CHAPITRE V
ASSURER UNE MEILLEURE PROTECTION DES DONNÉES
DE L'ADMINISTRATION
Article 17
Obligation de suppression des données
confiées par l'administration pour les besoins de la prestation de
conseil
et possibilité de faire diligenter un contrôle par la
CNIL
L'article 17 vise à mieux contrôler l'utilisation des données collectées par les consultants auprès de l'administration bénéficiaire ou de tiers dans le cadre de la mission de conseil en excluant tout utilisation en dehors de l'exécution de la prestation et en imposant la suppression de ces données à l'issue de celle-ci.
Il confierait une mission de contrôle à la Commission nationale de l'informatique et des libertés (CNIL) dont le rôle serait exceptionnellement étendu à la supervision de données non personnelles. Cette mission s'exercerait dans le cadre des procédures de contrôle habituelles de la CNIL, tout en prévoyant une information systématique du cabinet de conseil avant contrôle.
À l'initiative de sa rapporteure, la commission a adopté cet article tout en supprimant la mention de cette information préalable systématique, afin de conserver le régime de droit commun de la CNIL qui peut, dans certains cas, préférer préserver un effet de surprise, si elle est dûment autorisée par le juge des libertés et de la détention (JLD).
1. Répondre à une alerte de la commission d'enquête sur le « paradoxe de la donnée »
Les travaux de la commission d'enquête ont mis à jour le paradoxe suivant : les cabinets de conseil assurent que les données recueillies dans le cadre de leurs prestations pour l'État ne seront pas réutilisées au profit de leurs autres clients, mais proposent en parallèle des parangonnages ou benchmarks réalisés en un temps record 89 ( * ) , ce qui suppose de détenir des masses de données.
Pour y répondre, l'article 17 de la proposition de loi tend à inscrire dans la loi, conformément à la proposition de la commission d'enquête 90 ( * ) :
- l' interdiction de toute réutilisation par le cabinet de conseil des données collectées auprès de l'administration bénéficiaire ou de tiers pour les besoins de la prestation ;
- l'obligation de suppression des données collectées un mois après l'issue de la prestation.
Ces deux obligations ne concerneraient pas les données publiées, qui par nature auraient pu être collectées par le prestataire ou le consultant en dehors de la prestation de conseil.
L'article 17 confèrerait également à la Commission nationale de l'informatique et des libertés (CNIL) une mission de contrôle de cette obligation, y compris pour des données qui n'ont pas de caractère personnel , à condition d'aviser préalablement la personne concernée.
2. La nécessité d'un encadrement législatif et d'un contrôle par une autorité indépendante
Au regard de la problématique ainsi mise en lumière par la commission d'enquête, certaines initiatives ont d'ores et déjà été prises par les pouvoirs publics et les consultants pour éclaircir le statut des données collectées par les cabinets de conseil.
La circulaire du Premier ministre du 19 janvier 2022 est venue préciser que les cahiers des charges des prestations de conseil « devront imposer, qu'à l'issue de chaque mission, l'intégralité des données du bénéficiaire transmises au prestataire [soit] retournée au donneur d'ordre administratif et ensuite supprimée sans délai et définitivement par le prestataire ».
Le cahier des clauses administratives particulières (CCAP) du nouvel accord-cadre de la direction interministérielle de la transformation publique (DITP) en cours d'établissement 91 ( * ) prévoit ainsi des dispositions spécifiques en matière de protection des données collectées 92 ( * ) : celles-ci doivent être utilisées dans le cadre de la prestation uniquement ; à l'issue de la prestation, les cabinets de conseil doivent les supprimer dans un délai d'un mois ; une pénalité de 10 000 euros est prévue en cas de manquement aux règles de protection des données personnelles.
De son côté, en septembre 2022, Syntec Conseil, syndicat professionnel représentatif des sociétés de conseil en France, a publié une « charte de déontologie visant les interventions de conseil auprès du secteur public » qui recommande l'interdiction de « toute utilisation de ces informations privilégiées pour un usage autre que celui au titre duquel elles lui ont été communiquées ».
