[Questions à...] La protection des entreprises face aux cyberattaques - Questions à Laurie-Anne Ancenys, avocate associée, A&O Shearman
Lecture: 13 min
N2579B3W
Citer l'article
Créer un lien vers ce contenu
Le 11 Juillet 2025
Mots clés : cybersécurité • entreprises • menaces numériques • digitalisation • confidentialité
La cybersécurité s’impose aujourd’hui comme un enjeu majeur de viabilité des entreprises, que ce soit au niveau de leur fonctionnement quotidien pour éviter les risques de paralysie ou de leur possibilité de protéger leurs données pour contrecarrer les tentatives d’espionnage ou de dévoilement de leurs secrets industriels. Pour savoir comment les réglementations française et européenne ont organisé la riposte de ces actions menées par des groupes criminels voire des entités étatiques, Lexbase a interrogé Laurie-Anne Ancenys, avocate associée, A&O Shearman*.
Lexbase : Pouvez-vous nous rappeler en quoi la cybersécurité est un enjeu majeur pour les entreprises ?
Laurie-Anne Ancenys : La cybersécurité s’est imposée comme un enjeu central pour toutes les entreprises, indépendamment de leur taille ou de leur secteur d’activité. L’actualité récente, marquée par des attaques d’ampleur contre des acteurs majeurs tels que Free [1], Auchan [2], Harvest [3] ou encore Marks & Spencer [4] au Royaume-Uni a mis en lumière la gravité des risques encourus : fuites massives de données, paralysie des systèmes d’information, pertes financières et atteintes durables à la réputation. Aujourd’hui, le risque cyber est considéré comme un risque opérationnel majeur, susceptible d’avoir des conséquences plus dévastatrices qu’une catastrophe naturelle.
Les impacts d’une cyberattaque sont multiples et souvent irréversibles. Outre les coûts directs liés à la gestion de crise (recours à des experts, pertes de production, remédiation technique), la perte de données – qu’elles soient personnelles, stratégiques ou commerciales – constitue un préjudice irréparable : une fois diffusées sur le dark web, ces informations ne peuvent plus être récupérées. L’atteinte à l’image et à la réputation de l’entreprise peut également entraîner une défiance durable de la part des clients, partenaires et investisseurs, voire une chute du cours de bourse pour les sociétés cotées. Enfin, la multiplication des obligations réglementaires expose les entreprises à des sanctions financières significatives en cas de manquement.
La cybersécurité est ainsi devenue un enjeu de souveraineté et de compétitivité, au cœur des préoccupations des conseils d’administration et des comités stratégiques. Elle conditionne la pérennité de l’entreprise, sa valorisation et sa capacité à se développer dans un environnement numérique de plus en plus complexe et hostile.
Lexbase : Quels sont les textes majeurs encadrant ce domaine ?
Laurie-Anne Ancenys : Ces dernières années, le cadre réglementaire de la cybersécurité s’est considérablement étoffé, sous l’impulsion de l’Union européenne qui a multiplié les initiatives pour répondre à l’ampleur croissante des menaces numériques. Cette évolution se traduit par l’adoption de textes majeurs, qui structurent désormais l’action des entreprises et des États membres en matière de sécurité numérique.
Au premier rang de ces textes figure la Directive de l’Union européenne « NIS 2 » [5], adoptée en 2022. La directive marque une étape majeure dans le renforcement de la cybersécurité au sein de l’Union européenne. Son objectif principal est d’accroître la résilience des infrastructures critiques et des systèmes numériques, en harmonisant les mesures de cybersécurité et en garantissant une réponse coordonnée aux incidents à l’échelle européenne. Cette directive répond à la nécessité croissante de protéger non seulement les grandes entreprises, mais aussi les PME et autres entités, souvent ciblées par les cyberattaques. Alors que la première directive NIS (NIS 1) ne couvrait que les opérateurs de services essentiels (OSE) – tels que les acteurs de l’énergie, des transports, de la santé, de l’eau et des services financiers – ainsi que les fournisseurs de services numériques (FSN), NIS 2 élargit considérablement son champ d’application. Désormais, dix-huit secteurs sont concernés, incluant à la fois des secteurs hautement critiques et de nouveaux domaines jugés stratégiques. Enfin, il est important de noter que la transposition de NIS 2 en droit français n’est pas encore effective. L’État français doit d’ici octobre 2025 adopter la loi de transposition [6], qui viendra préciser les modalités d’application de cette directive sur le territoire national. NIS 2 s’impose ainsi comme un pilier central de la stratégie européenne de cybersécurité, en adaptant la réglementation à l’évolution rapide des menaces et à la diversité des acteurs concernés.
