Prendre en compte le risque informatique dans la continuité de l'activité
« Essence du service public » selon le commissaire du gouvernement Tardieu (concl. sur CE, 7 août 1909, Winkell), le principe de continuité peut se définir comme le fonctionnement régulier des services sans interruption autres que celles prévues par la réglementation en vigueur. Il s’agit d’un principe général du droit à valeur constitutionnelle (Cons. Const. déc., 25 juill. 1979, n° 79-105, Droit de grève à la radio et à la télévision).
Alors que les services rendus par l’Administration sont de plus dématérialisés et que leurs données sont fréquemment hébergées dans des datacenters, la question du respect de cette obligation du point de vue informatique se pose de plus en plus. Comment par exemple assurer la paye des agents lorsque la société chargée d’héberger le logiciel de gestion des ressources humaines fait l’objet d’une opération de cybercriminalité paralysant l’application ?
La présente fiche donne en premier lieu des recommandations pratiques pour prévenir l’arrêt total ou partiel de l’activité informatique d’une collectivité.
Sont ensuite donnés des conseils pour inciter les prestataires informatiques à garantir la continuité du service, tant au stade de la rédaction des contrats que de leur exécution, en abordant également le cas de la force majeure.
CAS PRATIQUE : INDISPONIBILITE DES APPLICATIONS HEBERGEES CHEZ L’EDITEUR
Le 17 août 2022, l’éditeur Berger-Levrault a détecté une cyber-attaque sur son infrastructure d’hébergement de logiciels en mode Saas. Pour prévenir tout risque relatif aux données (vol, destruction, altération), le responsable de sa sécurité informatique a décidé de couper l’accès au service.
Cette décision se justifie pleinement du point de vue de la sécurité. Mais elle a amené un certain nombre de communes utilisant les logiciels Berger-Levrault en Saas à ne plus pouvoir y accéder. Or ces communes ne s’étaient pas préparées à l’éventualité d’une indisponibilité de leur outil informatique. Elles ont ainsi sollicité HGI-ATD pour l’établissement d’un acte de décès ou l’édition des documents nécessaires à un mariage, mais leur demande n’a pas pu être résolue informatiquement faute de disponibilité de leurs outils logiciels.
Cette interruption de service constitue un cas extrême qui ne s’était pas encore produit. Toutefois, avec l’essor des attaques cybercriminelles en direction des communes et de leurs hébergeurs, une telle situation sera amenée à se reproduire dans les années suivantes. Les communes doivent donc intégrer le risque informatique dans leur plan communal de sauvegarde.
CONSEILS PRATIQUES POUR PRÉVENIR UN ARRÊT INFORMATIQUE
Identifier les services et les opérations réalisés informatiquement qui entrent dans le champ de la continuité de service
L’ensemble des services rendus par une commune n’entrent pas nécessairement dans le champ de l’obligation de continuité du service public. Dans le cadre de la mise à jour du plan communal de sauvegarde, il importe d’identifier les services qui nécessitent au quotidien l’utilisation d’un outil informatique, et de déterminer s’ils doivent toujours être rendus en cas d’indisponibilité de cet outil. Par exemple, au sein des missions d’état civil, l’enregistrement des décès doit être réalisé même en cas de panne du logiciel d’état civil.
Préparer les procédures et les documents pour la continuité d’activité de ces services
Pour chacun des services identifiés ci-dessus, il est nécessaire de définir les modalités de rendu du service sans outil informatique : comment la procédure habituelle doit être adaptée, quels sont les documents qui devront être disponibles, quelles sont les opérations qui devront être réalisées une fois l’outil informatique à nouveau disponible.
En reprenant l’exemple de l’enregistrement d’un décès, il sera donc nécessaire d’avoir à disposition un formulaire papier vierge permettant de réaliser l’acte, et d’avoir accès au registre papier pour récupérer le numéro du dernier acte enregistré.
Pour réaliser la paye en l’absence d’outil informatique, il sera nécessaire de demander à la trésorerie de reconduire les payes du mois précédent et de régulariser la situation a posteriori.