Ces différentes dispositions de nature contractuelle ne s'appliquent pas à toutes les prestations de conseil réalisées pour le compte de l'État et ne font l'objet d'aucun contrôle. Par ailleurs, certaines de ces règles ne concernent que les données personnelles ou qualifiées de « privilégiées » par le cabinet de conseil.
C'est la raison pour laquelle la commission est favorable à l'adoption de dispositions législatives imposant à tous, y compris aux sous-traitants, l'obligation de respecter la finalité exclusive des données et de supprimer celles-ci à l'issue de la prestation .
La rapporteure a spécifiquement interrogé les représentants de la CNIL sur le contrôle que celle-ci serait appelée à effectuer dans le cadre de l'article 17 sur les données non personnelles , ce qui sort de son rôle habituel. Selon eux, « les vérifications à mener se rapprocher[ai]ent des missions classiques de la CNIL et notamment du contrôle du respect des délais de conservation des données ». La difficulté serait plutôt d'ordre pratique , les données non personnelles pouvant être moins aisément repérables que celles qui le sont. Elle pourrait toutefois être levée avec l'aide de l'administration concernée qui devrait préalablement au contrôle identifier les données qu'elle a confiées, voire les fournir à la CNIL pour comparaison.
Par ailleurs, la CNIL a souligné qu'il pourrait y avoir en la matière des risques de dissimulation plus élevés qu'en matière de traitement de données personnelles, dans la mesure où il est difficile pour un responsable de traitement de chercher à modifier en urgence ses traitements, mais moins de faire migrer des données ou de les effacer en urgence. Elle n'est donc pas favorable au fait d'aviser systématiquement en amont le prestataire et les consultants concernés qu'un contrôle va être mené.
3. La position de la commission : supprimer l'obligation d'avis préalable pour prévenir le risque de dissimulation
La commission est favorable à une extension ponctuelle du pouvoir de contrôle de la CNIL aux données non personnelles afin qu'elle vienne, à leur demande, en appui aux administrations bénéficiaires qui auraient un doute sur le bon respect par leurs cocontractants de leurs obligations. En l'état de sa réflexion, la rapporteure n'a pas souhaité proposer une extension des pouvoirs de sanction de la CNIL en conséquence, car cela lui semblait par trop modifier l'esprit de la loi « Informatique et Libertés » du 6 janvier 1978 93 ( * ) .
Il convient de rappeler que, s'agissant des données personnelles , les cabinets de conseil, dès lors qu'ils procèdent à des traitements de données personnelles, relèvent déjà du contrôle de la CNIL qui a actuellement pleine et entière compétence pour procéder à des contrôles auprès d'eux.
À l'initiative de sa rapporteure, la commission a préféré maintenir le pouvoir de contrôle étendu aux données non personnelles ainsi créé dans les conditions de l'article 19 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, pour conserver la possibilité de procéder à un contrôle, sur autorisation du JLD, s'en aviser préalablement la personne contrôlée . Il s'agirait de prévenir tout risque de dépérissement des preuves, ce qui pourrait s'avérer utile dans certains cas.
Elle a adopté l' amendement COM-22 en conséquence.
La commission a adopté l'article 17 ainsi modifié .
Article 18
Obligation d'audit de la sécurité des
systèmes d'information
des cabinets de conseil selon un
référentiel établi par l'ANSSI
L'article 18 entend confier à l'Agence nationale de la sécurité des systèmes d'information (ANSSI) la mission d'établir un référentiel d'audit de la sécurité des systèmes d'information spécifique pour les cabinets de conseil et de certifier les personnes pouvant conduire ces audits.
Il imposerait ensuite aux cabinets de conseil de produire une attestation d'audit pour pouvoir candidater à un marché public.
En l'état, la commission a adopté cet article mais n'a pas estimé utile de créer un nouveau référentiel en matière d'audit de la sécurité des systèmes d'information et une procédure de certification spécifique pour les cabinets de conseil et a préféré s'en remettre au référentiel et à la procédure de qualification déjà existants. Elle a précisé que serait exigée l'atteinte d'un niveau minimal de sécurité à l'issue de cet audit, et non pas une simple attestation.
