Article 5 – Confidentialité – Protection des données personnelles – Mesures de sécurité (CCAG MI 2021)
Code : Commande Publique
Article 5 – Confidentialité – Protection des données personnelles – Mesures de sécurité
5.1. Obligation de confidentialité :
5.1.1. Le titulaire et l’acheteur qui, à l’occasion de l’exécution du marché, ont connaissance d’informations ou reçoivent communication de documents ou d’éléments de toute nature, présentant un caractère confidentiel, sont tenus de prendre toutes mesures nécessaires, afin d’éviter que ces informations, documents ou éléments ne soient divulgués à un tiers qui n’a pas à en connaître. Une partie ne peut demander la confidentialité d’informations, de documents ou d’éléments qu’elle a elle-même rendus publics.
5.1.2. Une information confidentielle désigne toute information de quelque nature (y inclus la méthodologie, la documentation, les informations ou le savoir-faire), sous quelque forme que ce soit (y inclus sous forme orale, écrite, magnétique ou électronique), sur tout support dont l’acheteur est propriétaire ou titulaire, et qui est communiquée au titulaire, ou obtenue de toute autre façon par ce dernier dans le cadre de ses relations avec l’acheteur. Le titulaire et son personnel, et le cas échéant ses sous-traitants, ne peuvent l’utiliser que pour l’accomplissement des prestations prévues au marché.
5.1.3. Le titulaire doit informer ses sous-traitants des obligations de confidentialité et des mesures de sécurité qui s’imposent à lui pour l’exécution du marché. Il doit s’assurer du respect de ces obligations par ses sous-traitants.
5.1.4. Ne sont pas couverts par cette obligation de confidentialité les informations, documents ou éléments :
– qui étaient dans le domaine public au moment de leur divulgation ou que l’acheteur aurait lui-même rendus publics pendant l’exécution du marché ;
– signalés comme présentant un caractère non confidentiel et relatifs aux prestations du marché ;
– qui ont été communiqués au titulaire par un tiers ayant légalement le droit de diffuser ces informations, documents ou éléments, comme le prouvent des documents existant antérieurement à leur divulgation.
Cliquez pour afficher les commentaires
Les obligations de confidentialité dans les nouveaux CCAG 2021
Les CCAG prévoient une obligation générale de confidentialité opposable tant au Titulaire qu’à l’acheteur. La notion d’information confidentielle était pourtant seule définie par l’article 5 des anciens CCAG TIC et PI : Une information confidentielle désigne toute information de quelque nature (y inclus la méthodologie, la documentation, les informations ou le savoir-faire), sous quelque forme que ce soit (y inclus sous forme orale, écrite, magnétique ou électronique), sur tout support dont l’acheteur est propriétaire ou titulaire, et qui est communiquée au titulaire, ou obtenue de toute autre façon par ce dernier dans le cadre de ses relations avec l’acheteur. Le titulaire et son personnel, et le cas échéant ses sous-traitants, ne peuvent l’utiliser que pour l’accomplissement des prestations prévues au marché.
Les Nouveaux CCAG 2021 généralisent cette définition.
Le bénéfice de cette disposition suppose d’avoir signalé l’information comme présentant un caractère confidentiel.
Le Code de la commande publique prévoit également la mise en oeuvre d’une obligation de confidentialité au stade de la diffusion du DCE.
Cliquez pour afficher les articles des CCAG Travaux
Nouveau CCAG Travaux
5.1. Obligation de confidentialité :
5.1.1. Le titulaire et le maître d’ouvrage qui, à l’occasion de l’exécution du marché, ont connaissance d’informations ou reçoivent communication de documents ou d’éléments de toute nature, présentant un caractère confidentiel, sont tenus de prendre toutes mesures nécessaires, afin d’éviter que ces informations, documents ou éléments ne soient divulgués à un tiers qui n’a pas à en connaître. Une partie ne peut demander la confidentialité d’informations, de documents ou d’éléments qu’elle a elle-même rendus publics.
