B. GARANTIR LA PRISE EN COMPTE DES ENJEUX DE CYBERSÉCURITÉ PAR LES ACHETEURS PUBLICS (ARTICLE 2).
La commission partage totalement l'objectif poursuivi par cet article, à savoir renforcer la prise en compte des impératifs de cybersécurité dans les marchés publics, et en particulier dans la définition précise du besoin. Deux motifs commandent en effet une telle prise en compte : le premier est de s'assurer que la puissance publique utilise des solutions suffisamment sécurisées et puisse, ainsi, inspirer confiance aux citoyens. Le seconde consiste, dans une logique de politique industrielle, à soutenir les solutions françaises et européennes de confiance et se conformant au règlement général sur la protection des données personnelles, dans un contexte où les États sont très présents dans le soutien aux acteurs concurrents non européens.
Cependant, elle émet des réserves sur le moyen d'atteindre cet objectif proposé par l'article 2, qui se résument de la façon suivante : une loi de portée générale est affaiblie si elle inclut des objectifs particuliers. En effet, les impératifs de cybersécurité ne concernent pas tous les marchés publics. Ce qui emporte deux conséquences :
en droit, un tel ajout risquerait de se heurter au principe d'égalité devant la commande publique, qui impose de ne formuler les exigences en termes d'expression des besoins, de critères de choix et de clauses d'exécution qu'en lien avec l'objet du marché. Or, une telle exigence portant sur la cybersécurité ne serait pas en lien avec tous les marchés ;
en opportunité, il est souvent demandé d'ajouter aux articles à portée générale du code de la commande publique des préoccupations légitimes mais particulières, comme la sécurité du travail, l'urgence climatique, la confidentialité, la préservation des données, le bien-être animal... Insérer de telles préoccupations particulières risquerait d'affaiblir la portée de cet article.
Malgré ces réserves, la commission a adopté l'article sans modification, compte tenu de l'accord entre les groupes politiques relatif à l'examen des propositions de loi.
C. POURSUIVRE LA RÉFLEXION EN VUE D'ACCROÎTRE LA MAÎTRISE DES ENTREPRISES SUR LEURS DONNÉES.
La commission remarque que les entreprises ne sont pas visées par le texte. Or, la sécurisation des données stockées en ligne constitue en effet un enjeu crucial pour la numérisation des entreprises en particulier des TPE et PME. Elle entend donc mener un travail de réflexion pour aboutir à un dispositif modifiant la proposition de loi en ce sens.
La commission rappelle par ailleurs que pour favoriser l'utilisation par les TPE-PME de solutions de cybersécurité, elle avait proposé , lors de l'examen de l'amendement du troisième projet de loi de finances pour 2020, la création d'un crédit d'impôt à la numérisation des entreprises qui aurait pris en compte les dépenses exposées par celles-ci pour assurer leur sécurité informatique. Ce dispositif est cependant à ce jour écarté par le Gouvernement.