Dans la continuité de cette démarche, l’Union européenne a également adopté en 2024 le Cyber Resilience Act [7]. Ce règlement, d’application directe, est une initiative législative visant à renforcer la sécurité des produits numériques tout au long de leur cycle de vie. Le Cyber Resilience Act impose pour la première fois des exigences de cybersécurité harmonisées à l’échelle européenne pour l’ensemble des produits comportant des éléments numériques, qu’il s’agisse de logiciels ou de matériels connectés. L’objectif est de garantir que ces produits, dès leur conception et jusqu’à leur retrait du marché, intègrent des mesures de sécurité robustes afin de limiter les vulnérabilités exploitables par des cyberattaquants. Le Cyber Resilience Act s’applique à un large éventail de produits, des objets connectés aux logiciels professionnels, en passant par les équipements industriels, et vise à instaurer un niveau de confiance élevé pour les utilisateurs et les entreprises. Concrètement, le Cyber Resilience Act impose aux fabricants, importateurs et distributeurs de respecter des obligations strictes en matière de gestion des risques, de notification des vulnérabilités et de transparence sur la sécurité de leurs produits. Les opérateurs économiques devront notamment effectuer des analyses de risques, mettre en place des processus de correction rapide des failles, et fournir aux utilisateurs des informations claires sur la sécurité et la maintenance des produits. Le Cyber Resilience Act s’inscrit ainsi dans la continuité des efforts européens pour bâtir un marché numérique plus sûr et résilient, en responsabilisant l’ensemble de la chaîne de valeur et en anticipant les défis posés par la multiplication des objets et services connectés.
Parallèlement à ces textes à portée générale, certaines réglementations européennes adoptent une approche sectorielle pour répondre aux spécificités de certains domaines particulièrement exposés. C’est le cas du Digital Operational Resilience Act [8] (DORA) qui cible spécifiquement le secteur financier. Ce règlement impose ainsi un cadre harmonisé à l’ensemble des acteurs financiers – banques, compagnies d’assurance, sociétés de gestion, prestataires de services de paiement, mais aussi fournisseurs de services informatiques critiques – afin de garantir leur capacité à prévenir, résister, réagir et se remettre d’incidents informatiques majeurs. L’objectif est de protéger la stabilité du système financier européen et la confiance des utilisateurs, en assurant la continuité des services essentiels même en cas de cyberattaque ou de défaillance technologique. Concrètement, le règlement DORA introduit des obligations strictes en matière de gestion des risques liés aux technologies de l’information et de la communication (TIC). Les entités concernées doivent notamment mettre en place des politiques robustes de gestion des risques informatiques, réaliser des tests réguliers de résilience, notifier rapidement les incidents majeurs aux autorités compétentes, et encadrer rigoureusement les relations avec les prestataires de services TIC. DORA prévoit également une supervision renforcée des fournisseurs de services critiques, afin de limiter les risques de concentration et d’interdépendance. Ce règlement marque ainsi une étape clé dans la construction d’un secteur financier européen plus sûr, capable de faire face aux défis numériques actuels et futurs.
En France, ce mouvement d’encadrement ne se limite pas à l’imposition d’obligations aux entreprises elles-mêmes : il s’étend également à la responsabilité des dirigeants. Des réglementations sectorielles précisent les devoirs des dirigeants en matière de cybersécurité, à l’image du secteur bancaire où un décret [9] impose aux dirigeants effectifs et à l'organe de surveillance de veiller à ce que des ressources adéquates soient allouées à la gestion des opérations informatiques, à la sécurité des systèmes d'information et à la continuité des activités.
Cette responsabilisation des dirigeants s’accompagne d’un risque accru en matière de responsabilité civile. En effet, les dirigeants (membres du conseil d'administration et du directoire des sociétés anonymes, président et dirigeants d'une société par action simplifiée) peuvent être tenus responsables en cas de violation des dispositions législatives ou réglementaires (par exemple, NIS 2 et DORA), de violation des statuts ou de fautes de gestion (faute de gestion). Le manque de diligence dans le domaine de la cybersécurité pourrait être analysé comme une faute de gestion et engager la responsabilité personnelle du dirigeant envers la société [10]. Les tiers peuvent également invoquer la responsabilité civile des dirigeants sur le même fondement juridique, mais dans ce cas, la jurisprudence exige également la preuve d'une « faute distincte de la fonction » (c'est-à-dire une faute intentionnelle d'une gravité particulière incompatible avec l'exercice normal des fonctions sociales).
Enfin, la dimension pénale n’est pas à négliger. Les administrateurs ne sont pas exempts de responsabilité pénale. En effet, la responsabilité pénale des personnes morales n'exclut pas celle des personnes physiques auteurs ou complices des mêmes faits [11]. Dans le domaine de la cybersécurité, on peut par exemple souligner que, selon l'article 226-17 du Code pénal [LXBL4524LNU], le fait de traiter des données à caractère personnel ou de faire traiter des données à caractère personnel sans mettre en œuvre les mesures requises par le RGPD, en particulier les mesures de sécurité requises par l'article 32 du RGPD (Règlement (UE) n° 2016/679 du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données N° Lexbase : L0189K8I), est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.
Lexbase : La digitalisation toujours plus avancée des usages génère-t-elle des risques accrus ?
Laurie-Anne Ancenys : La transformation numérique des entreprises, accélérée par l’adoption massive de solutions cloud, SaaS, IaaS et la décentralisation des environnements informatiques, a profondément modifié le paysage de la cybersécurité. Si la digitalisation offre des gains d’efficacité et d’agilité, elle génère également une augmentation considérable de la surface d’attaque.