Informer les agents
Les procédures établies ci-dessus nécessiteront que les agents concernés en aient connaissance en amont, afin de minimiser l’impact de l’indisponibilité de l’outil informatique. A défaut, les agents seraient conduits à attendre le rétablissement du fonctionnement de l’outil, ce qui serait préjudiciable à la continuité du service public.
LES PRÉCAUTIONS À PRENDRE LORS DE LA RÉDACTION DES CONTRATS INFORMATIQUES
L’obligation de prévoir expressément la continuité du service
Dans les contrats informatiques, la notion de continuité est qualifiée de « disponibilité ».
Il est important de stipuler expressément la disponibilité souhaitée soit par référence à une norme soit en termes de performances ou d’exigences fonctionnelles soit par une combinaison des deux, comme cela est prévu à l’article R. 2111-8 du code de la commande publique.
Pour une disponibilité maximale, il peut par exemple être fait référence à la norme européenne TIER III, selon laquelle le datacenter offre une disponibilité de 99.98 %, avec 1.6 heures d’interruption/an et une redondance N+1 (la redondance N+1 permet d’assurer un hébergement sur un serveur supplémentaire en cas de défaillance du serveur principal, par exemple en cas d’incendie, de catastrophe climatique ou d’attaque informatique).
La recommandation de faire référence dans les documents contractuels au CCAG-TIC
Les cahiers des clauses administratives générales (CCAG) sont des documents généraux approuvés par arrêté du ministre chargé de l'économie et des ministres intéressés, qui fixent les stipulations de nature administrative (modalités de règlement, de résiliation, pénalités en cas d’inexécution ou de retard, droits de propriété intellectuelle etc.) applicables à une catégorie de marchés publics et auxquels l’acheteur public peut se référer dans les documents particuliers du marché.
La référence à un CCAG est facultative, selon l’article R.2112-2 du code de la commande publique. Il est néanmoins fortement recommandé, pour des raisons de sécurité juridique, de se référer au CCAG le plus adapté à l’achat qui fait l’objet du marché et d’y déroger (le dernier article du CCAP, ou de tout autre document qui en tient lieu, contient la liste récapitulative des articles du CCAG auxquels il est dérogé).
S’agissant des marchés concernés par l’obligation d’assurer la continuité de l’activité du point de vue informatique (contrats d’hébergement, de téléphonie, d’accès à internet et de fourniture de logiciels notamment de paie et/ou de gestion des ressources humaines), celui applicable est le CCAG -TIC du 30 mars 2021. Ce document impose utilement, en son article 38.4, un plan de réversibilité permettant d’assurer la continuité des prestations lors d’un changement de prestataire.
Les sanctions à prévoir dans le cahier des charges
En cas de discontinuité du service et sauf cas de force majeure, deux sanctions sont possibles :
- les pénalités financières ;
- la résiliation pour faute.
Cas des pénalités financières :
L’article 14.2 du CCAG-TIC prévoit, sauf force majeure, une pénalité pour indisponibilité, mais spécifique aux marchés de maintenance informatique.
Elle est d’un montant assez faible (calculée en application de la formule Valeur mensuelle versée au titre de la maintenance X nombre de jours de retard / 30) et n’est appliquée que lorsque la durée d'indisponibilité observée dépasse les seuils ci-après :
- huit heures ouvrées pour une maintenance sur le site ;
- quinze jours consécutifs pour une maintenance chez le titulaire.
Il est possible de déroger à cet article 14.2 en prévoyant par exemple :
- que l’indisponibilité sanctionnée concerne l’application en elle-même et non seulement la maintenance (par exemple l’indisponibilité du logiciel de paie se traduisant par une impossibilité de connexion ou un dysfonctionnement majeur) ;
- que la pénalité est appliquée en cas d’une durée plus courte d’indisponibilité, par exemple quatre heures ouvrées ;
- un montant plus dissuasif de cette pénalité, par exemple 100 € TTC par heure.