5.1.2. Une information confidentielle désigne toute information de quelque nature (y inclus la méthodologie, la documentation, les informations ou le savoir-faire), sous quelque forme que ce soit (y inclus sous forme orale, écrite, magnétique ou électronique), sur tout support dont le maître d’ouvrage est propriétaire ou titulaire, et qui est communiquée au titulaire, ou obtenue de toute autre façon par ce dernier dans le cadre de ses relations avec le maître d’ouvrage. Le titulaire et son personnel, et le cas échéant ses sous-traitants, ne peuvent l’utiliser que pour l’accomplissement des prestations prévues au marché.
5.1.3. Le titulaire doit informer ses sous-traitants des obligations de confidentialité et des mesures de sécurité qui s’imposent à lui pour l’exécution du marché. Il doit s’assurer du respect de ces obligations par ses sous-traitants.
5.1.4. Ne sont pas couverts par cette obligation de confidentialité les informations, documents ou éléments :
– qui étaient dans le domaine public au moment de leur divulgation ou que le maître d’ouvrage aurait lui-même rendus publics pendant l’exécution du marché ;
– signalés comme présentant un caractère non confidentiel et relatifs aux prestations du marché ;
– qui ont été communiqués au titulaire par un tiers ayant légalement le droit de diffuser ces informations, documents ou éléments, comme le prouvent des documents existant antérieurement à leur divulgation.
Ancien CCAG Travaux (2014)
5.1. Obligation de confidentialité :
5.1.1. Le titulaire, le pouvoir adjudicateur, ainsi que son représentant, qui, à l’occasion de l’exécution du marché, ont connaissance d’informations ou reçoivent communication de documents ou d’éléments de toute nature, signalés comme présentant un caractère confidentiel et relatifs, notamment à l’objet du marché, aux moyens à mettre en œuvre pour son exécution, au fonctionnement des services du titulaire, du pouvoir adjudicateur, ainsi que de son représentant, sont tenus de prendre toutes mesures nécessaires afin d’éviter que ces informations, documents ou éléments ne soient divulgués à un tiers qui n’a pas à en connaître. Une partie ne peut demander la confidentialité d’informations, de documents ou d’éléments qu’elle a elle-même rendus publics.
5.1.2. Le titulaire doit informer ses sous-traitants des obligations de confidentialité et des mesures de sécurité qui s’imposent à lui pour l’exécution du marché.
5.1.3. Ne sont pas couverts par cette obligation de confidentialité les informations, documents ou éléments déjà accessibles au public, au moment où ils sont portés à la connaissance des parties au marché.
Cliquez pour afficher les articles du CCAG MOE
CCAG MOE
5.1. Obligation de confidentialité :
5.1.1. Le maître d’œuvre et le maître d’ouvrage qui, à l’occasion de l’exécution du marché, ont connaissance d’informations ou reçoivent communication de documents ou d’éléments de toute nature, présentant un caractère confidentiel, sont tenus de prendre toutes mesures nécessaires, afin d’éviter que ces informations, documents ou éléments ne soient divulgués à un tiers qui n’a pas à en connaître. Une partie ne peut demander la confidentialité d’informations, de documents ou d’éléments qu’elle a elle-même rendus publics.
5.1.2. Une information confidentielle désigne toute information de quelque nature (y inclus la méthodologie, la documentation, les informations ou le savoir-faire), sous quelque forme que ce soit (y inclus sous forme orale, écrite, magnétique ou électronique), sur tout support dont le maître d’ouvrage est propriétaire ou titulaire, et qui est communiquée au maître d’œuvre, ou obtenue de toute autre façon par ce dernier dans le cadre de ses relations avec le maître d’ouvrage. Le maître d’œuvre et son personnel, et le cas échéant ses sous-traitants, ne peuvent l’utiliser que pour l’accomplissement des prestations prévues au marché.
5.1.3. Le maître d’œuvre doit informer ses sous-traitants des obligations de confidentialité et des mesures de sécurité qui s’imposent à lui pour l’exécution du marché. Il doit s’assurer du respect de ces obligations par ses sous-traitants.