La multiplication des points d’accès, la gestion d’environnements hybrides et la dépendance à des prestataires externes complexifient la sécurisation des systèmes d’information. L’entreprise n’est plus protégée par une « tour » unique : elle doit désormais défendre une multitude de « tours » interconnectées, souvent hors de son périmètre direct. Cette évolution expose les organisations à des vulnérabilités nouvelles, parfois méconnues ou mal maîtrisées, et rend plus difficile l’inventaire et la surveillance de l’ensemble des actifs numériques.
La digitalisation, si elle n’est pas accompagnée d’une politique de cybersécurité adaptée, accroît donc significativement les risques pour l’entreprise. Il devient essentiel de disposer d’une cartographie précise des actifs, d’une connaissance actualisée des vulnérabilités et d’une capacité de réaction rapide en cas d’incident. Cette politique de cybersécurité se traduit notamment par la mise en place de clauses contractuelles de cybersécurité robustes avec les prestataires externes comprenant notamment un droit d’audit du prestataire.
Lexbase : Quels sont les incidents les plus fréquents ? Comment y faire face ?
Laurie-Anne Ancenys : Les fuites de données figurent parmi les incidents les plus redoutés. Qu’il s’agisse d’informations sensibles, personnelles ou stratégiques, leur exfiltration vise souvent la revente sur le marché noir ou le chantage.
Les ransomwares, quant à eux, paralysent les systèmes d’information en échange d’une rançon, n’hésitant pas à détruire ou à publier les données si les exigences ne sont pas satisfaites.
Le phishing et la compromission de comptes reposent sur l’ingénierie sociale et l’usurpation d’identité pour obtenir un accès frauduleux aux systèmes internes.
Enfin, les intrusions silencieuses, souvent motivées par l’espionnage industriel, permettent à des attaquants de s’installer discrètement et durablement au sein des infrastructures critiques, compromettant la confidentialité et l’intégrité des ressources.
Lexbase : Quelles sont les principales menaces que devront affronter les entreprises à l'avenir ?
Laurie-Anne Ancenys : À l’ère de la transformation numérique, les entreprises sont confrontées à des menaces de plus en plus sophistiquées, portées par l’évolution rapide des technologies. L’intelligence artificielle, le calcul quantique et la multiplication des attaques à motivation politique redéfinissent les contours de la cybersécurité et imposent une vigilance accrue à tous les niveaux de l’organisation.
L’essor de l’intelligence artificielle générative bouleverse le paysage des menaces. Désormais, les attaquants peuvent concevoir des campagnes de phishing multilingues, créer des deepfakes indétectables (notamment pour les arnaques au président) et automatiser la recherche de vulnérabilités à une échelle inédite. Cette technologie permet de personnaliser les attaques, les rendant plus crédibles et plus difficiles à contrer pour les entreprises.
La lutte entre défenseurs et attaquants s’intensifie, chacun disposant d’outils de scan de vulnérabilités toujours plus performants. Cette situation transforme la remédiation des failles en une véritable course contre la montre, où la rapidité d’intervention devient un facteur clé de succès.
L’arrivée imminente du calcul quantique représente une menace majeure pour les systèmes de chiffrement actuels. Face à ce risque, la cryptographie post-quantique s’impose comme un enjeu stratégique. Certains gouvernements anticipent déjà cette révolution [12], conscients de l’impact potentiel sur la sécurité des données sensibles.
La cybersécurité s’affirme désormais comme un enjeu de souveraineté nationale. Les attaques à motivation politique ou étatique visent non seulement les entreprises, mais aussi la stabilité des États et l’intégrité des processus démocratiques. Nous avons notamment vu cela lors des Jeux Olympiques et Paralympiques de Paris 2024 où l’ANSSI a recensé près de 548 événements de cybersécurité affectant des entités en lien avec l’organisation des Jeux Olympiques et Paralympiques [13]. Cette évolution impose une mobilisation collective et une coopération renforcée entre acteurs publics et privés.
Face à ces défis, il est impératif pour les entreprises de renforcer leur gouvernance et d’ancrer une véritable culture cyber à tous les niveaux, du terrain au département juridique jusqu’au conseil d’administration. La mise en place d’une politique contractuelle de cybersécurité adaptée est nécessaire pour toutes les entreprises afin de maîtriser au moins les risques de cybersécurité externes. L’investissement dans la cybersécurité doit être proportionné à la criticité des activités : il est généralement admis que 5 à 10 % du chiffre d’affaires devrait être consacré à la sécurité et à la résilience des systèmes d’information.
*Propos recueillis par Yann Le Foll, Rédacteur en chef de Lexbase Public
[1] En novembre 2024, Free a subi une cyberattaque qui a entraîné l'exfiltration des données personnelles de 19 millions de clients, dont 5 millions d'adresses IBAN.
[2] En novembre 2024, Auchan a annoncé avoir été victime d'une cyberattaque qui a permis l'accès non autorisé à certaines données personnelles des comptes fidélité de plus de 500 000 clients, notamment leurs coordonnées, leur date de naissance et leur numéro de carte fidélité.
