de gestion de paie, qui suit, a l'instar d'une grande partie du marché logiciel, une logique d'externalisation de l'hébergement des données, à la faveur d'opérateurs d'informatique en nuage, ou « cloud ». Si ce fait de marché peut comporter certains risques en matière de protection des données du fait de l'externalisation de l'hébergement, la France a adopté une approche pionnière en Europe à cet égard. En effet, le Gouvernement a mis en place un label « cloud de confiance » incarné par la qualification SecNumCloud de l'autorité nationale en matière de sécurité et de défense des systèmes d'information (ANSSI), qui atteste d'un très haut niveau d'exigence en matière de sécurité numérique, tant du point de vue technique qu'opérationnel ou juridique. L'objectif de ce label est de permettre à tous, administrations comme entreprises, d'identifier des offres Cloud dites « de confiance ». Le Gouvernement a aussi défini un cadre de numérisation des administrations (Cloud au centre) exigeant et protecteur des données de nos citoyens qui impose le recours à des solutions certifiées « SecNumCloud » aux administrations dès lors que des données sensibles sont manipulées. Cette référence peut aussi permettre aux entreprises d'identifier des offres cloud « de confiance » et ainsi bénéficier de ce haut niveau de protection des données. Le référentiel « SecNumCloud » est d'ailleurs un schéma de référence dans l'élaboration du niveau de protection le plus haut du futur schéma de certification européen en matière de cybersécurité (EUCS). Par ailleurs, il convient de souligner l'action de conseil menée par la Commission nationale de l'informatique et des libertés (CNIL) auprès des autorités administratives, en amont du déploiement de services numériques dès lors qu'ils traitent des données personnelles. En cas de manquement ou de négligence en matière de cybersécurité portant atteinte à la protection des données personnelles, la CNIL dispose de pouvoirs étendus de mise en demeure et de sanctions pour remédier aux situations à risque. Le secteur de la santé constitue une priorité : la CNIL a ainsi été amenée à se prononcer sur le Health Data Hub et à rappeler à l'ordre un certain nombre d'acteurs, opérant dans le domaine de la santé, qui ne garantissaient pas suffisamment la protection des données personnelles. La CNIL veille également au respect des obligations du règlement général sur la protection des données personnelles qui impose, notamment, l'information des utilisateurs dont les données ont été « compromises », lorsque l'atteinte subie est jugée sérieuse. Dans d'autres secteurs particulièrement touchés par les problématiques de cybersécurité, l'Etat va plus loin : les acteurs de la santé sont des cibles privilégiées des cybercriminels : le cyber-rançonnage, la revente de données personnelles de santé, l'espionnage industriel et le vol des savoir-faire technologiques en matière médicale ou encore l'espionnage stratégique pour obtenir des données sur une grande partie de la population constituent les principales motivations des attaquants. Face à ces cyberattaques, le Gouvernement a engagé plusieurs actions. Ainsi, dès 2019, le ministère des solidarités et de la santé a mis en place un plan d'action pour renforcer la cybersécurité des établissements de santé. Il continue d'investir dans la sécurité des infrastructures numériques de santé, comme prévu dans les accords et le plan « Ségur de la santé ». L'ANSSI, via le volet cybersécurité du plan France Relance, contribue au financement de l'amélioration de la cybersécurité du secteur de la santé. Des parcours de cybersécurité ont été réalisés par plus d'une centaine d'établissements de santé et une équipe de réponse à cyber-incidents, le CERT-Santé, a été constituée au sein du ministère des solidarités et de la santé.

Publiée dans le JO Sénat du 27/07/2023 - page 4670