1. La préoccupation de la commission d'enquête : l'incertitude quant au degré de sécurisation des données confiées aux cabinets de conseil
À ce jour, l'ANSSI n'est pas en mesure de se prononcer sur le niveau de sécurité des cabinets de conseil ou sur leur capacité à protéger l'information de leurs clients, a déclaré son directeur général, Guillaume Poupard, aux membres de la commission d'enquête 94 ( * ) .
Par ailleurs, au-delà du risque de cyber-attaque, la commission d'enquête a relevé l'incertitude juridique liée à la dimension extraterritoriale du droit américain en matière de données informatiques : les entreprises auxquelles les cabinets de conseil ont recours peuvent être couvertes par le Cloud Act et, en conséquence, être amenées à devoir communiquer aux autorités américaines des données détenues par des cabinets de conseil.
C'est la raison pour laquelle la commission d'enquête a préconisé de faire réaliser par l'ANSSI un référentiel d'audit de la sécurité des systèmes d'information ad hoc et d' exiger une attestation d'audit de tout candidat à un appel d'offres relatif à des prestations de conseil 95 ( * ) .
C'est l'objet de l'article 18 de la proposition de loi.
2. Le mécanisme proposé : une procédure d'audit nouvelle
L'ANSSI dispose déjà d'un référentiel en matière d'audit de la sécurité des systèmes d'information 96 ( * ) et les audits peuvent être conduits par des prestataires qualifiés par les centres d'évaluation agréés par celle-ci.
Selon l'ANSSI, ce dispositif parait adapté au regard des pratiques informatiques des cabinets de conseil qui reposent majoritairement sur des outils bureautiques standards.
Il semble par conséquent inutile de prévoir un référentiel et une procédure de certification ad hoc , qui obligerait l'ANSSI d'une part à élaborer un référentiel propre aux cabinets de conseil, et d'autre part à revoir sa procédure de qualification. Actuellement, l'agence ne certifie pas elle-même les prestataires d'audit, mais délègue leur « qualification » à des centres d'évaluation dont elle vérifie les compétences dans le cadre d'un processus d'agrément triennal.
Par ailleurs, l'ANSSI a relevé que la simple production d'une attestation indiquant que l'audit avait bien été réalisé ne garantirait pas un niveau minimal de sécurité . En théorie, un candidat ayant eu des conclusions d'audit défavorables serait admissible à se porter candidat au marché public.
3. La position de la commission : se reposer sur le référentiel et la procédure de qualification existants
Le cahier des clauses administratives particulières (CCAP) du nouvel accord-cadre de la direction interministérielle de la transformation publique (DITP) en cours de finalisation contient des dispositions qui sont spécifiquement applicables lorsque les titulaires manipulent des informations de l'acheteur sur un système externe à l'administration : l'acheteur peut alors imposer des mesures complémentaires et requérir, par exemple, l'usage de solutions détenant un visa de sécurité de l'ANSSI ou ayant été audité par un prestataire qualifié par l'ANSSI.
Toutefois, il semble nécessaire de rendre cet audit systématique et exigible pour tout type de prestations de conseil, pour s'assurer de la sécurisation des systèmes d'information hébergeant les données reçues et émises par les cabinets de conseil dans le cadre de leurs prestations au bénéfice d'une administration.
La commission a donc été favorable aux dispositions de l'article 18, tout en y apportant, par l'adoption de l'amendement COM-23 , une modification afin de s'en remettre au référentiel déjà existant et exiger l'atteinte d'un niveau minimal de sécurité , et non pas une simple attestation. Ce niveau serait fixé par le décret prévu au III.
La commission a adopté l'article 18 ainsi modifié .
* 89 Voir le rapport de la commission d'enquête, p. 222.
* 90 Proposition n° 18 de la commission d'enquête.
* 91 Accord-cadre relatif à la réalisation de prestations de conseil en stratégie, en cadrage et conduite de projets et en efficacité opérationnelle, ayant fait l'objet d'un avis publié le 1 er août.
* 92 Articles 9.3.2 et 17.7 du CCAP.
* 93 Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
* 94 Voir le rapport de la commission d'enquête, p. 225.
* 95 Proposition n° 19 de la commission d'enquête.
* 96 https://www.ssi.gouv.fr/uploads/2014/12/PASSI_referentiel-exigences_v2.1.pdf