Souveraineté numérique et achats publics Episode II : un nouvel espoir

En droit interne, le législateur a affirmé, dès 2016, un principe structurant : l’État, les collectivités territoriales, les autres personnes morales de droit public ainsi que les personnes privées chargées d’une mission de service public doivent veiller à « préserver la maîtrise, la pérennité et l’indépendance de leurs systèmes d’information »[1].

Les acheteurs publics sont ainsi placés dans une position délicate : 

• d’un côté, il leur est demandé de contribuer à la sécurité et à l’indépendance de leur système d’information en privilégiant des fournisseurs européens ; 

• de l’autre, ils interviennent sur un marché largement dominé par des acteurs extra-européens, notamment dans le domaine du cloud et des technologies numériques avancées. 

À ces contraintes s’ajoute un cadre juridique européen qui interdit, en principe, toute discrimination à l’égard des entreprises américaines, en vertu de l’Accord sur les marchés publics (AMP).

Ces tensions se superposent à des exigences techniques et juridiques déjà élevées dans le domaine. La réglementation relative à la protection des données personnelles (RGPD) impose ainsi aux responsables de traitement de mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques encourus. Certains acheteurs publics sont en outre susceptibles d’être soumis à des obligations renforcées en matière de sécurité dans le cadre du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité actuellement en discussion au Parlement. Enfin, l’entrée en application du règlement européen sur l’intelligence artificielle viendra encore accroître ces exigences.

Dans ce contexte, un recours systématique et exclusif à des opérateurs économiques européens apparaît difficilement envisageable, tant pour des raisons juridiques qu’économiques (I). Pour autant, une approche plus ciblée et pragmatique demeure possible en s’appuyant notamment sur les dispositifs déjà déployés par l’État pour concilier exigences de souveraineté, sécurité juridique et efficacité opérationnelle (II).

I. Un recours systématique à des opérateurs européens : une option à la fois illégale et économiquement contre-productive

A. Une pratique contraire au principe de non-discrimination en matière de marchés publics

1. Le cadre juridique de l’Union européenne

Le droit de l’Union européenne interdit strictement toute discrimination entre les opérateurs économiques dans le cadre de l’attribution des marchés publics. Le principe de non-discrimination est consacré comme un principe général du droit de l’Union. Ce principe est explicitement rappelé par la directive 2014/24/UE du 26 février 2014 relative à la passation des marchés publics.

Concrètement, le principe d’égalité de traitement interdit aux acheteurs publics de favoriser certains opérateurs à quelque stade que ce soit de la procédure : dans la définition des besoins, dans les modalités de publicité, dans l’organisation de la mise en concurrence ou encore dans l’analyse des offres. Le principe de non-discrimination implique, quant à lui, que tous les opérateurs économiques soient admis à candidater, sauf dans les cas limitativement prévus par la réglementation, notamment en cas d’interdiction de soumissionner.

2. Une interdiction étendue par les engagements internationaux de l’Union

Le respect de la non-discrimination dans les marchés publics est en outre renforcé par les engagements internationaux de l’Union européenne. Plusieurs accords conclus par l’Union reposent sur un principe de réciprocité, garantissant aux opérateurs économiques des États signataires un accès équivalent aux marchés publics.

L’Accord sur les marchés publics (AMP), conclu en 1994 sous l’égide de l’Organisation mondiale du commerce (OMC), constitue à cet égard un instrument central. Il vise à favoriser la libéralisation et l’expansion du commerce international en assurant aux opérateurs économiques des États parties un accès aux marchés publics dans des conditions comparables à celles dont bénéficient les opérateurs nationaux. L’AMP s’applique aux marchés de fournitures, à certains marchés de services et aux marchés de travaux dépassant les seuils européens de publicité et de mise en concurrence.

Intégré dans l’ordre juridique de l’Union par une décision du Conseil du 22 décembre 1994, cet accord est expressément pris en compte par la directive 2014/24/UE. Son article 25 impose ainsi aux pouvoirs adjudicateurs d’accorder aux opérateurs économiques des États signataires un traitement « non moins favorable » que celui réservé aux opérateurs de l’Union. L’AMP compte aujourd’hui 22 parties représentant 49 membres de l’OMC, parmi lesquels figurent notamment les États-Unis et Hong Kong, mais pas la République populaire de Chine.

