B. LA PRISE EN COMPTE DES ENJEUX DE CYBERSÉCURITÉ PAR LES ACHETEURS PUBLICS N'EST PAS OPPORTUNE DANS CE TEXTE
La commission partage l'objectif poursuivi par cet article, à savoir renforcer la prise en compte des impératifs de cybersécurité dans les marchés publics . Deux motifs commandent en effet une telle prise en compte : le premier est de s'assurer que la puissance publique utilise des solutions suffisamment sécurisées et puisse, ainsi, inspirer confiance aux citoyens. Le second consiste, dans une logique de politique industrielle, à soutenir les solutions françaises et européennes de confiance et se conformant au règlement général sur la protection des données personnelles.
Cependant, la commission a émis des réserves sur le moyen d'atteindre l'objectif proposé . En effet, une loi de portée générale est affaiblie si elle inclut des objectifs particuliers. Or, les impératifs de cybersécurité ne concernent pas tous les marchés publics, ce qui emporte deux conséquences :
• en droit, un tel ajout risquerait de se heurter au principe d'égalité devant la commande publique, qui impose de ne formuler des exigences qu'en lien avec l'objet du marché ;
• en opportunité, il est souvent demandé d'ajouter aux articles à portée générale du code de la commande publique des préoccupations légitimes mais particulières, comme la sécurité du travail, l'urgence climatique, la confidentialité ou la préservation des données.
Du fait de ces réserves, le Sénat a adopté l'amendement de suppression proposé par le Gouvernement en séance publique. L'Assemblée nationale a voté la suppression conforme de cet article , partageant les mêmes réserves que celles formulées par la commission.
EN SÉANCE
En séance, le Sénat a adopté :
- un amendement du Gouvernement pour élargir le périmètre d'application du dispositif aux principaux opérateurs de plateformes en ligne, sous-amendé par la rapporteure dans l'objectif d'intégrer les systèmes de visioconférence, et sous-amendé par l'auteur du texte pour rendre obligatoire la présentation du « Cyberscore » sous forme de système d'information colorielle ;
- un amendement du Gouvernement pour supprimer l'article 2.
LA SUITE DE LA NAVETTE
À l'issue de l'examen en première lecture à l'Assemblée nationale, il a été adopté :
- un amendement de la majorité pour que les seuils au-delà desquels les acteurs économiques sont concernés par le dispositif soient définis par voie réglementaire et pour qualifier le dispositif d'audit de cybersécurité ;
- un amendement du rapporteur pour que la localisation des données hébergées soit prise en compte par l'audit de cybersécurité ;
- un amendement du rapporteur pour que des prestataires agréés de l'Anssi réalisent cet audit.
En deuxième lecture, le texte a été voté conforme par la commission des affaires économiques du Sénat.