[3] En février 2025, Harvest, éditeur français de logiciels de gestion de patrimoine a été victime d'une cyberattaque paralysant 80 % des conseillers en gestion de patrimoine, family offices et banques privées de France. Les gestionnaires n’ont plus eu accès aux portefeuilles de leurs clients et ont été dans l’impossibilité de passer des ordres en ligne pendant plus de dix jours.
[4] En avril 2025, Marks & Spencer a été victime d'une cyberattaque paralysant son système de commande en ligne, ses systèmes de paiement et faisant fuiter des données personnelles de ses clients. Le coût de l'attaque pour l'entreprise est évalué à 356 millions d'euros.
[5] Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022, concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le Règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la Directive (UE) 2016/1148 (Directive « SRI 2 ») N° Lexbase : L3158MG3.
[6] Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.
[7] Règlement (UE) n° 2024/2847 du Parlement européen et du Conseil du 23 octobre 2024, concernant des exigences de cybersécurité horizontales pour les produits comportant des éléments numériques et modifiant les Règlements (UE) n°s 168/2013 et 2019/1020 et la Directive (UE) n° 2020/1828 N° Lexbase : L5831MRE (Règlement sur la cyberrésilience).
[8] Règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n°1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 N° Lexbase : L2960MGQ.
[9] Arrêté du 3 novembre 2014, relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de résolution N° Lexbase : L6929M4E, art. 270-1.
[10] C. com., art. L. 225-251 N° Lexbase : L6122AIL à L. 225-256 et L. 227-8 N° Lexbase : L6163AI4.
[11] C. pén., art. 121-2 N° Lexbase : L3167HPY.
© Reproduction interdite, sauf autorisation écrite préalable
newsid:492579
[Questions à...] La fiscalité liée à la rupture du contrat de travail - Questions à Olivier Janoray, Avocat, Arsène Taxand
Lecture: 6 min
N2560B39
Citer l'article
Créer un lien vers ce contenu
Le 28 Juillet 2025
Mots-clés : contrat de travail • indemnités • impôt sur le revenu
Les sommes acquises au terme d’un contrat de travail sont, en principe, soumises à l’impôt sur le revenu. Olivier Janoray, Avocat, Arsène Taxand, nous apporte son éclairage sur cette question*.
Lexbase : Pouvez-vous nous rappeler les grandes catégories d’indemnités de fin de contrat ?
Olivier Janoray : Il existe une kyrielle d’indemnités pouvant être versées en fin de contrat, en fonction notamment des clauses prévues dans le contrat de travail, de la fonction de la personne concernée (salarié, dirigeant) et/ou du contexte du départ.
Les indemnités peuvent être réparties en trois grandes familles.
Les indemnités actées au moment de la rupture :
- les indemnités de licenciement (elles-mêmes divisées en plusieurs sous-catégories) :
- l’indemnité de licenciement versée le cadre d’un Plan de Sauvegarde de l’Emploi ou hors PSE ;
- l’indemnité pour licenciement sans cause réelle et sérieuse ;
- l’indemnité en cas de cessation forcée de mandat social ;
- l’indemnité de départ à la retraite ou de préretraite.
Les indemnités négociées avec le salarié :
- l’indemnité forfaitaire de conciliation prud’homale ;
- l’indemnité liée à la clause de non-concurrence (dont le sort se joue au moment de la rupture) ;
- l’indemnité transactionnelle.
Les indemnités décidées par le juge, par exemple celle sanctionnant un licenciement nul pour motif discriminatoire.
Lexbase : Quelles sont les indemnités imposables et les indemnités exonérées ?
Olivier Janoray : Certaines indemnités sont systématiquement imposables, comme par exemple l’indemnité de non-concurrence. Au contraire, les indemnités accordées en raison du défaut de respect de la procédure de licenciement, du licenciement sans cause réelle et sérieuse ou du licenciement nul pour motif discriminatoire peuvent, en principe, être exonérées.
Certains types d’indemnités peuvent par ailleurs se cumuler, ce qui peut ajouter à la complexité de leur traitement fiscal et social. Par exemple, l’exonération liée à une indemnité versée à l’occasion de la cessation forcée d’un mandat social bénéficie d’un plafond qui lui est propre (c.-à-d., trois fois le plafond annuel de la Sécurité sociale pour 2025, soit 141 300 euros pour 2025) qui peut, si certaines conditions sont remplies, se cumuler avec l’exonération liée aux indemnités perçues par le dirigeant dans le cadre de la rupture de son contrat de travail (si celui-ci est par ailleurs salarié).
Le calcul de la rémunération de référence, qui sert au calcul de nombreux seuils d’exonération, est particulièrement piégeux. Les éléments de rémunération à prendre en compte varient fortement, notamment en fonction du type d’indemnités ou des secteurs d’activité. D’une manière générale, compte tenu des nombreuses règles applicables, une analyse au cas par cas est souvent indispensable.
