Alerte rouge sur les achats publics de solutions numériques

partager :

« Accepter d'autrui qu'il subvienne à des besoins nombreux et même superflus, et aussi parfaitement que possible, finit par vous réduire à un état de dépendance »
Friedrich Nietzsche


Cela commence par quelques informations qui, bien qu’éparses, constituent à la longue, un "signal faible". Comme l’annonce en fanfare d’une commune qui achète des véhicules Tesla pour équiper sa police municipale (relire "Achat public en coût global ET souverain, est-ce que "T’es là" ?"). Dans ce qui se voulait initialement une bonne communication politique teintée d’environnement et de modernité, certains pointaient déjà un autre problème : ces véhicules sont bardés de haute technologie numérique… américaine.
 

Ne pas rester une "colonie du monde numérique "

Et puis cela monte d’un cran : le CNLL (union des entreprises du logiciel libre et du numérique ouvert) dénonce un marché public de 152 millions d’euros, « attribué sans mise en concurrence réelle », pour équiper les services centraux et les établissements d’enseignement supérieur en solutions Microsoft, incluant Office 365. Sans compter la migration des messageries des étudiants, des professeurs, des chercheurs et du personnel administratif « y compris dans les zones à régime restrictif (ZRR) » vers les serveurs de Microsoft O 365 (relire "Sécurité informatique et souveraineté : alerte et colère du CNLL et du Sénat").
Concomitamment, le Sénat soumet ainsi à la Commission des lois une proposition de résolution européenne visant à l’application stricte du cadre réglementaire numérique de l’Union européenne et appelant au renforcement des conditions d’une réelle souveraineté numérique européenne.

achatpublic.info se penche sur la question, selon son prisme achat public, depuis un certain temps déjà. Il y a deux ans, on s'enquiert auprès de l’Alliance pour la Confiance Numérique (ANC) sur la facilité avec laquelle certains malfaisants lancent leurs cyber attaques contre les collectivités publiques et les hôpitaux notamment (relire "[Interview] Cybersécurité et commande publique : notre souveraineté numérique en péril ?"). L’ANC formule alors cette recommandation : « L’acheteur doit identifier le niveau de protection à déployer au regard de son usage et de l’importance des données qui circulent ».
 

Le Sénat voit rouge… voire écarlate

Mais ces derniers temps, avec les tensions créées par le locataire de la Maison blanche (encore lui ! relire "Achat public : à quel moment l’imprévisible devient routine ?"), ce n’est plus "seulement" la protection des données, mais leur hébergement qui devient sujet croissant d’inquiétudes. Avec, à nouveau, le Sénat à l’alerte.

Auditionné par la Commission d’enquête sénatoriale sur "les coûts et les modalités effectifs de la commande publique et la mesure de leur effet d'entraînement sur l'économie française", le député Philippine Latombe dénonce « une adhérence très forte à la technologie américaine » et sonne le tocsin : « Comment se fait-il qu’aujourd’hui des données soient encore stockées dans le "cloud" des entreprises américaines même si elles sont implantées en France, en échappant totalement aux réglementations européennes en matière de sécurisation des données ? » (relire "La commande publique sous enquête sénatoriale (5) : « On ne plaisante pas avec la souveraineté ! »").

Au cours de la même journée d’auditions, un ancien de la DGSE les alerte au sujet du recours aux cabinets anglo-saxons de conseil, dont l’Etat se montre tellement friand pour déterminer ses stratégies : les rapports des cabinets de conseil sont envoyés systématiquement à leur siège. Or les cinq plus gros cabinets de consultant sont anglo-saxons !

Les auditions des 6 et 7 mai n'arrangent rien à l'affaire, les sénateurs s'interrogeant sur l'efficacité, voire l'utilité, de certaines agences, comme la DiNum ou encore Agence du numérique en Santé (ANS) : « A mesure qu’on approfondit ce sujet, chacun semble dessiner un grand brouillard, entre les discours politiques, la DINUM, l'ANS et les ministères... Il nous faudrait un schéma pour comprendre comment cela fonctionne et sécuriser l’action publique en matière d'achats numériques ! » (lire "La commande publique sous enquête sénatoriale (7) : les achats numériques de l’Etat sur la sellette").
 

La commande publique au secours de la souveraineté numérique ?

La question se pose alors : la commande publique permet-elle de sortir de cette très risquée situation de dépendance ? La Commission d’enquête n’aura rien trouvé de bien rassurant dans ses auditions suivantes. Benoit Coeuré, président de l’autorité de la Concurrence, leur décrit une situation d’oligopole américain, car les fonctionnalités offertes par les acteurs européens ne sont pas à la hauteur de celles proposées par des entreprises mondiales telles que Microsoft ou AWS (Amazon Web Services) (lire "La commande publique sous enquête sénatoriale (6) : lourdes inquiétudes sur la souveraineté numérique"). Et les entreprises françaises du numérique dressent un constat alarmant : 80% des dépenses de l’Etat en matière de cloud et de logiciel se font auprès d’opérateurs américains. Pire encore : « L’impact de la non sensibilité aux lois extraterritoriales lorsque les données sont stockées à l’étranger est souvent minimisé ».

Ajoutons à cela l’épineuse question des moyens inégaux : « l'adoption du cloud SecNumCloud nécessite des investissements : les grandes administrations s'adaptent plus facilement, tandis que les petites structures rencontrent, elles, des difficultés à absorber les coûts de migration vers des solutions conformes » nous expliquait récemment Arthur Vallet, Responsable Secteur Public de NumSpot (relire "[Tribune] Cloud souverain et de confiance : la prise de conscience a-t-elle bien eu lieu pour le secteur public ?").
 

Appel à un avocat

On ne pouvait pas rester sur cette suite d’informations inquiétantes sans tenter de se rassurer auprès d’un avocat : "mais, la commande publique ne permettra-t-elle pas, à terme, de nous sortir de cette double situation de dépendance et de risque ?" Las ! Maître Bidault ne parvient pas tout à fait à éclaircir l’horizon (lire [Interview] Laurent Bidault : « En matière d'hébergement des données, les acheteurs n'ont pas d'alternative à Microsoft »").

Oui, bien sûr, le RGPD et les CCAG donnent un cadre à l’acheteur public soucieux. Et a minima l’acheteur doit imposer le scrupuleux respect des obligations européennes en la matière pour tous les marchés publics. Mais Me Bidault partage de toute façon le fatidique constat : « je ne suis pas certain qu'aujourd'hui, un acheteur public qui passe des commandes pour des applications ou des suites bureautiques, ait véritablement le choix. Dans la pratique, une fois que vous avez mis le pied dans Microsoft, vous n’allez pas en changer. »

Difficile, alors, de rester optimiste. Mais en matière d’hébergement et de sécurisation des données, ce serait pas mal d’expliquer aux acheteurs publics de logiciels et autres solutions numériques qu’eux aussi devraient cesser de pratiquer le moins disant, et penser cout global ... et souveraineté !