III. LE PARADOXE DE LA DONNÉE : L'ACCÈS ET L'EXPLOITATION PAR LES CABINETS DE CONSEIL DE DONNÉES SENSIBLES OU STRATÉGIQUES
La commission d'enquête a cherché à savoir dans quelles conditions l'administration mettait à disposition des cabinets de conseil des informations parfois sensibles, quelles étaient les garanties de confidentialité apportées et s'il était possible que ces données soient réemployées par les prestataires dans d'autres contextes.
Il existe en effet un paradoxe de la donnée :
- d'un côté, les données recueillies par les cabinets de conseil dans le cadre de leurs prestations pour l'État ne seraient pas réutilisées au profit de leurs autres clients ;
- mais, de l'autre, ces mêmes cabinets proposent - et c'est l'un de leurs atouts - des benchmarks « clés en main » , réalisés en un temps record. Dans l'exemple des restructurations d'entreprises, l'État fait ainsi appel à des cabinets de conseil pour leur connaissance fine et chiffrée des filières industrielles à travers le monde 360 ( * ) .
En premier lieu, la commission d'enquête s'est trouvée face à des réponses parfois contradictoires ou qui, en tout cas, ne permettent pas de trancher le point de savoir si des cabinets de conseil réemploient, en pratique, les données qu'ils obtiennent dans le cadre d'une mission avec l'État ou d'autres acteurs publics, éventuellement étrangers.
D'abord, les acteurs publics ne s'accordent pas entre eux sur cette possibilité .
Ainsi, lors de son audition, le président-directeur
général
de l'UGAP, M. Edward Jossa, n'a
pas exclu
que les cabinets de conseil « capitalisent » sur les
données acquises
d'une prestation à l'autre :
«
les cabinets ont une capacité inégale
à s'enrichir des travaux issus de leurs missions, ce qui augmente leur
performance sur les missions suivantes. Dans l'exemple du secteur des
études de marché, les cabinets de conseil disposent de
bases de données considérables
qu'ils utilisent
en général à des fins
commerciales
»
361
(
*
)
.
En revanche, Mme Amélie de Montchalin, ministre de la transformation et de la fonction publiques, a indiqué que « les prestataires doivent respecter les règles de confidentialité , dont le RGPD. Aucune donnée ne doit être communiquée en dehors des donneurs d'ordre administratifs, y compris des données de comparaison » 362 ( * ) . Le RGPD se limite toutefois aux données à caractère personnel et ne résout pas les questions soulevées par le traitement de données à caractère économique.
Ensuite, les cabinets de conseil eux-mêmes témoignent de pratiques différentes selon les cas .
Certains écartent, par principe, la possibilité d'utiliser les données de leurs clients pour réaliser des parangonnages .
Pour le cabinet Citwell, « les benchmarks internationaux [...] ne peuvent reposer que sur des données anciennes, périmées ou alors déjà publiques » 363 ( * ) .
Dans l'exemple de la crise sanitaire, certains parangonnages consultés par la commission d'enquête se limitent en effet à traduire et à « compiler » des articles de presse, sans véritable valeur ajoutée 364 ( * ) . De manière plus générale , le cabinet Accenture indique que « des benchmarks peuvent être réalisés sur des modes de fonctionnement, sur la manière dont les pays ont géré la crise - de manière centralisée ou décentralisée par exemple -, mais ils ne peuvent pas utiliser des données spécifiques, sur les flux ou la consommation par exemple » 365 ( * ) .
Dans la même logique, le cabinet McKinsey assure qu'il n'utilise « pas les données confidentielles des clients pour concevoir [les] benchmarks », l'utilisation des données étant « au coeur de la relation de confiance » avec leurs clients . « Si ceux-ci avaient le moindre doute sur l'usage que nous faisons de leurs données, nous n'aurions plus de clients ! » 366 ( * )
Les parangonnages de McKinsey reposeraient ainsi sur trois sources complémentaires : les données propriétaires, issues des services de recherche du cabinet, les données publiques, recueillies par ses succursales implantées dans le monde et « des entretiens conduits dans le cadre des travaux de benchmarking , dont la vocation est toujours explicitée auprès de nos interlocuteurs ».
De façon plus nuancée, le cabinet SIA Partners a concédé que ces données pouvaient éventuellement être réemployées à la condition, selon son président, M. Matthieu Courtecuisse, que le cabinet ait « réalisé beaucoup de missions » de sorte à pouvoir « anonymiser les résultats » et ainsi détecter « des tendances de marché [et] des tendances organisationnelles ». « Nous ne fournissons pas d'éléments de référence, sauf autorisation expresse de nos clients. »
En deuxième lieu, la commission d'enquête relève qu'alors qu'il est établi que les cabinets de conseil sont destinataires de données pouvant présenter un caractère sensible, les garanties en matière de protection et de confidentialité peuvent apparaître insuffisamment contrôlées .
D'abord, les administrations portent à la connaissance des cabinets de conseil des données qui sont utiles à la réalisation de leurs missions. Ces échanges obéissent, selon M. Cédric O, secrétaire d'État chargé de la transition numérique et des communications électroniques, à un principe de « minimisation » tant des données elles-mêmes que des destinataires .
Dans ce cadre, les administrations sont seules responsables et « contrôlent les données transmises, souvent d'ailleurs après un premier retraitement pouvant amener à les anonymiser » .
Ensuite, les modalités d'accès, d'exploitation et de conservation des données transmises relèvent des engagements contractuels pris par les acheteurs publics et les cabinets de conseil.
Comme l'indiquait, là encore, M. Cédric O, il serait de plus en plus souvent demandé que les « données soient hébergées sur des serveurs basés en France ou dans l'Union européenne » , tandis que ces mêmes données seraient « circonscrites à une utilisation bien définie et [...] effacées et supprimées à la fin de la mission » 367 ( * ) .