Ceci est particulièrement vrai s’agissant des indemnités qualifiées de « transactionnelles », dont le régime fiscal dépend de la qualification juridique des sommes allouées aux termes de la transaction. Un soin particulier doit alors être attaché à la rédaction des clauses du protocole afin que les sommes bénéficiant en principe d’une exonération spécifique ne soient pas requalifiées par l’administration fiscale ou le juge de l’impôt en indemnités imposables. À noter, ces indemnités « transactionnelles » font systématiquement l’objet d’une analyse approfondie par l’URSSAF lors du contrôle de la société. L’URSSAF n’hésite pas, en cas de redressement portant sur une indemnité très importante, à transmettre l’information à l’Administration fiscale.
À noter également, du fait de plafonds et seuils différents, une indemnité non imposable peut se retrouver pour tout ou partie soumise à charges sociales.
Lexbase : Quelles sont les règles fiscales applicables à une indemnité de licenciement ?
Olivier Janoray : Les indemnités de licenciement stricto sensu (hors licenciement économique) bénéficient d’une exonération partielle, à hauteur du plus élevé des trois montants suivants : le montant de l’indemnité de licenciement prévue par la convention collective (ou à défaut par la loi), ou la moitié de l’indemnité de licenciement perçue, ou enfin deux fois la rémunération annuelle brute perçue par le salarié au cours de l’année civile précédent la rupture de son contrat de travail. La fraction exonérée en application des deux dernières limites ne peut toutefois pas excéder six fois le plafond annuel de la Sécurité sociale (soit 282 600 euros pour les indemnités perçues en 2025).
Les indemnités de licenciement versées dans le cadre d’un plan de sauvegarde de l’emploi ne sont pas soumises aux plafonds mentionnés ci-dessus et sont exonérées en totalité.
Là encore il convient de souligner la forte disparité avec le traitement social. Du fait notamment d’un seuil d’exonération limité en tout état de cause à deux fois le plafond annuel de la Sécurité sociale (soit 94 200 euros), une indemnité non imposable est souvent chargée.
Lexbase : Quelles sont les règles fiscales applicables à une indemnité de rupture conventionnelle, y a-t-il des spécificités fiscales ?
Olivier Janoray : Dans la très grande majorité des cas, les indemnités versées à l’occasion de la rupture conventionnelle homologuée du contrat de travail d’un salarié sont exonérées dans les mêmes conditions que les indemnités de licenciement stricto sensu (cf. plafond global à six fois le plafond annuel de la Sécurité sociale).
Lexbase : Comment ces indemnités doivent-elles être déclarées dans la déclaration de revenus ?
Olivier Janoray : Les indemnités qui sont exonérées ne doivent en principe pas être reportées dans la déclaration de revenus (ou extournées de la déclaration si ces dernières ont été déclarées par l’employeur dans le cadre du prélèvement à la source).
Pour les indemnités totalement ou partiellement imposables, seule la fraction imposable doit apparaître dans le feuillet n° 2042 (le plus souvent dans les cases 1AJ à 1DJ).
Lexbase : Y a-t-il des erreurs fréquentes à éviter lors de la déclaration fiscale de ces indemnités ?
Olivier Janoray : Il est nécessaire de bien s’assurer d’une part, que l’on remplit toutes les conditions d’exonération en fonction de sa situation et, d’autre part, être précautionneux sur la ventilation à effectuer entre les montants exonérés (extournées de la déclaration) et les montants imposables.
Enfin, il faut anticiper la question du prélèvement à la source de l’impôt sur le revenu. Il convient, si le contexte le permet, de se rapprocher de son employeur afin que le montant exonéré ne soit pas soumis au prélèvement à la source (à charge pour l’employeur de s’assurer que les conditions d’exonération sont bien remplies). Dans le cas contraire, en fonction des montants en jeu, les sommes ayant subi le prélèvement à la source mais extournées directement sur la déclaration de revenus peuvent inciter l’administration fiscale à effectuer un contrôle sur pièces avant de procéder au remboursement de l’impôt sur le revenu.
*Propos recueillis par Marie-Claire Sgarra, Rédactrice en chef de Lexbase Fiscal et Yann Le Foll, Rédacteur en chef de Lexbase Public
© Reproduction interdite, sauf autorisation écrite préalable
newsid:492560
[Jurisprudence] Annulation d’un marché spécifique en raison de la méconnaissance des modalités de remise en concurrence
Réf. : TA Lille, 6 mai 2025, n° 2503111 N° Lexbase : A084709A
Lecture: 14 min
N2634B3X
Citer l'article
Créer un lien vers ce contenu
par Tanguy Elkihel, Enseignant-chercheur de la faculté de droit Nantes
Le 07 Juillet 2025
Mots clés : référé contractuel • annulation • modalités de remise en concurrence • système d’acquisition dynamique • marché spécifique
Par une ordonnance du 6 mai 2025, rendue par le tribunal administratif de Lille, statuant dans le cadre de son office de juge des référés contractuels, la juridiction administrative a annulé un marché spécifique en accueillant, pour la première fois, favorablement, comme moyen contentieux, la méconnaissance de la portée du cadre fixé par un système d’acquisition dynamique (SAD) au stade de la définition des modalités de remise en concurrence.