5.1.4. Ne sont pas couverts par cette obligation de confidentialité les informations, documents ou éléments :
– qui étaient dans le domaine public au moment de leur divulgation ou que le maître d’ouvrage aurait lui-même rendus publics pendant l’exécution du marché ;
– signalés comme présentant un caractère non confidentiel et relatifs aux prestations du marché ;
– qui ont été communiqués au maître d’œuvre par un tiers ayant légalement le droit de diffuser ces informations, documents ou éléments, comme le prouvent des documents existant antérieurement à leur divulgation.
Cliquez pour afficher les articles des CCAG PI
Nouveau CCAG PI
A Paraître
Ancien CCAG PI (2009)
5. 1. Obligation de confidentialité :
5. 1. 1. Le titulaire et le pouvoir adjudicateur qui, à l’occasion de l’exécution du marché, ont connaissance d’informations ou reçoivent communication de documents ou d’éléments de toute nature, signalés comme présentant un caractère confidentiel et relatifs, notamment, aux moyens à mettre en œuvre pour son exécution, au fonctionnement des services du titulaire ou du pouvoir adjudicateur, sont tenus de prendre toutes mesures nécessaires afin d’éviter que ces informations, documents ou éléments ne soient divulgués à un tiers qui n’a pas à en connaître. Une partie ne peut demander la confidentialité d’informations, de documents ou d’éléments qu’elle a elle-même rendus publics.
5. 1. 2. Le titulaire doit informer ses sous-traitants des obligations de confidentialité et des mesures de sécurité qui s’imposent à lui pour l’exécution du marché. Il doit s’assurer du respect de ces obligations par ses sous-traitants.
5. 1. 3. Ne sont pas couverts par cette obligation de confidentialité les informations, documents ou éléments déjà accessibles au public, au moment où ils sont portés à la connaissance des parties au marché.
Cliquez pour afficher les articles des CCAG TIC
Nouveau CCAG TIC
5.1. Obligation de confidentialité :
5.1.1. Le titulaire et l’acheteur qui, à l’occasion de l’exécution du marché, ont connaissance d’informations ou reçoivent communication de documents ou d’éléments de toute nature, présentant un caractère confidentiel, sont tenus de prendre toutes mesures nécessaires, afin d’éviter que ces informations, documents ou éléments ne soient divulgués à un tiers qui n’a pas à en connaître. Une partie ne peut demander la confidentialité d’informations, de documents ou d’éléments qu’elle a elle-même rendus publics.
5.1.2. Une information confidentielle désigne toute information de quelque nature (y inclus la méthodologie, la documentation, les informations ou le savoir-faire), sous quelque forme que ce soit (y inclus sous forme orale, écrite, magnétique ou électronique), sur tout support dont l’acheteur est propriétaire ou titulaire, et qui est communiquée au titulaire, ou obtenue de toute autre façon par ce dernier dans le cadre de ses relations avec l’acheteur. Le titulaire et son personnel, et le cas échéant ses sous-traitants, ne peuvent l’utiliser que pour l’accomplissement des prestations prévues au marché.
5.1.3. Le titulaire doit informer ses sous-traitants des obligations de confidentialité et des mesures de sécurité qui s’imposent à lui pour l’exécution du marché. Il doit s’assurer du respect de ces obligations par ses sous-traitants.
5.1.4. Ne sont pas couverts par cette obligation de confidentialité les informations, documents ou éléments :
– qui étaient dans le domaine public au moment de leur divulgation ou que l’acheteur aurait lui-même rendus publics pendant l’exécution du marché ;
– signalés comme présentant un caractère non confidentiel et relatifs aux prestations du marché ;
– qui ont été communiqués au titulaire par un tiers ayant légalement le droit de diffuser ces informations, documents ou éléments, comme le prouvent des documents existant antérieurement à leur divulgation.
Ancien CCAG TIC (2009)
5. 1. Obligation de confidentialité :
5. 1. 1. Le titulaire et le pouvoir adjudicateur qui, à l’occasion de l’exécution du marché, ont connaissance d’informations ou reçoivent communication de documents ou d’éléments de toute nature, signalés comme présentant un caractère confidentiel et relatifs, notamment, aux moyens à mettre en œuvre pour son exécution, au fonctionnement des services du titulaire ou du pouvoir adjudicateur, sont tenus de prendre toutes mesures nécessaires, afin d’éviter que ces informations, documents ou éléments ne soient divulgués à un tiers qui n’a pas à en connaître. Une partie ne peut demander la confidentialité d’informations, de documents ou d’éléments qu’elle a elle-même rendus publics.