Dans ce cadre, une exclusion systématique des opérateurs provenant d’Etats membres de cet accord serait non seulement juridiquement infondée, mais également susceptible d’exposer les acheteurs publics à des contentieux.

B. Le recours généralisé à des exigences de souveraineté élevées : un risque économique

1 La qualification SecNumCloud

Le débat sur la souveraineté numérique se cristallise souvent autour de la qualification SecNumCloud, délivrée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) aux prestataires de services cloud. Cette qualification vise à garantir un très haut niveau de sécurité, dans un contexte marqué par une intensification des cyberattaques ciblant les infrastructures d’hébergement en nuage.

La qualification SecNumCloud repose sur plus de 360 exigences de sécurité indissociables, couvrant des dimensions techniques, opérationnelles et juridiques. Elle a notamment pour objectif de protéger les données sensibles contre l’application de législations extraterritoriales, en évaluant la capacité du prestataire à résister à des injonctions émanant d’autorités étrangères.

2 Une qualification au périmètre d’utilisation limitée

Toutefois, comme l’a souligné l’Autorité de la concurrence, l’imposition généralisée de telles exigences à l’ensemble des acheteurs publics pourrait produire des effets contre-productifs. Les investissements nécessaires à l’obtention de la qualification SecNumCloud sont particulièrement élevés et risquent d’exclure du marché les acteurs européens émergents, pourtant essentiels à la structuration d’une offre souveraine à moyen terme.

Par ailleurs, les offres qualifiées SecNumCloud présentent des coûts sensiblement supérieurs à ceux des offres non qualifiées d’un même prestataire, avec des surcoûts estimés entre 25 % et 40 %. Une obligation indifférenciée de recours à ces solutions pèserait donc lourdement sur les budgets des acheteurs publics, en particulier ceux des collectivités territoriales, dans un contexte de fortes contraintes financières.

Le débat autour de l’usage de la qualification SecNumCloud illustre ainsi une exigence centrale en matière d’achat public : les contraintes techniques et juridiques imposées aux opérateurs ne sont légitimes que si elles sont strictement proportionnées à la nature des données traitées et à la réalité des besoins. À défaut, elles risquent de fragiliser à la fois la concurrence, l’innovation et la soutenabilité économique des politiques publiques.

II. Un recours ciblé, fondé sur une bonne connaissance des besoins et une utilisation adaptée des outils de la commande publique

L’analyse conduite par la Cour des comptes sur la politique d’achat de l’État en matière de systèmes d’informations civils[2] met en évidence des enseignements transposables à l’ensemble des acheteurs publics. Elle rappelle deux principes essentiels : la nécessité de bien connaître ses besoins (A) et l’intérêt de mobiliser, de manière proportionnée, les outils offerts par le code de la commande publique (B).

A. Connaître précisément le besoin : cartographier les risques et piloter l’achat par une gouvernance transversale

1. Adapter la cartographie des achats aux enjeux de la souveraineté numérique

La cartographie des achats constitue traditionnellement la première étape d’une politique d’achat structurée[3]. Elle consiste à segmenter les dépenses en familles d’achats homogènes, en tenant compte à la fois de la nature des besoins (spécifications techniques, volumes, usages) et de la structuration du marché fournisseur (fabricants, éditeurs, intégrateurs, distributeurs). Cette démarche permet d’identifier les segments à forts enjeux, soit en raison de leur poids financier, soit en raison des risques qu’ils font peser sur la continuité de l’activité publique, par exemple lorsqu’une dépendance excessive à un fournisseur est constatée. Elle débouche sur un plan d’actions hiérarchisé, assorti d’indicateurs de suivi et de choix contractuels adéquats.

Appliquée aux enjeux de souveraineté numérique, cette méthode doit toutefois être adaptée sur deux points essentiels. 

• Le premier concerne la résilience des systèmes d’information. Il s’agit d’identifier les achats critiques, c’est-à-dire ceux qui sont indispensables au fonctionnement de missions ou de processus essentiels et qui justifient à ce titre, des exigences de sécurité renforcées. L’extension prévue par le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, notamment au bénéfice des collectivités territoriales, contribuera à objectiver cette analyse grâce à des référentiels communs.