La société, Abott Medical France, a saisi le tribunal administratif de Lille d’une demande en annulation à l’encontre d’un marché attribué à la société Implicity par le centre hospitalier de la région de Saint-Omer, et cela dans le cadre d’un système d’acquisition dynamique (SAD), organisé par le groupement de coordination sanitaire (GCS) UniHA.
Par une ordonnance du 6 mai 2025, le tribunal administratif de Lille, statuant dans le cadre de son office de juge des référés, a annulé le marché litigieux sur le fondement de l’article L. 551-18 du Code de justice administrative N° Lexbase : L1598IEW, après avoir reconnu la recevabilité de la demande.
Pour parvenir à cette solution, le juge a d’abord déterminé le cadre applicable à la procédure d’attribution du marché litigieux (I). Puis, après un examen de l’analyse des offres, il a constaté la méconnaissance de la portée de ce cadre par l’acheteur public (II).
I. La détermination du cadre applicable à la procédure d’attribution du marché litigieux
Le système d’acquisition dynamique (SAD) est une procédure de passation à double détente qui permet, après une présélection des candidats, d’attribuer, le cas échéant, des marchés de différentes catégories relevant du même dispositif. Ainsi, pour déterminer le cadre applicable, le juge délimite d’abord l’objet du SAD auquel appartient le marché litigieux et pour lequel sont présélectionnés les candidats susceptibles de répondre au mieux aux besoins de l’acheteur (A). Il identifie ensuite les modalités de remise en concurrence applicables à la procédure d’attribution du marché litigieux et sur la base desquelles sont invités les candidats admis à présenter leur offre (B).
A. La délimitation de l’objet du système d’acquisition dynamique auquel appartient le marché litigieux
Selon l’article L. 2125-1 du Code de la commande publique N° Lexbase : L9548MIH, un système d'acquisition dynamique a pour objet de « présélectionner un ou plusieurs opérateurs économiques, pour des achats d'usage courant, selon un processus ouvert et entièrement électronique ». Par ailleurs, l’article R. 2162-37 du même code N° Lexbase : L2669LRB prévoit que ce système « peut être subdivisé en catégories de fournitures, de services ou de travaux définies de manière objective sur la base des caractéristiques du marché à exécuter dans la catégorie concernée ».
Pour délimiter l’objet du SAD, le juge rappelle d’abord que le groupement de coordination sanitaire (GCS) UniHA qui agit pour le compte notamment du centre hospitalier de la région de Saint-Omer a organisé un SAD « portant sur la fourniture de dispositifs médicaux numériques de télésurveillance et prestations complémentaires associées ». Plusieurs catégories sont également définies, dont une cinquième catégorie à laquelle appartient le marché litigieux, intitulée « dispositif médical numérique de télésurveillance médicale du patient porteur de prothèse cardiaque implantable (PCI) à visée thérapeutique ».
Ensuite, le juge parvient, à la lecture notamment du cahier des clauses administratives particulières (CCAP) du SAD, à délimiter avec précision son objet. Il met alors en avant que « l’objet était de permettre à des candidats sélectionnés sur la base d'une certification réglementaire du dispositif médical portant tant sur l'utilisation réglementaire de ceux-ci que sur leur prise en charge financière par l'assurance maladie de pouvoir remettre une offre aux différents marchés spécifiques lancés par les adhérents du groupement et d'accéder ainsi à un marché public ouvert sans qu'une solution technique de télésurveillance particulière, certifiée pour une prise en charge par l'assurance maladie, ne soit favorisée ». Autrement dit, le juge met en avant les deux grandes caractéristiques sur la base desquelles sont sélectionnés les candidats. Par conséquent, les candidats, pour être admis, doivent proposer un dispositif de télésurveillance médicale pris en charge financièrement par l’Assurance maladie et dont l’utilisation est réglementaire. Une certification permet en ce sens d’en attester.
Finalement, on peut en conclure que la présélection des candidats doit être faite sur la base uniquement de cette certification. Dès lors, le juge constate que six candidats ont été retenus. Cinq d’entre eux, dont Abott Medical France, sont des fabricants de prothèses cardiaques proposant une solution de télésurveillance mais uniquement pour leurs propres produits, et un dernier, la société Implicity, qui propose la même solution, mais aussi un autre service. Celle-ci, qui est le seul opérateur à disposer d’une plateforme dite « universelle », propose ainsi d’agréger les données des différents fabricants.
Ainsi, après avoir délimité avec précision l’objet du SAD sur la base duquel ont été présélectionnés les candidats, le juge identifie les modalités de remise en concurrence applicables à la procédure d’attribution du marché litigieux (B).
B. L’identification des modalités de remise en concurrence applicables à la procédure d’attribution du marché litigieux
Selon l'article R. 2162-51 du Code de la commande publique N° Lexbase : L3606LRY, « Le marché spécifique est attribué au soumissionnaire qui a présenté l'offre économiquement la plus avantageuse sur la base des critères d'attribution définis dans l'avis de marché (…). Ces critères peuvent, le cas échéant, être précisés dans l'invitation à soumissionner ». Ainsi, ce sont les critères de sélection des offres qui constituent alors les modalités de remise en concurrence sur la base desquelles sont attribués les marchés spécifiques. Le juge cherche alors à les identifier en l’espèce. Il y parvient en effectuant une analyse attentive du CCAP, puis du dossier de consultation établi par l’acheteur public à l’occasion de son invitation à soumissionner.
