Proposition de loi encadrant l'intervention des cabinets de conseil privés dans les politiques publiques

CHAPITRE V
ASSURER UNE MEILLEURE PROTECTION DES DONNÉES DE L'ADMINISTRATION

Article 17 (Non modifié)
Obligation de suppression des données confiées par l'administration pour les besoins de la prestation de conseil
et possibilité de faire diligenter un contrôle par la CNIL

1. Un « paradoxe de la donnée » identifié par la commission d'enquête, qui interroge sur l'usage des données récoltées lors des prestations de conseil au bénéfice des administrations

Dans un environnement de plus en plus numérisé et dans lequel l'intelligence artificielle s'immisce progressivement dans les méthodes de travail, les données sont une ressource précieuse et doivent à ce titre faire l'objet d'une attention particulière.

C'est pourquoi la commission d'enquête s'est intéressée à l'usage, par les prestataires de conseil, des données non personnelles^151(*) récoltées dans le cadre d'une mission de conseil au bénéfice d'une administration.

Il ressort des travaux de la commission d'enquête une certaine opacité quant à cet usage, qu'elle qualifie de « paradoxal »^152(*). En effet, si les cabinets de conseil assurent que les données recueillies dans le cadre de leurs prestations pour l'État ne seront pas réutilisées au profit de leurs autres clients, ils proposent en parallèle des parangonnages ou benchmarks réalisés en un temps record, ce qui suppose de détenir des masses de données.

La commission d'enquête se serait ainsi « trouvée face à des réponses parfois contradictoires ou qui, en tout cas, ne permettent pas de trancher le point de savoir si des cabinets de conseil réemploient, en pratique, les données qu'ils obtiennent dans le cadre d'une mission avec l'État ou d'autres acteurs publics, éventuellement étrangers »^153(*).

Faute d'assurance que les données de l'administration ne sont pas réutilisées à des fins commerciales et pour répondre à ce « paradoxe de la donnée », la commission d'enquête a préconisé qu'« à l'issue de la mission, [il soit prévu] la destruction systématique des données confiées aux cabinets de conseil [et qu'en] cas de doute, [il soit permis] à l'administration de saisir la CNIL pour qu'elle puisse diligenter des contrôles »^154(*).

Outre la réponse législative que le présent article 17 constituerait (voir infra), cette proposition a inspiré des avancées de nature règlementaire ou contractuelle.

La circulaire du Premier ministre du 19 janvier 2022^155(*) a précisé que les cahiers des charges des prestations de conseil « devront imposer qu'à l'issue de chaque mission, l'intégralité des données du bénéficiaire transmises au prestataire [soit] retournée au donneur d'ordre administratif et ensuite supprimée sans délai et définitivement par le prestataire ».

Mettant en pratique cette nouvelle règle, le cahier des clauses administratives particulières (CCAP) du dernier accord-cadre de la direction interministérielle de la transformation publique (DITP), publié en juillet 2022^156(*), prévoit ainsi des dispositions spécifiques^157(*) en matière de protection des données collectées dans le cadre de la prestation : celles-ci doivent être utilisées dans le cadre de la prestation uniquement et toute utilisation dans une autre finalité est interdite ; à l'issue de la prestation, les cabinets de conseil doivent les restituer à l'administration bénéficiaire et les supprimer dans un délai d'un mois ; une pénalité de 10 000 euros est prévue en cas de manquement aux règles de protection des données personnelles.

De son côté, en septembre 2022, Syntec Conseil, syndicat professionnel représentatif des sociétés de conseil en France, a publié une « charte de déontologie visant les interventions de conseil auprès du secteur public » qui recommande l'interdiction de « toute utilisation de ces informations privilégiées pour un usage autre que celui au titre duquel elles lui ont été communiquées ».

Pour souhaitables que soient ces mesures, leur systématicité et leur pérennité ne sont pas garanties en l'absence d'un cadre législatif qui uniformiserait les obligations en matière d'utilisation des données de l'administration.

2. L'article 17 de la proposition de loi règlemente l'utilisation des données de l'administration par les cabinets de conseil, une fois la prestation achevée

a)    Le texte initial

Conformément à la proposition de la commission d'enquête, l'article 17 prévoit d'inscrire dans la loi de nouvelles règles quant à l'utilisation des données récoltées par les prestataires de conseil lorsque la prestation est réalisée au bénéfice d'une des administrations mentionnées à l'article 1^er de la proposition de loi.