5. 1. 2. Le titulaire doit informer ses sous-traitants des obligations de confidentialité et des mesures de sécurité qui s’imposent à lui pour l’exécution du marché. Il doit s’assurer du respect de ces obligations par ses sous-traitants.
5. 1. 3. Ne sont pas couverts par cette obligation de confidentialité les informations, documents ou éléments déjà accessibles au public, au moment où ils sont portés à la connaissance des parties au marché.
Cliquez pour afficher les articles des CCAG FCS
Nouveau CCAG FCS
5.1. Obligation de confidentialité :
5.1.1. Le titulaire et l’acheteur qui, à l’occasion de l’exécution du marché, ont connaissance d’informations ou reçoivent communication de documents ou d’éléments de toute nature, présentant un caractère confidentiel, sont tenus de prendre toutes mesures nécessaires, afin d’éviter que ces informations, documents ou éléments ne soient divulgués à un tiers qui n’a pas à en connaître. Une partie ne peut demander la confidentialité d’informations, de documents ou d’éléments qu’elle a elle-même rendus publics.
5.1.2. Une information confidentielle désigne toute information de quelque nature (y inclus la méthodologie, la documentation, les informations ou le savoir-faire), sous quelque forme que ce soit (y inclus sous forme orale, écrite, magnétique ou électronique), sur tout support dont l’acheteur est propriétaire ou titulaire, et qui est communiquée au titulaire, ou obtenue de toute autre façon par ce dernier dans le cadre de ses relations avec l’acheteur. Le titulaire et son personnel, et le cas échéant ses sous-traitants, ne peuvent l’utiliser que pour l’accomplissement des prestations prévues au marché.
5.1.3. Le titulaire doit informer ses sous-traitants des obligations de confidentialité et des mesures de sécurité qui s’imposent à lui pour l’exécution du marché. Il doit s’assurer du respect de ces obligations par ses sous-traitants.
5.1.4. Ne sont pas couverts par cette obligation de confidentialité les informations, documents ou éléments :
– qui étaient dans le domaine public au moment de leur divulgation ou que l’acheteur aurait lui-même rendus publics pendant l’exécution du marché ;
– signalés comme présentant un caractère non confidentiel et relatifs aux prestations du marché ;
– qui ont été communiqués au titulaire par un tiers ayant légalement le droit de diffuser ces informations, documents ou éléments, comme le prouvent des documents existant antérieurement à leur divulgation.
Ancien CCAG FCS (2009)
5. 1. Obligation de confidentialité :
5. 1. 1. Le titulaire et le pouvoir adjudicateur qui, à l’occasion de l’exécution du marché, ont connaissance d’informations ou reçoivent communication de documents ou d’éléments de toute nature, signalés comme présentant un caractère confidentiel et relatifs notamment aux moyens à mettre en œuvre pour son exécution, au fonctionnement des services du titulaire ou du pouvoir adjudicateur, sont tenus de prendre toutes mesures nécessaires, afin d’éviter que ces informations, documents ou éléments ne soient divulgués à un tiers qui n’a pas à en connaître. Une partie ne peut demander la confidentialité d’informations, de documents ou d’éléments qu’elle a elle-même rendus publics.
5. 1. 2. Le titulaire doit informer ses sous-traitants des obligations de confidentialité et des mesures de sécurité qui s’imposent à lui pour l’exécution du marché. Il doit s’assurer du respect de ces obligations par ses sous-traitants.
5. 1. 3. Ne sont pas couverts par cette obligation de confidentialité les informations, documents ou éléments déjà accessibles au public, au moment où ils sont portés à la connaissance des parties au marché.