Le juge porte son attention uniquement sur le critère technique en le mettant en avant à l’aide de cinq sous-critères énoncés par le CCAP. Par ailleurs, seulement le sous-critère « Suivi du patient » présente un intérêt en l’espèce. Celui-ci peut encore être apprécié par plusieurs éléments qui sont listés de manière non-exhaustive. Il s’agit alors de la capacité de collecte des données du patient, l’accompagnement et la formation des patients à l'utilisation, la facilité d'utilisation pour l'équipe médicale, l’interopérabilité avec les dispositifs médicaux de la pathologie surveillée, ou encore, la compatibilité avec les dispositifs médicaux de la pathologie télésurveillée.
Toutefois, l’identification des modalités de remise en concurrence nécessite également d’examiner le dossier de consultation établi par l’acheteur public. La juridiction administrative a en ce sens pu rappeler à l’occasion d’un autre litige que l’invitation à soumissionner a vocation en effet « à préciser la nature, la pondération et la manière d’évaluer les critères prévus dans le règlement de la consultation » [1].
Dès lors, le juge constate que l’ensemble des éléments d’appréciation présentés par le CCAP n’ont pas été repris. Dans son document de consultation, l’acheteur public en reprend seulement deux : « la capacité de collecte des données du patient » et « la facilité d'utilisation pour l'équipe médicale », et en ajoute un nouveau : « la capacité de la plateforme à synthétiser les données de télésurveillance de l’ensemble des constructeurs de stimulateurs cardiaques utilisés ». Enfin, il constate que ces trois éléments d’appréciation sont pondérés chacun à 9 %.
Ainsi, le juge parvient à déterminer le cadre applicable à la procédure d’attribution du marché litigieux en délimitant avec précision l’objet du SAD, puis en identifiant les modalités de remise en concurrence. Or, ce n’est qu’après avoir examiné l’analyse des offres effectuées par l’acheteur public, que le juge constate la méconnaissance de la portée du cadre ainsi fixé par le centre hospitalier de la région de Saint-Omer II).
II. La méconnaissance de la portée du cadre applicable à la procédure d’attribution du marché litigieux
Après l’examen de l’analyse des offres réalisée par l’acheteur public, le juge estime que ce dernier a méconnu la portée du cadre fixé par le système d’acquisition au stade de la définition des modalités de remise en concurrence, et cela dans le but de favoriser le titulaire du marché (A). Le constat de ce manquement relève pleinement de l’office du juge du référé contractuel justifiant ainsi l’annulation du marché (B).
A. Un manquement au stade de la définition des modalités de remise en concurrence dans le but de favoriser le titulaire du marché
Le juge examine l’analyse des deux seules offres remises à l’acheteur public : celles de la société, titulaire du marché, et de la société requérante.
Il constate ainsi que la société Implicity a obtenu la note de 100 % sur l’ensemble des sous-critères techniques. De son côté, la société requérante n’a obtenu que la note de 92,8 % en se voyant noter sur l’élément d’appréciation relatif à « la capacité de la plateforme à synthétiser les données de télésurveillance de l’ensemble des constructeurs stimulateurs cardiaques utilisés » de seulement 1,8 sur 9. Le juge en conclut logiquement que c’est donc sur la base uniquement de cet élément d’appréciation que s’est opérée la décision d’attribuer le marché litigieux à la société Implicity.
À partir de ce constat, le juge reproche alors à l’acheteur public d’avoir sciemment introduit cet élément d’appréciation pour avantager le titulaire du marché. Sa démonstration repose sur plusieurs arguments. Le juge souligne d’abord à propos de l’élément d’appréciation litigieux qu’il est « en lien avec le fait que le titulaire du contrat litigieux est le seul opérateur en mesure de proposer un dispositif médical de télésurveillance susceptible d'interagir avec l'ensemble des stimulateurs des constructeurs tout en étant éligible à une prise en charge financière par l'assurance maladie à ce titre ».
Il souligne ensuite qu’associé à l’emploi d’une méthode de notation purement arithmétique, cet élément d’appréciation ne pouvait pas conduire à un autre résultat, en l’état de la concurrence sur le marché des PCI. Pour affirmer cela, le juge s’appuie en effet sur le fait « qu'il n'existe que cinq fabricants de PCI certifiés sur le marché. Le titulaire était, pour sa part et compte tenu de son produit, garanti d'obtenir la note maximale sur cet élément d'appréciation ».
Enfin, il souligne qu’aucun autre élément d’appréciation n’était susceptible de départager les candidats. Il précise, en ce sens, que les autres éléments d’appréciation « ne permettaient pas (…) de créer des écarts de notation équivalents à l'écart de points significatif découlant nécessairement de l'application de cet élément d'appréciation litigieux de sorte que cet écart aurait pu être éventuellement compensé, sans qu'il ne soit du reste établi, ni même soutenu qu'aucun autre élément d'appréciation que celui qui a été ajouté lors de la consultation n'aurait permis de déterminer la meilleure offre ».
