Sécurité dans les acquisitions
Clauses standards contractuelles pour mieux ancrer la sécurité de l’information dans les contrats d’acquisition
La sécurité de l'information chez les fournisseurs de la Confédération doit être réglementée par contrat. Les dispositions standard en matière de sécurité de l'information sont destinées en particulier aux services fédéraux chargés des besoins et des achats. Elles indiquent comment les autorités peuvent informer leurs fournisseurs de manière efficace, économique et fondée sur les risques des exigences en matière de sécurité de l'information. Les recommandations entreront en vigueur le 1er janvier 2026.
Vous trouverez ci-dessous les dispositions accompagnées des instructions et commentaires correspondants, qui ont été élaborés en collaboration avec les services d'achat et les offices de différents départements et soumis à consultation dans les domaines économiques concernés.
Le besoin définit les exigences en matière de sécurité de l’information
La sécurité de l’information chez les fournisseurs ne commence pas seulement avec la conclusion du contrat, mais dès le début, au moment où le besoin est défini. Cela a été mis en évidence dans le rapport sur la surveillance des fournisseurs du 1er mai 2025. L’entité requérante – c’est-à-dire l’unité au sein de l’administration qui a besoin d’un service ou d’un produit – définit dès les premières étapes les exigences en matière de sécurité. L’entité adjudicatrice, responsable de la conduite de la procédure d’acquisition, veille à ce que ces exigences soient correctement intégrées dans les documents d’appel d’offres. Ainsi, les fournisseurs potentiels sont informés de manière transparente, dès le dépôt de leur offre, des conditions de sécurité qu’ils devront remplir.
Si la sécurité de l’information n’est pas définie dès le départ, il est difficile – voire impossible – de la rattraper par la suite, ou seulement moyennant des coûts supplémentaires.
Chaque contrat est différent, tout comme les consignes de sécurité.
Les dispositions standard relatives à la sécurité de l'information ont été conçues comme une norme minimale pour tous les achats qui ne sont pas soumis à des exigences de sécurité particulières. (Pour les achats sensibles soumis à des exigences de sécurité particulières, des prescriptions de sécurité supplémentaires doivent être convenues, lesquelles ne font pas partie des présentes dispositions).
Seules des exigences de sécurité proportionnées à l'objet de la relation commerciale et à sa sensibilité peuvent être imposées aux fournisseurs.
Pour des raisons de proportionnalité et de concurrence notamment, il convient en outre de distinguer différents types de contrats. Les dispositions standard désormais établies classifient d'une part le risque lié au contenu du contrat. D'autre part, elles distinguent différents types de contrats, tels que les contrats de service ou d'entreprise, les commandes, les prestations d'ingénieurs et d'architectes, les livraisons et prestations informatiques.
Afin de sélectionner la disposition standard appropriée, le guide ci-dessous a été élaboré avec des commentaires sur les différentes dispositions.
Documents
Guide et commentaires Dispositions standard
H1 Remise d’appareils de la Confédération pour traiter l’information
H2_Utilisation de moyens informatiques de l’entreprise pour traiter l’information
I1_Remise d’appareils de la Confédération pour traiter l’information
I2_Utilisation de moyens informatiques de l’entreprise pour traiter l’information
J_Relevant de la catégorie de sécurité « protection de base »
Liens
- Communiqué de presse du 1er mai 2025 : Sécurité dans les acquisitions de la Confédération : le SEPOS présente des mesures
- Communiqué de presse du 1er mai 2024 : Clôture de l’enquête administrative concernant la cyberattaque contre Xplain SA : le Conseil fédéral adopte des mesures
Sécurité de l’information dans la collab avec fournisseurs 20250423