En premier lieu, l'article 17 interdit toute réutilisation par le cabinet de conseil des données collectées auprès de l'administration bénéficiaire ou de tiers pour les besoins de la prestation, en précisant que ces données ne peuvent être utilisées que « dans le seul objectif d'exécuter cette même prestation ».

Pour s'assurer du respect de cette interdiction, le même article 17 prévoit, d'une part, que le prestataire et les consultants suppriment ces données dans un délai d'un mois à l'issue de la prestation et, d'autre part, que la CNIL puisse procéder à des contrôles « lorsque l'administration bénéficiaire ou les tiers ont un doute sur le respect » des obligations précitées. Le contrôle de la CNIL serait étendu, à titre dérogatoire, aux données non personnelles. Il serait effectué dans les conditions prévues à l'article 19 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Le texte initial prévoyait que la CNIL devait aviser le prestataire et les consultants concernés du contrôle qu'elle comptait opérer. Un décret en Conseil d'État, pris après avis de la CNIL, est prévu afin de préciser les modalités de mise en oeuvre de ce contrôle.

Enfin, l'article 17 dispose que les obligations d'utilisation exclusive et de suppression des données ne concerneraient pas les données publiées par l'administration ou le tiers concernés, qui par nature auraient pu être collectées par le prestataire ou le consultant en dehors de la prestation de conseil.

b)   Les modifications apportées par le Sénat en première lecture

Lors de la première lecture, la commission s'est prononcée « en faveur de l'adoption de dispositions législatives imposant à tous, y compris aux sous-traitants, l'obligation de respecter la finalité exclusive des données et de supprimer celles-ci à l'issue de la prestation ». Elle a également approuvé « l'extension ponctuelle du pouvoir de contrôle de la CNIL aux données non personnelles afin qu'elle vienne, à leur demande, en appui aux administrations bénéficiaires qui auraient un doute sur le bon respect par leurs cocontractants de leurs obligations »^158(*).

Souhaitant renforcer l'incitation à respecter les obligations ainsi créées par la loi et limiter le risque de dépérissement des preuves, la commission a adopté un amendement COM-22, présenté par sa rapporteure, pour conserver la possibilité de procéder à un contrôle, sur autorisation du juge des libertés et de la détention, sans aviser préalablement la personne contrôlée, comme le permet l'article 19 de la loi du 6 janvier 1978 précitée.

Elle n'a cependant pas étendu les pouvoirs de sanction de la CNIL, estimant, d'une part, que « cela modifierait par trop l'esprit de la loi » du 6 janvier 1978, et, d'autre part, notant que laCNIL peut au moins imposer des sanctions aux cabinets de conseil lors du contrôle des données personnelles.

En séance publique, le Sénat a adopté l'article 17 dans sa rédaction issue du texte de la commission.

c) Les modifications apportées par l'Assemblée nationale en première lecture

Lors de l'examen du texte à l'Assemblée nationale, l'article 17 a fait l'objet de modifications en commission des lois, sur lesquelles les députés sont partiellement revenus lors de la séance publique.

En définitive, le texte transmis au Sénat en deuxième lecture apparaît proche du texte voté en octobre 2022.

Outre des modifications rédactionnelles mineures, l'Assemblée nationale a prévu, à l'initiative de ses rapporteurs, Bruno Millienne et Nicolas Sansu, que les données transmises par l'administration bénéficiaire ou par les tiers avec lesquels les consultants communiquent ainsi que les traitements réalisés sur celles-ci soient remises à l'administration avant leur suppression. Cette modification va donc dans le sens des constats dressés par la commission d'enquête et du texte adopté par le Sénat.

Les rapporteurs de la commission des lois de l'Assemblée nationale souhaitaient également que les prestataires transmettent à l'administration bénéficiaire une déclaration attestant que les données ont été détruites et qu'en cas de non-respect des obligations prévues à l'article 17, la CNIL en informe l'administration bénéficiaire, qui aurait alors pu saisir la Haute Autorité pour la transparence de la vie publique (HATVP) afin qu'une sanction administrative soit infligée au prestataire fautif.

