Marchés publics : les exigences de chiffrement (cryptage) des données et de sécurité des systèmes d’information

Arrêt n°17.23.104 rendu le 27 mars 2019 par la Cour de Cassation : 

On sait que les marchés publics sont soumis au respect d’une procédure particulière, réformée par l’ordonnance du 23 juillet 2015, destinée notamment à assurer le respect de la liberté d’accès à la commande publique, de l’égalité de traitement des candidats et de la transparence des procédures (art. 1er de l’ordonnance précitée).

A cette fin, des exigences de sécurité des données et des systèmes d’information s’imposent à eux, et figuraient, à l’époque des faits ayant donné au litige, aux articles 13 et 14 du décret n° 2005-1308 du 20 octobre 2005.

Ces textes prévoyaient notamment :

  • que les transmissions, les échanges et le stockage d’informations sont effectués de manière à assurer l’intégrité des données et la confidentialité des candidatures et des offres et à garantir que l’entité adjudicataire ne prend connaissance du contenu des candidatures et des offres qu’à l’expiration du délai prévu pour la présentation de celles-ci ;
  • que les candidatures et les offres transmises par voie électronique ou sur support physique électronique doivent permettre d’authentifier la signature du candidat selon les exigences posées aux articles 1316, 1316-1 à 1316-4 du Code civil ;
  • que la transmission des candidatures et des offres doit faire l’objet d’une date certaine de réception ;
  • que toutes les mesures techniques nécessaires, notamment de cryptage et de sécurité, sont prises pour que personne ne puisse avoir accès aux données transmises par les candidats avant les dates limites de réception des candidatures et des offres, et que toute violation de cette interdiction soit facilement détectable.

Or, en l’espèce, l’autorité adjudicataire avait modifié les modes de transmission des offres en demandant aux candidats de les transmettre, non sur la plateforme sécurisée eAchats (comme l’imposait le règlement de consultation), mais par simple courriel.

Un candidat recalé a alors formé un recours devant le juge du référé pré-contractuel, conformément aux dispositions des articles L.551-1 et suivants du Code de justice administrative, aux fins d’obtenir la suspension de toute décision se rapportant à la consultation litigieuse et d’enjoindre à l’autorité adjudicataire de se conformer à ses obligations de publicité et de mise en concurrence.

Pour tenter d’échapper à ses obligations, l’autorité adjudicataire se recroquevillait derrière l’absence de texte lui imposant précisément de recourir à une plateforme sécurisée.

Mais la Cour de cassation (Chambre commerciale, 27 mars 2019, n° 17-23.104 ; A. Danis-Fatôme, Des exigences de cryptage et de sécurité des données au sein de la passation d’une commande publique, Revue des contrats, septembre 2019, p.36 et suiv.) a estimé que le recours à un simple courrier électronique traduisait un manquement à son obligation (plus générale) d’adopter les mesures techniques nécessaires, relatives notamment au cryptage et à la sécurité des données, afin que personne ne puisse avoir accès aux données transmises par les candidats avant les dates limites de réception des candidatures et des offres.

Autrement dit, elle était responsable de cette sécurité, de sorte qu’elle ne pouvait, tel Eichmann, prétendre s’être contentée de respecter scrupuleusement les instructions légales et réglementaires.

La Cour de cassation ajoute qu’un préjudice n’a pas à être démontré car, dans une telle hypothèse, le manquement à son obligation, « en ce qu’il est susceptible d’avantager un concurrent, cause nécessairement grief à tous les candidats ».

Cette décision rappelle ainsi fort opportunément que l’exigence d’impartialité, qui doit présider à l’attribution des marchés publics, ne se contente pas d’interdire d’avantager un candidat, mais proscrit tout ce qui pourrait susciter une suspicion en ce sens.

Et l’autorité adjudicataire y joue un rôle de garant, de sorte qu’elle ne peut pas échapper à ses responsabilités en raison d’un défaut de preuve du préjudice causé.

Enfin, on signalera l’arrêté du 18 septembre 2018 qui approuve un cahier des clauses simplifiées de cybersécurité auquel les autorités adjudicataires peuvent adhérer.

Outre un ensemble de mesures de sécurité, ce référentiel comporte une clause de règlement amiable des différends devant un Comité consultatif de règlement amiable afin notamment de préserver la confidentialité de ces différends.

Toutefois, il ne faut pas oublier, en ce domaine comme en d’autres, que « la responsabilité pénale des acteurs (…) est de plus en plus invoquée lorsque les ressources informatiques qu’ils gèrent, sont l’objet ou le moyen d’une fraude.

[Il leur faut] alors démontrer que des mesures suffisantes de protection du système d’information et des données ont été implantées afin de se protéger contre un délit de manquement à la sécurité » (S.Ghernaouti, Cybersécurité, sécurité informatique et réseaux, éd. Dunod, 5ème éd., 2017, spéc. p.94). La vision solipsiste de la cybersécurité pourrait alors voler en éclats et révéler sa pauvreté intellectuelle…

 

Annabel QUIN,
Maître de conférences à l’Université de Bretagne-Sud
Ancienne avocat au Barreau de Paris

Mise en ligne: 

30/09/2019

Vidéos – Congrès Rome 2019

Découvrez en vidéos quelques instants du congrès Alta-Juris 2019 à Rome !

Voir les vidéos du congrès des avocats Alta-Juris / Rome 2019

Application mobile

LaywerToLawyer, l'application mobile Alta-Juris des avocats pour les avocats

Ventes aux enchères immobilières

Actualités en partenariat avec DALLOZ

Seul un professionnel du droit ou relevant d’une profession assimilée […]
mer 16 Oct 2019
Les filiales française et irlandaise de la société Google ont […]
mer 16 Oct 2019
Réunis le 11 octobre sous la bannière Collectif SOS Retraites, […]
lun 14 Oct 2019
Magistrat depuis de nombreuses années, Serge Portelli tente de répondre, […]
dim 13 Oct 2019
Le 10 octobre dernier, le barreau des Hauts-de-Seine a organisé […]
jeu 10 Oct 2019

Village de la Justice

Ville de la Justice

Rechercher un avocat