V. PROTÉGER LES DONNÉES DE L'ADMINISTRATION CONFIÉES AUX CABINETS DE CONSEIL
La proposition de loi interdirait aux cabinets de conseil d'utiliser les données non publiées pour une finalité autre que l'exécution de la prestation et les obligerait à supprimer les données collectées dans un délai d'un mois à l'issue de la prestation. Le contrôle de cette suppression, y compris pour des données qui n'ont pas de caractère personnel, serait exercé par la Commission nationale de l'informatique et des libertés (CNIL) dans le cadre de ses pouvoirs existants.
La commission a approuvé cette disposition, tout en supprimant l'obligation d'aviser le cabinet de conseil avant une vérification sur place, dès lors que la CNIL est préalablement autorisée par le juge de la détention et des libertés. L'effet de surprise peut en effet être justifié pour éviter tout risque de dépérissement des preuves.
Afin de s'assurer de la sécurité des systèmes d'information utilisés par les cabinets de conseil, la proposition de loi imposerait enfin aux candidats à un marché public de produire une attestation d'audit réalisé selon un référentiel ad hoc établi par l'Agence nationale de la sécurité des systèmes d'information (ANSSI).
À l'initiative de sa rapporteure, la commission n'a pas estimé utile de créer un référentiel en matière d'audit de la sécurité des systèmes d'information spécifique et a préféré s'en remettre au référentiel déjà existant. Elle a précisé que serait exigée l'atteinte d'un niveau minimal de sécurité à l'issue de cet audit, et non pas une simple attestation.
*
* *
La commission a adopté la proposition de loi ainsi modifiée.