Les acheteurs publics devront-ils faire sans Kaspersky ?
En application des sanctions que l’UE a prises contre la Russie, le secteur public pourrait devoir faire une croix sur Kaspersky. Qu’en est-il ?
Kaspersky, banni de la commande publique en France ? Une fiche technique du ministère de l’Économie met cette éventualité en lumière. Son objet : la mise en œuvre d’un règlement européen (2022/576/UE) entré en vigueur ce mois-ci.
Le texte modifie un autre règlement. En l’occurrence, celui adopté à l’été 2014 en réponse à l’annexion de la Crimée par la Russie. Parmi les dispositions nouvellement introduites, il y a l’interdiction d’attribuer et de poursuivre l’exécution de certains marchés publics et contrats de concession (article 5 duodecies).
Cette mesure est susceptible de s’appliquer dans quatre hypothèses :
Les marchés et contrats concernés sont ceux relevant des directives 2014/23/UE (contrats de concession), 2014/24/UE (marchés publics), 2014/25/UE (secteurs de l’eau, de l’énergie, des transports et des services postaux) et 2009/81/CE (défense et sécurité). Le Code de la commande publique en offre un condensé en son livre Ier.
Il existe des exceptions. En particulier pour les marchés et les concessions en deçà des montants suivants :
Kaspersky : des produits « strictement nécessaires » ?
Exception, il y a aussi pour les marchés et les concessions portant sur des « biens ou services strictement nécessaires » et que ne peuvent fournir que les personnes/entités en question.
Bercy s’arrête précisément sur cet aspect dans sa note technique. Son message : l’appréciation du caractère « strictement nécessaire » devra s’effectuer au cas par cas. En prenant notamment en compte l’impact d’une rupture d’approvisionnement ou d’une cessation de fourniture. Ainsi que la capacité à trouver des produits ou services substituables ou équivalents. Dans tous les cas, la continuation d’un marché ou d’une concession sera conditionnée, en France, à l’autorisation de la DG Trésor.
L’ANSSI avait exprimé une position similaire début mars. Elle avait invité à rechercher des substituts aux outils Kaspersky, tout en appelant à ne pas les désactiver sans avoir de solution de remplacement prête à enclencher. Ses homologues allemand et italienne avait eu, à quelques jours d’intervalle, un discours de même teneur.
La réglementation donne jusqu’au 10 octobre 2022 pour mettre un terme aux contrats conclus avant le 9 avril. Les sanctions auxquelles s’exposent les contrevenants figurent à l’article 459 du Code des douanes. Parmi elles, cinq ans de prison et une amende pouvant aller jusqu’au double de la somme sur laquelle a porté l’infraction ou la tentative d’infraction.
Kaspersky ne semble pas tomber sous le coup des autres exceptions, qui touchent essentiellement aux énergies, aux programmes spatiaux et à la diplomatie.