Cliquez pour afficher les articles des CCAG MI
Nouveau CCAG MI
5.1. Obligation de confidentialité :
5.1.1. Le titulaire et le maître d’ouvrage qui, à l’occasion de l’exécution du marché, ont connaissance d’informations ou reçoivent communication de documents ou d’éléments de toute nature, présentant un caractère confidentiel, sont tenus de prendre toutes mesures nécessaires, afin d’éviter que ces informations, documents ou éléments ne soient divulgués à un tiers qui n’a pas à en connaître. Une partie ne peut demander la confidentialité d’informations, de documents ou d’éléments qu’elle a elle-même rendus publics.
5.1.2. Une information confidentielle désigne toute information de quelque nature (y inclus la méthodologie, la documentation, les informations ou le savoir-faire), sous quelque forme que ce soit (y inclus sous forme orale, écrite, magnétique ou électronique), sur tout support dont le maître d’ouvrage est propriétaire ou titulaire, et qui est communiquée au titulaire, ou obtenue de toute autre façon par ce dernier dans le cadre de ses relations avec le maître d’ouvrage. Le titulaire et son personnel, et le cas échéant ses sous-traitants, ne peuvent l’utiliser que pour l’accomplissement des prestations prévues au marché.
5.1.3. Le titulaire doit informer ses sous-traitants des obligations de confidentialité et des mesures de sécurité qui s’imposent à lui pour l’exécution du marché. Il doit s’assurer du respect de ces obligations par ses sous-traitants.
5.1.4. Ne sont pas couverts par cette obligation de confidentialité les informations, documents ou éléments :
– qui étaient dans le domaine public au moment de leur divulgation ou que le maître d’ouvrage aurait lui-même rendus publics pendant l’exécution du marché ;
– signalés comme présentant un caractère non confidentiel et relatifs aux prestations du marché ;
– qui ont été communiqués au titulaire par un tiers ayant légalement le droit de diffuser ces informations, documents ou éléments, comme le prouvent des documents existant antérieurement à leur divulgation.
Ancien CCAG MI (2009)
5.1. Obligation de confidentialité :
5.1.1. Le titulaire et le pouvoir adjudicateur qui, à l’occasion de l’exécution du marché, ont connaissance d’informations ou reçoivent communication de documents ou d’éléments de toute nature, signalés comme présentant un caractère confidentiel et relatifs notamment aux moyens à mettre en œuvre pour son exécution, au fonctionnement des services du titulaire ou du pouvoir adjudicateur, sont tenus de prendre toutes mesures nécessaires, afin d’éviter que ces informations, documents ou éléments ne soient divulgués à un tiers qui n’a pas à en connaître. Une partie ne peut demander la confidentialité d’informations, de documents ou d’éléments qu’elle a elle-même rendus publics.
5.1.2. Le titulaire doit informer ses sous-traitants des obligations de confidentialité et des mesures de sécurité qui s’imposent à lui pour l’exécution du marché. Il doit s’assurer du respect de ces obligations par ses sous-traitants.
5.1.3. Ne sont pas couverts par cette obligation de confidentialité les informations, documents ou éléments déjà accessibles au public, au moment où ils sont portés à la connaissance des parties au marché.
Jurisprudence et commentaires
La suite du contenu est réservée aux abonnés
Testez la base gratuitement en vous inscrivant ou connectez vous !
Clausier contractuel
Cliquez pour afficher les clauses relatives aux obligation de confidentialité
Cette clause vise à encadre le principe de diffusion ou d’interdiction de tout ou partie des informations collectées par les parties à l’occasion de la réalisation des prestations. Il est possible de prévoir un niveau de confidentialité par défaut pour les prestations, et un niveau de confidentialité spécifique pour des prestations dites sensibles par nature.
Nota : il est important de prévoir les modalités d’achèvement de l’obligation de confidentialité : restitution des informations, destruction… ainsi que les modalités de preuve en cas de destruction
Les clauses relatives à l’obligation de confidentialité (CCAP)
Non accessible en démo
La suite du contenu est réservée aux abonnés
Testez la base gratuitement en vous inscrivant ou connectez vous !