Il est enfin à noter que l’article 14.1.2 du CCAG-TIC plafonne le montant total des pénalités à 10 % du montant HT du marché, ce qui n’est pas dissuasif. Il est donc recommandé, là encore, d’y déroger.
Cas de la résiliation pour faute :
L’article 50 du CCAG-TIC prévoit plusieurs cas de résiliation pour faute notamment lorsque « Dans le cas de prestations de maintenance, l'indisponibilité est constatée pendant trente jours consécutifs ». Il n’est pas stipulé en revanche la possibilité de mettre en œuvre ce type de résiliation pour d’autres types de prestations que la maintenance. Il convient donc, là encore, de prévoir une dérogation et de préciser le taux d’indisponibilité permettant d’enclencher cette résiliation (par exemple une indisponibilité totale de l’application pendant quinze jours ouvrés consécutifs).
Il est enfin possible de mentionner une résiliation aux frais et risques, ce qui signifie que l’acheteur public pourra confier, dans l’attente de la passation d’un nouveau marché, la continuation de l’exécution des prestations par une autre entreprise, aux frais du titulaire.
LES MESURES À APPLIQUER EN CAS DE DISCONTINUITÉ DU SERVICE LORS DE L’EXÉCUTION D’UN CONTRAT INFORMATIQUE
Cas des marchés faisant référence au CCAG-TIC
L’application des pénalités :
Si cela est prévu dans les documents particuliers du marché, les pénalités peuvent être précomptées sur les acomptes versés au titulaire. À défaut, elles constituent un élément du décompte général du marché.
Il est à signaler que le juge administratif contrôle le caractère manifestement excessif des pénalités infligées par l'Administration. Même s’il statue au cas par cas et prend en compte les circonstances de l’espèce, notamment l’attitude du cocontractant vis-à-vis de l’acheteur, un montant de pénalités trop important par rapport à celui du contrat est généralement sanctionné (Voir CE, 29 décembre 2008, n° 296930, OPHLM de Puteaux : cas où les pénalités ont atteint 56 % du montant du marché). Il est recommandé dans cette hypothèse de transiger afin d’éviter un recours en justice sur ce point.
La mise en œuvre de la résiliation pour faute :
En vertu de l’article 50.2 du CCAG, une mise en demeure, assortie d'un délai d'exécution, doit avoir été préalablement notifiée au titulaire et être restée infructueuse.
Dans le cadre de cette mise en demeure, l'acheteur informe le titulaire de la sanction envisagée et l'invite à présenter ses observations. Selon l’article 3.1, elle doit être notifiée par tout moyen matériel ou dématérialisé permettant de déterminer de façon certaine la date et l'heure de sa réception (lettre en LR/AR, par le biais du profil d’acheteur ou mail sécurisé).
À l’issue du délai qui lui a été laissé, si le dysfonctionnement persiste, le titulaire se voit notifier par le même moyen la résiliation du marché.
Un décompte de résiliation est établi, comportant au crédit du titulaire les prestations et frais qui ne lui ont le cas échéant pas été réglés. À son débit, sont inscrits les éventuels avance, acomptes et règlement partiels définitifs ainsi que, le cas échéant, le supplément des dépenses résultant de la passation d'un marché de substitution en cas de résiliation aux frais et risques.
Cas des marchés ne faisant pas référence au CCAG-TIC
La difficile mise en œuvre de sanctions :
Pour les marchés ne faisant pas référence au CCAG-TIC, l’application de sanctions est généralement plus difficile car le contrat est fréquemment un document type du prestataire et rédigé à son avantage. Ainsi, les clauses sont généralement laconiques et ne prévoient pas de pénalités ou une résiliation pour faute à l’initiative de l’acheteur public.
Il faut donc se référer à la jurisprudence pour étudier la possibilité d’une résiliation pour faute.
L’acheteur public dispose du pouvoir de résilier le contrat pour faute en cas de manquement grave aux obligations contractuelles.