Ces deux ajouts ont cependant été supprimés en séance publique, à l'initiative de la députée Laure Miller et du Gouvernement, au motif que l'attestation « crée une nouvelle obligation sur le prestataire, sans pour autant apporter de garanties sur le respect des règles de protection des données »^159(*) et que la HATVP, dont la commission des sanctions venait d'être supprimée par l'Assemblée nationale, « n'apparaît pas être la mieux placée pour prononcer de telles sanctions qui relèvent en premier lieu de la CNIL »^160(*).

3. La protection des données de l'administration utilement renforcée au cours de la navette parlementaire

La commission a jugé pertinents les ajouts opérés par l'Assemblée nationale en première lecture et maintenus dans le texte transmis au Sénat.

Elle a considéré que ces ajouts confortaient le dispositif adopté par le Sénat en première lecture et participaient de l'objectif, fixé dans le rapport de la commission d'enquête, de « mieux protéger les données de l'État ».

En conséquence, elle a adopté cet article sans modification.

Article 18 (Non modifié)
Obligation d'audit de la sécurité des systèmes d'information utilisés par les cabinets de conseil réalisant des prestations pour des administrations

1. La commission d'enquête a mis en exergue « l'incertitude » qui caractérise le degré de sécurisation des données confiées aux cabinets de conseil

Alors que les cabinets de conseil qui réalisent des prestations au bénéfice d'administrations, a fortiori l'État, peuvent être amenés à récolter ou avoir accès à des données sensibles ou, du moins, confidentielles, la commission d'enquête a « observ[é] que la manipulation par les cabinets de conseil de données potentiellement sensibles reste une source de vulnérabilité pour l'État »^161(*).

Le directeur de l'Agence nationale de la sécurité des systèmes d'information (Anssi), alors Guillaume Poupard, avait en effet indiqué à la commission d'enquête que si « les cabinets de conseil peuvent eux-mêmes être des cibles de cyberattaques », il n'était cependant pas en mesure de se prononcer ni sur « le niveau de sécurité des cabinets de conseil », ni sur « leur capacité à protéger l'information de leurs clients », et donc celles des administrations contractantes^162(*).

Par ailleurs, au-delà du risque de cyber-attaque, la commission d'enquête a relevé l'insécurité juridique liée à la dimension extraterritoriale du droit américain en matière de données informatiques : les entreprises auxquelles les cabinets de conseil ont recours pour héberger leurs données, souvent américaines dès lors qu'il s'agit de prestations informatiques, sont couvertes par le Clarifying Lawful Overseas Use of Data Act du 23 mars 2018, dit « Cloud Act », et, en conséquence, peuvent être amenées à communiquer aux autorités américaines des données détenues par des cabinets de conseil.

Pour répondre à ces difficultés, et afin de « garantir la robustesse des systèmes d'information des cabinets d'un point de vue technique mais aussi juridique », la commission d'enquête a proposé de « faire réaliser par l'Anssi un référentiel d'audit de la sécurité des systèmes d'information attendue des prestataires réalisant une mission de conseil pour l'État et ses opérateurs [et de] faire figurer dans les pièces nécessaires pour candidater à un appel d'offres public l'attestation de réalisation de cet audit »^168(*).

Sans mettre pleinement en oeuvre ces propositions, le Gouvernement a récemment pris des mesures de nature règlementaire qui attestent de la justesse des constats dressés par la commission d'enquête.

En premier lieu, la circulaire du Premier ministre du 19 janvier 2022^169(*) dispose que « les données [transmises par l'administration au prestataire de conseil] qui revêtiraient une sensibilité particulière [...], devront être impérativement hébergées dans des solutions internes à l'État ou respectant la qualification SecNumCloud de l'Anssi et protégées contre tout transfert de données en dehors de l'Union européenne du fait d'une règlementation extracommunautaire ».