• Le second point porte sur la nature des données traitées par les solutions numériques. Lorsque des données sensibles ou couvertes par des secrets protégés par la loi sont concernées, des obligations particulières s’imposent. Pour l’Etat, c’est précisément l’objet de l’article 31 de la loi SREN[4], qui prévoit des exigences spécifiques en matière d’hébergement en nuage pour les données présentant un haut niveau de sensibilité (la version votée en première lecture par le Sénat de la proposition de loi de sécurisation des marchés publics numériques étend le périmètre de cette loi à l’ensemble des acheteurs publics[5]).

2. Mettre en place une gouvernance transversale, notamment pour les usages de l’intelligence artificielle

Cette logique de pilotage doit être complétée par une gouvernance transversale entre services sur le choix des outils numériques, en particulier s’agissant des logiciels intégrant des fonctionnalités d’intelligence artificielle. Le règlement européen sur l’IA[6], publié le 12 juillet 2024, vise à encadrer l’utilisation de ces systèmes en fonction des risques qu’ils présentent pour les droits fondamentaux.

Ce texte adopte une définition large des systèmes d’IA, englobant les modèles capables d’inférer des résultats à partir de données d’entrée. Il classe ces systèmes en quatre catégories selon leur niveau de risque. Ces obligations nouvelles devront être anticipées dès la phase de préparation de l’achat, afin d’éviter des choix techniques ou contractuels incompatibles avec les exigences qui seront précisées dans les différents actes d’application du règlement.

B. Mobiliser des techniques d’achat adaptées : mutualisation, systèmes d’acquisition dynamiques et logiciels libres

1. Mutualisation des achats et recours aux systèmes d’acquisition dynamique (SAD)

La complexité croissante des règles applicables aux achats numériques plaide en faveur d’une mutualisation des moyens et des compétences. Celle-ci permet à la fois de sécuriser juridiquement les procédures et de renforcer l’expertise technique mobilisée. Elle peut également s’accompagner d’une massification des achats, grâce à une harmonisation et une rationalisation des besoins entre plusieurs entités.

Ce travail d’harmonisation suppose du temps : temps de concertation, de clarification des usages et de maturation des choix. Il est néanmoins indispensable pour concilier les besoins des utilisateurs avec les standards du marché. Un besoin standardisé est en effet plus facilement satisfait à un coût maîtrisé qu’une solution développée spécifiquement pour un seul acheteur.

La mutualisation peut également porter sur la programmation des achats et des livraisons, afin de permettre aux entreprises de mieux organiser leur production. Elle peut enfin être complétée par le recours à des outils de commande publique offrant davantage de souplesse, tels que le système d’acquisition dynamique. Ce dispositif, particulièrement adapté aux achats courants, permet de passer des commandes de manière séquencée et réactive. Il peut être combiné à des mécanismes de mise en concurrence renforcée, comme les enchères électroniques inversées. A ce titre, la direction des achats de l’Etat a recours à une centrale d’achat qui exécute un SAD pour les achats d’ordinateurs de l’Etat.

2. Repenser le recours aux logiciels libres

Enfin, la réflexion sur les modalités d’achat peut conduire à interroger le recours systématique aux logiciels propriétaires au profit de solutions libres. L’enjeu principal réside dans la capacité des administrations à conserver la maîtrise de leurs outils numériques et à changer de solution sans dépendance excessive à un éditeur.

Le développement de logiciels sur mesure offre une maîtrise accrue mais comporte des risques importants en termes de coûts et de délais. À l’inverse, le recours à des logiciels du marché peut générer des difficultés au moment du changement de solution lorsque l’administration souhaite éviter des situations de verrouillage technologique. Le recours à des logiciels libres constitue une solution intermédiaire intéressante. La Gendarmerie nationale illustre les bénéfices potentiels d’une telle démarche. Entre 2007 et 2014, celle-ci a migré environ 90 000 postes de travail vers un système d’exploitation libre générant des économies estimées à près de 50 millions d’euros sur les licences logicielles. 

Que la force soit avec vous dans vos achats !