Pour finir, le juge estime que l’introduction de cet élément d’appréciation a eu pour conséquence de conférer « un avantage déterminant » à la solution de la société Implicity pour l’obtention du marché. Ceci est alors de nature à faire obstacle à une remise en concurrence « effective » des candidats sélectionnés par le SAD [2]. Dès lors et sans qu’il ait eu besoin de soulever cette atteinte manifeste au principe fondamental d’égalité de traitement des candidats, le juge finit par conclure à la méconnaissance par l’acheteur public de « la portée du cadre fixé par le système d’acquisition » et, par voie de conséquence, à son non-respect « des modalités de remise en concurrence prévues par le contrat ». Ce choix est opéré en avançant un dernier argument. Selon lui, l’élément d’appréciation litigieux remplit davantage la fonction de spécification technique alors que « l'objet [du SAD qui ] était de permettre aux candidats sélectionnés d'accéder à un marché public ouvert pour des produits réputés par principe d'usage courant n'avait pas entendu [la] mettre en avant dans son CCAP ».
Ainsi, après avoir constaté le manquement, le juge lui donne sa qualification définitive. Celle-ci lui ouvre alors pleinement la voie pour mettre en œuvre son pouvoir d’annulation au titre de son office de juge du référé contractuel (B).
B. Un manquement relevant pleinement de l’office de juge du référé contractuel
Selon l’article L. 551-18 du Code de la justice administrative, le juge du référé contractuel est tenu de prononcer la nullité du contrat après avoir constaté certains manquements strictement énumérés par la loi. Ainsi, seulement certains manquements sont invocables à cet effet, dont notamment la méconnaissance des modalités de remise en concurrence lors de la passation des contrats fondés sur un accord-cadre ou d’un SAD.
Ceci a été rappelé avec force par le Conseil d’État qui, à l’occasion d’un litige relatif à la passation d’un contrat fondé sur un accord-cadre, en a fait la stricte application [3]. Ce sont les conclusions prononcées par le rapporteur public qui permettent de l’affirmer. Il est en effet précisé que « la méconnaissance par le contrat litigieux des stipulations d’un autre contrat, en l’espèce un accord cadre, voire des règles éventuellement d’ordre public applicables à ce contrat » [4] ne fait pas partie des manquements invocables devant le juge du référé contractuel. En revanche, il ajoute qu’il en va différemment de la méconnaissance des modalités de remise en concurrence par le contrat litigieux lorsqu’elles sont prises en application de l’ accord-cadre [5]. Il ajoute que ce manquement est bien invocable devant le juge du référé contractuel dans cette circonstance seulement.
Dès lors, l’on comprend mieux le choix opéré en l’espèce par le juge en qualifiant le manquement ainsi. Celui-ci lui permet d’exercer son office dans une situation comparable à celle précédemment présentée, la seule différence étant qu’il ne s’agit pas d’un accord-cadre, mais d’un SAD. En accueillant un autre moyen contentieux, le juge aurait eu besoin davantage d’innover, au regard des incertitudes persistantes sur les manquements invocables devant le juge du référé contractuel. Cela étant, certains tribunaux ont pu accueillir favorablement le moyen tiré de l’atteinte manifeste au principe fondamental d’égalité de traitement des candidats [6], comme l’invité à le faire la jurisprudence de la Haute juridiction [7].
Ainsi, le choix de qualification opéré par le juge, au regard des circonstances de l’espèce, est donc celui de l’efficacité. Il n’aurait pas toutefois été imprudent d’accueillir favorablement le moyen tiré de l’atteinte manifeste au principe fondamental d’égalité de traitement des candidats pour annuler le marché litigieux au titre du troisième alinéa de l’article L. 551-18 du Code de la justice administrative.
[1] TA Paris, 18 juillet 2022, n° 2213906 N° Lexbase : A33238C3.
[2] Selon l’article R. 2142-15 du Code de la commande publique N° Lexbase : L3731LRM, « L'acheteur peut limiter le nombre de candidats admis à soumissionner ou à participer au dialogue, à condition que ce nombre soit suffisant pour assurer une concurrence effective ».
[3] CE, 29 juin 2012, n° 358353 N° Lexbase : A0653IQA.
[4] N. Boulouis, conclusions sous l’arrêt CE, 29 juin 2012, n° 358353, préc., p. 3.
[5] Ceci est vrai pour les accords-cadres pluri-attributaires, à la différence des accords mono-attributaires qui ne font l’objet d’aucune remise en concurrence.
[6] Voir notamment en ce sens, TA, Montreuil, 16 août 2024, n° 2410918 N° Lexbase : A53375XX ; TA Paris, 7 mars 2024, n° 2401660 N° Lexbase : A146869A.
[7] Ce moyen est invocable devant le juge du référé contractuel au titre seulement du troisième alinéa de l’article L. 551-18 du Code de la justice administrative. Voir en ce sens, CE, 14 février 2017, n° 403614 N° Lexbase : A2620TPQ.
© Reproduction interdite, sauf autorisation écrite préalable
newsid:492634