Conformément aux exigences établies par la circulaire du Premier ministre, le cahier des clauses administratives particulières (CCAP) relatif à l'accord-cadre de la direction interministérielle de la transformation publique (DITP) de juillet 2022 prévoit que « lorsque le titulaire du contrat est amené à manipuler des informations transmises par l'administration, celle-ci peut imposer des mesures complémentaires et requérir, par exemple, l'usage de solutions détenant un visa de sécurité de l'Anssi, ou ayant été auditées par un prestataire qualifié par l'Anssi »^170(*). En outre, « les données particulièrement sensibles doivent faire l'objet d'un hébergement non exposé au droit extra-communautaire et respectant les exigences du référentiel SecNumCloud, et le prestataire doit garantir l'hébergement des données de l'administration sur le territoire national, sauf accord du haut fonctionnaire de défense et de sécurité et dérogation dûment motivée et précisée »^171(*).

2. L'article 18 prévoit la réalisation d'un audit de sécurité des systèmes d'information, dont le contour et le caractère obligatoire ou non ont évolué au cours de la navette parlementaire

a) Le texte initial

Reprenant la proposition n° 19 de la commission d'enquête, l'article 18, dans sa rédaction initiale, tendait à créer une procédure d'audit de la sécurité des systèmes d'information des prestataires de conseil, laquelle aurait été obligatoire pour tous les prestataires de conseil souhaitant participer à une procédure de passation d'un contrat de la commande publique.

Pour ce faire, il était demandé à l'Anssi l'établissement d'un référentiel ad hoc d'audit de la sécurité des systèmes d'information attendu d'un prestataire de conseil. La certification des tiers indépendants pouvant conduire cet audit aurait également été confiée à l'Anssi.

Un décret en Conseil d'État, pris après avis de l'Anssi, devait préciser les modalités d'application de ces mesures.

b) Les modifications apportées par le Sénat en première lecture

En première lecture, la commission a jugé « nécessaire » d'inscrire dans la loi la réalisation d'un audit systématique, pour s'assurer de la sécurisation des systèmes d'information hébergeant les données reçues et émises par les cabinets de conseil dans le cadre de leurs prestations au bénéfice d'une administration. Rien ne garantit, en effet, que les mesures exigées actuellement par le CCAP de l'accord-cadre de la DITP soient reconduites lors de l'élaboration du prochain accord-cadre.

Constatant que l'Anssi dispose déjà d'un référentiel en matière d'audit de la sécurité des systèmes d'information (voir supra) et que les audits ne peuvent être conduits que par des prestataires qualifiés par les centres d'évaluation agréés par celle-ci, la commission a cependant considéré qu'il était « inutile » de prévoir un référentiel et une procédure de certification ad hoc, qui obligeraient l'ANSSI, d'une part à élaborer un référentiel propre aux cabinets de conseil, et d'autre part à revoir sa procédure de qualification.

C'est pourquoi la commission a adopté un amendement COM-23, présenté par sa rapporteure, supprimant l'établissement d'un nouveau référentiel de sécurité par l'Anssi, afin de s'en remettre au référentiel déjà existant et d'exiger l'atteinte d'un niveau minimal de sécurité.

En séance publique, le Sénat a adopté l'article 18 dans sa rédaction issue du texte de la commission.

c) Les modifications apportées par l'Assemblée nationale en première lecture

L'article 18 a fait l'objet de modifications substantielles à l'Assemblée nationale, aussi bien au stade de l'examen en commission des lois que lors de la séance publique.

En commission, les députés ont adopté, avec un avis favorable des rapporteurs, un amendement CL107 présenté par Laure Miller, assouplissant le dispositif adopté par le Sénat au motif « qu'une obligation générale et indifférenciée de réaliser un audit de sécurité informatique telle qu'elle est prévue par le présent article pénaliserait les petites sociétés de conseil, au bénéfice des plus grandes »^172(*). La commission des lois de l'Assemblée nationale a ainsi souhaité rendre optionnelle la réalisation d'un audit de sécurité, au choix de l'administration, qui peut l'imposer uniquement « lorsque l'objet ou les caractéristiques du marché nécessitent un haut niveau de sécurité des systèmes d'information ». Elle a en outre élargi le champ des audits pouvant être réalisés, au-delà de l'audit « PASSI », à « tout document équivalent d'un autre État membre de l'Union européenne », attestant d'un niveau minimal de sécurité.