Enfin et pour autant, lors de leurs auditions,
les
cabinets de conseil n'ont pas été mesure d'indiquer comment les
acheteurs publics pouvaient s'assurer de la bonne mise en oeuvre des
obligations
de protection
de leurs
données
.
M. Karim Tadjeddine, directeur associé de
McKinsey, a par exemple indiqué que
si l'acheteur le
« souhaite, [le cabinet peut] proposer des
audits
pour qu'il puisse vérifier que les
règles ont été bien mises
en place ».
Les conditions de mise en oeuvre de ces audits n'ont pas été
précisées, pas plus que leur éventuel coût.
Au regard de l'enjeu, la circulaire du Premier ministre du 19 janvier 2022 368 ( * ) précise que les cahiers des charges des prestations de conseil « devront imposer, qu'à l'issue de chaque mission, l'intégralité des données du bénéficiaire transmises au prestataire [soit] retournée au donneur d'ordre administratif et ensuite supprimée sans délai et définitivement par le prestataire ».
Si elle va dans le bon sens, cette préconisation ne donne aucun moyen à l'administration pour vérifier que ses données ont bel et bien été détruites par les cabinets de conseil à l'issue de leur mission .
C'est pourquoi la commission d'enquête propose, qu'en cas de doute, l'administration puisse saisir la Commission nationale de l'informatique et des libertés (CNIL) pour qu'elle procède au contrôle du cabinet de conseil, y compris pour des informations dépassant le périmètre des données à caractère personnel .
Conformément aux pratiques habituelles de la CNIL, ces contrôles pourraient se dérouler sur place, sur convocation, en ligne ou sur pièces. Entraver l'action de la CNIL serait puni, comme aujourd'hui, d'un an d'emprisonnement et de 15 000 euros d'amende 369 ( * ) .
Proposition n° 18 : À l'issue de la mission, prévoir la destruction systématique des données confiées aux cabinets de conseil.
En cas de doute, permettre à l'administration de saisir la Commission nationale de l'informatique et des libertés (CNIL) pour qu'elle puisse diligenter des contrôles.
En troisième et dernier lieu, la commission d'enquête observe que la manipulation par les cabinets de conseil de données potentiellement sensibles reste une source de vulnérabilité pour l'État .
À cet égard, M. Guillaume Poupard, directeur de l'Anssi, a noté lors de son audition que « les cabinets de conseil peuvent eux-mêmes être des cibles de cyberattaques » 370 ( * ) .
Or, à ce jour l'Anssi n'est en mesure de se prononcer ni sur « le niveau de sécurité des cabinets de conseil » ni sur « leur capacité à protéger l'information de leurs clients » , ce qui est, relève M. Guillaume Poupard, « peut-être un problème » .
En outre, et au-delà du seul risque d'une cyber-attaque, la dimension extraterritoriale du droit américain en matière de données informatiques doit constituer un point d'attention majeur .
Ainsi, en vertu des dispositions du Clarifying Lawful Overseas Use of Data Act (« Cloud Act ») adopté par le Congrès le 23 mars 2018, les autorités américaines peuvent demander de manière simplifiée la communication de données hébergées sur le territoire américain comme à l'étranger par des fournisseurs de services de communication.
Lors de son audition, M. Guillaume Poupard - repris dans le même sens par M. Karim Tadjeddine pour McKinsey - a opportunément rappelé que les cabinets de conseil n'étaient pas a priori concernés par ces dispositions .
Il n'en va, toutefois, pas de même des entreprises auxquelles ils recourent pour héberger leurs données numériques ou pour disposer de puissance de calcul. Ces dernières peuvent être couvertes par le Cloud Act et, en conséquence, être amenées à devoir communiquer aux autorités américaines des données détenues par des cabinets de conseil.
Face à ces incertitudes, la commission d'enquête souhaite que l'Anssi puisse réaliser un référentiel d'audit de la sécurité des systèmes d'information attendue des prestataires réalisant une mission de conseil pour l'État et ses opérateurs.
Cette démarche permettra de garantir la robustesse des systèmes d'information des cabinets d'un point de vue technique mais aussi juridique, par rapport au « Cloud Act ».
Proposition n° 19 : Faire réaliser par l'Anssi un référentiel d'audit de la sécurité des systèmes d'information attendue des prestataires réalisant une mission de conseil pour l'État et ses opérateurs. Faire figurer dans les pièces nécessaires pour candidater à un appel d'offres public l'attestation de réalisation de cet audit.
* 360 Voir, pour plus de précisions, les développements consacrés au recours par l'État aux cabinets de conseil sur les dossiers industriels sensibles.
* 361 Audition de M. Edward Jossa, président-directeur général de l'Union des groupements d'achat publics (UGAP), du 6 décembre 2021.
* 362 Audition de M. Amélie de Montchalin du 19 janvier 2022.
* 363 Intervention de M. Laurent Penard, président de Citwell, lors de la table ronde des cabinets de conseil du 13 décembre 2021.
* 364 Voir l'étude de cas sur la crise sanitaire pour plus de précisions.
* 365 Intervention de M. Olivier Girard, président d'Accenture pour la France et le Benelux, lors de la table ronde des cabinets de conseil du 13 décembre 2021.
* 366 Audition de MM. Thomas London et Karim Tadjeddine, directeurs associés du cabinet McKinsey, du 17 janvier 2022
* 367 Audition de M. Cédric O du 2 février 2022.
* 368 Circulaire sur l'encadrement du recours par les administrations et les établissements publics de l'État aux prestations de conseil.
* 369 Article 226-22-2 du code pénal.
* 370 Audition de M. Guillaume Poupard, directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi), du 10 janvier 2022