Le mercredi 10 mars 2021, un incendie s’est déclaré dans le centre de données (data center) de la société OVH situé à Strasbourg, détruisant ou endommageant 3,6 millions de serveurs, dont ceux de plateformes de dématérialisation de marchés publics. Ce sinistre se démarque des problèmes techniques régulièrement rencontrés jusqu’ici, telle qu’une simple panne informatique ou une configuration logicielle défaillante ou tout simplement un certificat de signature électronique expiré.
Dans un cas de ce type, que doivent faire les acheteurs publics dont la plateforme a été rendue indisponible ? Il conviendra de distinguer les actions à entreprendre vis-à-vis des opérateurs économiques et celles à entreprendre vis-à-vis des différents prestataires et assureurs.
Vis-à-vis des entreprises soumissionnaires
Certains acheteurs publics qui avaient confié à la société OVH le référencement et la sécurisation de leur site de dématérialisation, ont vu, pour certains (seuls certains serveurs ayant été touchés) leur plateforme de dématérialisation détruite ou sérieusement endommagée.
Deux cas de figure se posent alors :
Soit la plateforme a été rendue indisponible seulement temporairement et auquel cas, l’acheteur public devra déterminer l’impact de cette indisponibilité sur la procédure et estimer si ce laps de temps d’indisponibilité est susceptible de léser les candidats potentiels.
Fadila Ouadah-Benghalia
Dans l’affirmative l’acheteur public devra préférer une relance de la procédure ou une remise ultérieure des offres à la date limite de remise des offres initialement prévue (cf guide très pratique de la dématérialisation des marchés publics de la DAJ, A 17).
Soit la plateforme n’était absolument pas disponible au moment de la remise des offres et ne l’est toujours pas et auquel cas, l’acheteur public, outre l’éventualité d’un dépôt d’une copie de sauvegarde par l’ensemble des candidats, doit agir avec prudence et déclarer sans suite la procédure et la relancer (cf guide très pratique de la dématérialisation des marchés publics de la DAJ, A 16).
Vis-à-vis des prestataires informatiques intervenant sur la plateforme
L’acheteur public devra également veiller à la préservation de ses droits afin de pouvoir réclamer par la suite, auprès de ses différents prestataires informatiques (hébergeurs, mainteneurs…), une indemnisation pour l’ensemble des préjudices subis à la suite d’un tel événement.
Laurence Huin
Si un constat d’huissier peut être préconisé afin de constater l’ensemble des dysfonctionnements subis et constituer ainsi la preuve du dommage, il conviendra dans tous les cas d’alerter dans les meilleurs délais, par une lettre formelle son prestataire des dommages subis, en se réservant la possibilité de réclamer réparation de l’entièreté de son préjudice en se référant le cas échéant aux termes du contrat. De même, là encore dans des délais très courts, l’acheteur public devra réaliser l’ensemble des démarches nécessaires auprès de son ou ses assureurs.
Enfin, un événement, tel que l’incendie sur les serveurs d’OVH, peut constituer une violation de données personnelles, au sens de l’article 4 12° du RGPD, entraînant « de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».
Dès lors, l’acheteur public, en qualité de responsable de traitement, devra appliquer sa politique de violation des données et à tout le moins obtenir de son prestataire les informations suivantes :
– la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
– le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
– les conséquences probables de la violation de données à caractère personnel ;
– les mesures prises par le prestataire ou qu’il propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Une fois ces informations obtenues, l’acheteur public devra déterminer s’il existe un risque d’atteinte aux droits et libertés des personnes physiques et le cas échéant procéder aux notifications obligatoires, auprès de la CNIL mais également des ARS pour les établissements de santé, les hôpitaux des armées, les laboratoires de biologie médicale et les centres de radiothérapie. Une notification aux personnes concernées sera également nécessaire dans l’éventualité où l’événement constituerait un risque élevé aux droits et libertés des personnes physiques.
Enfin, si un tel événement est susceptible d’avoir un impact significatif sur la continuité des services, les acheteurs publics, répondant à la qualification d’opérateurs de services essentiels, issue de la directive NIS (Directive Network and Information System Security), devront également notifier l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