En séance publique, les députés ont adopté une nouvelle rédaction, à nouveau à l'initiative de Laure Miller, durcissant les conditions dans lesquelles peut être imposé un audit de sécurité par l'administration bénéficiaire. L'imposition d'un audit de sécurité devrait désormais être conditionnée aux cas lors desquels le prestataire aurait accès à « des données d'une sensibilité particulière, à caractère personnel ou non, et si leur violation est susceptible d'engendrer une atteinte à l'ordre public, à la sécurité publique, à la santé ou à la vie des personnes ou à la protection de la propriété intellectuelle ». Cette modification est présentée comme un alignement avec la définition mentionnée par la circulaire dite « cloud au centre » du 31 mai 2023 de la Première ministre^173(*). En outre, les députés ont supprimé la mention d'un référentiel de l'Anssi ou de tout autre document équivalent d'un autre État membre de l'UE, en exigeant que l'audit de sécurité soit réalisé « par un tiers prestataire d'audit de sécurité des systèmes d'information », qui sera défini par le décret d'application prévu au III de l'article 18.

3. Une rédaction acceptée par la commission

Constatant que l'administration pourra toujours imposer la réalisation d'un audit de sécurité des systèmes d'information des cabinets de conseil pour les données les plus sensibles, la commission a estimé que la rédaction de l'article 18 issue de l'Assemblée nationale était satisfaisante. Elle a donc adopté cet article sans modification.

* ¹⁵¹ En ce qui concerne les données personnelles, les cabinets de conseil sont soumis, comme tous les acteurs privés, au cadre général fixé par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, dit « RGPD », et aux contrôles que peut opérer la CNIL sur le fondement de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

* ¹⁵² Voir le rapport de la commission d'enquête, p. 222.

* ¹⁵³ Ibid.

* ¹⁵⁴ Proposition n° 18 de la commission d'enquête.

* ¹⁵⁵ Circulaire n° 6329/SG du Premier ministre du 19 janvier 2022 encadrant le recours par les administrations et les établissements publics de l'État aux prestations intellectuelles.

* ¹⁵⁶ Accord-cadre relatif à la réalisation de prestations de conseil en stratégie, en cadrage et conduite de projets et en efficacité opérationnelle, ayant fait l'objet d'un avis publié le 1^er août.

* ¹⁵⁷ Articles 9.3.2, 9.3.3.1 et 17.7 du CCAP.

* ¹⁵⁸ Voir le rapport de première lecture.

* ¹⁵⁹ Amendement n° 165 présenté par Laure Miller.

* ¹⁶⁰ Amendement n° 188 présenté par le Gouvernement.

* ¹⁶¹ Voir le rapport de la commission d'enquête, page 225.

* ¹⁶² Ibid.

* ¹⁶³ Décret n° 2009-834 du 7 juillet 2009 portant création d'un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d'information ».

* ¹⁶⁴ 7° de l'article R. 1132-3 du code de la défense.

* ¹⁶⁵ Article 3 du décret du 7 juillet 2009 précité.

* ¹⁶⁶ Article 4 du décret du 7 juillet 2009 précité.

* ¹⁶⁷ Ibid.

* ¹⁶⁸ Il s'agit de la proposition n° 19 de la commission d'enquête.

* ¹⁶⁹ Circulaire n° 6329/SG du Premier ministre du 19 janvier 2022 encadrant le recours par les administrations et les établissements publics de l'État aux prestations intellectuelles.

* ¹⁷⁰ Article 9.3.3.1 du CCAP.

* ¹⁷¹ Ibid.

* ¹⁷² Rapport n° 2112 (XVIe législature) de Bruno Millienne et Nicolas Sansu, fait au nom de la commission des lois sur la proposition de loi, adoptée par le Sénat, encadrant l'intervention des cabinets de conseil privés dans les politiques publiques, déposé le 24 janvier 2024.

* ¹⁷³ Circulaire n° 6404/SG du 31 mai 2023 de la Première ministre, portant actualisation de la doctrine d'utilisation de l'informatique en nuage par l'État, dite « circulaire cloud au centre ». Cette circulaire mentionne en effet, en sa page 8, les « données à caractère personnel ou non, d'une sensibilité particulière et dont la violation est susceptible d'engendrer une atteinte à l'ordre public, à la sécurité publique, à la santé et à la vie des personnes ou à la protection de la propriété intellectuelle ».