L'éditeur de logiciels Cegid a publié sur son site internet allemand une page dédiée à l'éthique et à la conformité réglementaire. Cette initiative intervient dans un contexte où les fournisseurs de solutions ERP et de gestion des ressources humaines font face à des exigences accrues en matière de gouvernance des données, notamment lorsqu'ils travaillent avec le secteur public.
Une démarche de transparence dans un secteur sous surveillance
La publication de lignes directrices en matière d'éthique et de conformité par un éditeur de logiciels n'est pas anodine. Pour les administrations publiques et les entreprises qui gèrent des données sensibles, la question de la fiabilité des fournisseurs de solutions informatiques devient un critère de sélection stratégique. Les directives de l'interopérabilité européenne et les normes de cybersécurité imposent aux prestataires une traçabilité accrue de leurs pratiques internes.
Dans le secteur du logiciel de gestion financière et RH, la conformité couvre plusieurs dimensions : protection des données personnelles selon le RGPD, sécurité des infrastructures cloud, transparence des chaînes d'approvisionnement logicielles et garanties contractuelles face aux risques de cyberattaques. Les administrations françaises, allemandes et suisses renforcent depuis 2024 leurs exigences d'audit préalable lors de l'attribution de marchés publics.
Qu'attendent concrètement les clients du secteur public ?
Les responsables informatiques des collectivités et des ministères scrutent désormais trois axes principaux chez leurs fournisseurs de logiciels : la localisation des données et des centres de traitement, la politique de gestion des incidents de sécurité et la clarté des engagements contractuels en cas de non-conformité. Une page web dédiée à l'éthique constitue un premier signal, mais ne suffit pas à elle seule pour décrocher un marché public en France ou en Allemagne.
Les appels d'offres récents publiés par des collectivités françaises dans le cadre du Programme France Numérique 2030 exigent la certification ISO 27001 pour la sécurité de l'information, ainsi qu'une documentation détaillée des mesures de protection contre les transferts transfrontaliers de données hors UE. Les éditeurs qui ne peuvent pas fournir ces preuves documentées se voient écartés dès la phase de présélection.
Conformité réglementaire ou argument marketing ?
La frontière entre communication institutionnelle et conformité réelle reste floue tant que les engagements ne sont pas audités par un tiers indépendant. Plusieurs grands intégrateurs publics européens, parmi lesquels Sopra Steria Public et Atos France Public, ont mis en place des programmes de certification annuelle de leurs sous-traitants, y compris les éditeurs de progiciels. Ces audits vérifient la réalité des pratiques internes au-delà des déclarations d'intention.
Dans ce cadre, une page web publiée par Cegid peut être interprétée de deux manières : soit comme le point de départ d'une démarche structurée de mise en conformité, soit comme un élément de communication destiné à rassurer sans apporter de garanties contractuelles opposables. Les acheteurs publics privilégient désormais les fournisseurs capables de produire des rapports d'audit indépendants et des tableaux de bord de conformité actualisés en temps réel.
Le rôle croissant de la conformité dans les décisions d'achat
Depuis l'entrée en vigueur de la directive européenne NIS 2 en janvier 2023, transposée en droit français par l'ordonnance du 15 février 2024, les éditeurs de logiciels destinés aux opérateurs de services essentiels doivent répondre à des obligations de notification des incidents et de sécurisation de leurs chaînes logistiques. Les administrations publiques, bien que non directement visées par NIS 2, appliquent de facto les mêmes critères pour leurs propres achats informatiques.
Les marchés de solutions ERP et RH destinés aux collectivités territoriales intègrent désormais des clauses de réversibilité des données et d'audit annuel obligatoire. Ces clauses obligent les éditeurs à documenter leurs processus internes et à accepter des contrôles inopinés. Une démarche éthique et de conformité affichée doit donc s'accompagner de mécanismes de vérification pour être crédible aux yeux des acheteurs publics.
Enjeux de souveraineté numérique et choix des fournisseurs
La question de la souveraineté numérique influence de plus en plus les décisions d'équipement des administrations. En France, le programme Tech.gouv impose depuis 2022 une préférence pour les solutions dont les données restent hébergées sur le territoire national ou dans l'Union européenne. En Allemagne, le débat autour de la cloud souveraine a conduit plusieurs Länder à exclure les fournisseurs dont l'actionnariat majoritaire se situe hors UE.
Cegid, en tant qu'éditeur français détenu par le fonds d'investissement Silver Lake depuis 2017, se positionne dans une zone grise : société de droit français mais contrôlée par un acteur américain. Cette configuration soulève des interrogations lors des appels d'offres sensibles, notamment pour les solutions de gestion RH qui traitent des données personnelles d'agents publics. La publication de lignes directrices éthiques peut constituer une réponse partielle à ces préoccupations, à condition qu'elle soit étayée par des engagements contractuels clairs sur la gouvernance des données.
Quelle évolution pour les normes du secteur ?
Les initiatives volontaires des éditeurs en matière d'éthique et de conformité pourraient préfigurer des futures obligations réglementaires. La Commission européenne travaille actuellement sur un cadre harmonisé de certification de cybersécurité pour les logiciels destinés aux infrastructures critiques, qui pourrait s'étendre aux applications de gestion administrative d'ici 2027. Les éditeurs qui anticipent ces évolutions en publiant dès maintenant leurs engagements se positionnent favorablement pour les prochains cycles d'appels d'offres.
Plusieurs organisations professionnelles du secteur logiciel, dont le Syntec Numérique en France et le Bitkom en Allemagne, plaident pour une standardisation des référentiels de conformité afin d'éviter une multiplication des audits redondants. Un cadre commun européen permettrait aux éditeurs de taille moyenne comme Cegid de mutualiser les coûts de certification tout en offrant aux acheteurs publics une lisibilité accrue.
Perspectives pour le marché des logiciels de gestion publique
La montée en puissance des exigences de conformité redessine le paysage concurrentiel du marché des progiciels destinés au secteur public. Les éditeurs qui investissent dans la documentation de leurs pratiques et la transparence de leur gouvernance acquièrent un avantage compétitif face aux acteurs purement commerciaux. À l'inverse, ceux qui se limitent à des déclarations d'intention sans preuves documentées risquent d'être progressivement exclus des marchés publics européens.
Pour les responsables informatiques du secteur public, l'enjeu consiste à distinguer les démarches de conformité substantielles des opérations de communication. Les critères d'évaluation évoluent vers une vérification systématique des processus internes, des certifications tierces et de la capacité des fournisseurs à documenter en continu leurs pratiques de sécurité et de gouvernance des données. La publication par Cegid de ses lignes directrices en matière d'éthique et de conformité s'inscrit dans cette dynamique, mais devra être suivie d'actions concrètes pour convaincre les acheteurs publics.