Constituent notamment un manquement grave l’inexécution des obligations contractuelles (Conseil d’Etat, 26 février 2014, n° 365546, Société environnement service) ainsi que les retards d’exécution (Conseil d’Etat, 18 février 1983, n° 16913 & 17009, Sté française du tunnel routier de Fréjus et autres ; Conseil d’Etat, 25 juillet 1986, n° 57650, société Ingebat). Ce pouvoir existe même dans le silence du contrat (Conseil d’Etat, 30 septembre 1983, n° 26611, Comexp). Pour autant, la résiliation pour faute ne peut être utilisée pour des retards mineurs, qui peuvent être sanctionnés par une pénalité si le contrat le prévoit. Seuls en effet des retards considérables (Conseil d’Etat, 18 février 1983, n° 16913 & 17009, Sté française du tunnel routier de Fréjus et autres) ou nombreux (CAA Bordeaux, 5 mai 2009, n° 07BX00083, société Euro constructions outre-mer) justifient une telle résiliation.
Mais dans le cas d’une discontinuité du service informatique, il ne s’agit pas précisément d’un retard d’exécution ou d’une inexécution et il n’existe pas de jurisprudence spécifique pour ce cas particulier.
La difficile résiliation du marché :
Si les conditions contractuelles empêchent l’application de pénalités ou la mise en œuvre d’une procédure de résiliation pour faute, la solution est de résilier le contrat selon les conditions contractuelles, si elles sont assez précises (en général le respect d’un préavis est imposé) ou de proposer au titulaire la conclusion d’une transaction, comme le prévoit l’article L.2197-5 du code de la commande publique.
Cas de la force majeure
Cause exonératoire dans tous les systèmes de responsabilité, la force majeure doit réunir trois éléments pour être constituée :
- l’irrésistibilité: l’évènement doit mettre le titulaire dans l’impossibilité d’exécuter le contrat, par exemple, en cas d’une tempête d'une force exceptionnelle (CAA Nantes, 5 novembre 1998, n° 94NT00398, La Mutuelle du Mans Assurances IARD) ;
- l’imprévisibilité : le juge recherche si le phénomène naturel ou l'événement aurait pu être prévu par l'entrepreneur au moment de la conclusion du marché (CE, 24 avril 1959, Secr. d'État aux Forces armées c/ Éts Forestiers) ;
- l’extériorité : le fait empêchant la réalisation du marché doit être étranger au défendeur (CE, 9 novembre 1955, Sté des transports routiers Aviat et Cie), mais il peut le cas échéant être imputable à l'Administration.
Les conséquences de la force majeure sont également au nombre de trois :
- le cocontractant est libéré de son obligation d'exécution. L'Administration ne peut ni prendre de sanctions pour inexécution, ni appliquer les pénalités de retard (pour les marchés faisant référence au CCAG-TIC, l’article 14.2.6 de ce document prévoit que les pénalités ne sont pas appliquées en cas de force majeure) et l'entrepreneur est libéré de son obligation d'exécution (CE, 5 novembre 1982, n° 19413 Propétrol) ; par contre, dès que la force majeure prend fin, l'obligation d'exécuter le marché s'impose à nouveau à l'entrepreneur (CE, 5 janvier 1924, Cie Gar) ;
- la force majeure n'ouvre pas droit à indemnité ;
- si le cas de force majeure empêche l’exécution du marché, il peut être résilié sans que la responsabilité du titulaire puisse être recherchée mais aussi sans indemnité (l’article 49-1 du CCAG-TIC prévoit sur ce point que « Lorsque le titulaire est mis dans l'impossibilité d'exécuter le marché du fait d'un événement ayant le caractère de force majeure, l'acheteur résilie le marché »).
Aucune décision de justice n’a encore été prononcée sur le cas particulier de la rupture de la continuité d’un service informatique pour cause de force majeure. Il paraît cependant raisonnable de considérer que cette théorie pourrait être appliquée si le titulaire d’un marché était victime d’un hacker ou d’un évènement climatique irrésistible.
Nous vous rappelons que HGI-ATD ne répond qu'aux sollicitations de ses adhérents. Toute demande de documentation, conseil ou assistance ne respectant pas cette condition ne pourra aboutir.