Arrêt n°17.23.104 rendu le 27 mars 2019 par la Cour de Cassation :
On sait que les marchés publics sont soumis au respect d’une procédure particulière, réformée par l’ordonnance du 23 juillet 2015, destinée notamment à assurer le respect de la liberté d’accès à la commande publique, de l’égalité de traitement des candidats et de la transparence des procédures (art. 1er de l’ordonnance précitée).
A cette fin, des exigences de sécurité des données et des systèmes d’information s’imposent à eux, et figuraient, à l’époque des faits ayant donné au litige, aux articles 13 et 14 du décret n° 2005-1308 du 20 octobre 2005.
Ces textes prévoyaient notamment :
- que les transmissions, les échanges et le stockage d’informations sont effectués de manière à assurer l’intégrité des données et la confidentialité des candidatures et des offres et à garantir que l’entité adjudicataire ne prend connaissance du contenu des candidatures et des offres qu’à l’expiration du délai prévu pour la présentation de celles-ci ;
- que les candidatures et les offres transmises par voie électronique ou sur support physique électronique doivent permettre d’authentifier la signature du candidat selon les exigences posées aux articles 1316, 1316-1 à 1316-4 du Code civil ;
- que la transmission des candidatures et des offres doit faire l’objet d’une date certaine de réception ;
- que toutes les mesures techniques nécessaires, notamment de cryptage et de sécurité, sont prises pour que personne ne puisse avoir accès aux données transmises par les candidats avant les dates limites de réception des candidatures et des offres, et que toute violation de cette interdiction soit facilement détectable.
Or, en l’espèce, l’autorité adjudicataire avait modifié les modes de transmission des offres en demandant aux candidats de les transmettre, non sur la plateforme sécurisée eAchats (comme l’imposait le règlement de consultation), mais par simple courriel.
Un candidat recalé a alors formé un recours devant le juge du référé pré-contractuel, conformément aux dispositions des articles L.551-1 et suivants du Code de justice administrative, aux fins d’obtenir la suspension de toute décision se rapportant à la consultation litigieuse et d’enjoindre à l’autorité adjudicataire de se conformer à ses obligations de publicité et de mise en concurrence.
Pour tenter d’échapper à ses obligations, l’autorité adjudicataire se recroquevillait derrière l’absence de texte lui imposant précisément de recourir à une plateforme sécurisée.
Mais la Cour de cassation (Chambre commerciale, 27 mars 2019, n° 17-23.104 ; A. Danis-Fatôme, Des exigences de cryptage et de sécurité des données au sein de la passation d’une commande publique, Revue des contrats, septembre 2019, p.36 et suiv.) a estimé que le recours à un simple courrier électronique traduisait un manquement à son obligation (plus générale) d’adopter les mesures techniques nécessaires, relatives notamment au cryptage et à la sécurité des données, afin que personne ne puisse avoir accès aux données transmises par les candidats avant les dates limites de réception des candidatures et des offres.
Autrement dit, elle était responsable de cette sécurité, de sorte qu’elle ne pouvait, tel Eichmann, prétendre s’être contentée de respecter scrupuleusement les instructions légales et réglementaires.
La Cour de cassation ajoute qu’un préjudice n’a pas à être démontré car, dans une telle hypothèse, le manquement à son obligation, « en ce qu’il est susceptible d’avantager un concurrent, cause nécessairement grief à tous les candidats ».
Cette décision rappelle ainsi fort opportunément que l’exigence d’impartialité, qui doit présider à l’attribution des marchés publics, ne se contente pas d’interdire d’avantager un candidat, mais proscrit tout ce qui pourrait susciter une suspicion en ce sens.
Et l’autorité adjudicataire y joue un rôle de garant, de sorte qu’elle ne peut pas échapper à ses responsabilités en raison d’un défaut de preuve du préjudice causé.
Enfin, on signalera l’arrêté du 18 septembre 2018 qui approuve un cahier des clauses simplifiées de cybersécurité auquel les autorités adjudicataires peuvent adhérer.
Outre un ensemble de mesures de sécurité, ce référentiel comporte une clause de règlement amiable des différends devant un Comité consultatif de règlement amiable afin notamment de préserver la confidentialité de ces différends.
Toutefois, il ne faut pas oublier, en ce domaine comme en d’autres, que « la responsabilité pénale des acteurs (…) est de plus en plus invoquée lorsque les ressources informatiques qu’ils gèrent, sont l’objet ou le moyen d’une fraude.
[Il leur faut] alors démontrer que des mesures suffisantes de protection du système d’information et des données ont été implantées afin de se protéger contre un délit de manquement à la sécurité » (S.Ghernaouti, Cybersécurité, sécurité informatique et réseaux, éd. Dunod, 5ème éd., 2017, spéc. p.94). La vision solipsiste de la cybersécurité pourrait alors voler en éclats et révéler sa pauvreté intellectuelle…
Mise en ligne : 30/09/2019