5.2. Protection des données à caractère personnel :
5.2.1 Chaque partie au marché est tenue au respect des règles, européennes et françaises, applicables au traitement des données à caractère personnel éventuellement mis en œuvre aux fins de l’exécution du marché. A ce titre, toute transmission de données à des tiers, y compris au bénéfice d’entités établies hors de l’Union européenne, qui ne serait pas strictement conforme à la réglementation en vigueur est formellement prohibée.
5.2.2. En cas d’évolution de la réglementation sur la protection des données à caractère personnel en cours d’exécution du marché, les modifications nécessaires pour se conformer aux règles nouvelles, donnent lieu à la signature d’un avenant par les parties au marché ou, en l’absence d’accord entre les parties, à une modification unilatérale par l’acheteur.
5.2.3. Lorsque le titulaire met en œuvre un traitement de données à caractère personnel pour le compte de l’acheteur, pour que ce traitement réponde aux exigences de la réglementation et garantisse en particulier la protection des droits des personnes physiques identifiées ou identifiables qu’il concerne, les documents particuliers du marché précisent notamment :
– la finalité, la description et la durée du traitement dans le strict respect des instructions documentées de l’acheteur ;
– les obligations de l’acheteur et celles du titulaire vis-à-vis de ce dernier, en particulier l’obligation de l’informer de toute difficulté dans l’application de la réglementation, de tout projet de recours à un tiers pour la mise en œuvre du traitement, ou encore de toute demande de communication de données qui lui serait adressée, ainsi que, lorsque celle-ci serait contraire à la règlementation française et européenne, des mesures adoptées pour s’y opposer ;
– les modalités de prise en compte du droit à l’information et des autres droits des personnes concernées, dont l’exercice doit être garanti ;
– les mesures de sécurité mises en œuvre pour garantir l’intégrité, la confidentialité et la disponibilité des données, ainsi que les conditions de notification des violations de données à caractère personnel ;
– la durée et les modalités de conservation des données et le sort de celles-ci au terme de l’exécution du marché.
Les documents particuliers du marché précisent également les pénalités applicables au titulaire en cas de méconnaissance de la réglementation.
En cas de manquement par le titulaire ou son sous-traitant à ses obligations légales et contractuelles relatives à la protection des données personnelles, le marché peut être résilié pour faute en application de l’article 44.
Commentaires :
L’acheteur est considéré comme le » responsable du traitement » au sens du Règlement général sur la protection des données (RGPD) en tant qu’autorité publique déterminant les finalités et les moyens du traitement des données.
Le titulaire est considéré comme le » sous-traitant » au sens du RGPD en tant que personne traitant des données à caractère personnel pour le compte de l’acheteur.
Le sous-traitant du marché est considéré comme le » sous-traitant ultérieur » au sens du RGPD en tant que personne à qui le titulaire peut faire appel pour mener des activités de traitement spécifiques.
Les acheteurs sont invités, pour rédiger les documents particuliers du marché, à consulter le Guide du sous-traitant élaboré par la CNIL et disponible sur son site internet :https://www.cnil.fr/
Cliquez pour afficher les commentaires
Les nouveaux CCAG procèdent à une actualisation pour tenir compte des règles introduites par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD).
Néanmoins, à chaque fois que le marché a en tout ou partie pour objet un traitement de données personnelles, il sera nécessaire, pour l’acheteur, de procéder en amont de la rédaction des documents du marché à une réflexion sur l’étendue des données traitées, les finalités du traitement et les responsabilités partagées entre l’acheteur et le prestataire ; en effet, les seules clauses générales ne peuvent suffire à couvrir toutes les situations et, en présence d’un traitement de données personnelles, il sera toujours nécessaire de préciser le rôle et les responsabilités de chacun dans les documents particuliers du marché (DAJ 2021, Le RGPD).
Clauses des CCAG sur les données à caractère personnelles
Cliquez pour afficher les articles associés : ancien - nouveau CCAG Travaux
5.2. Protection des données à caractère personnel :
5.2.1. Chaque partie au marché est tenue au respect des règles, européennes et françaises, applicables au traitement des données à caractère personnel éventuellement mis en œuvre aux fins de l’exécution du marché. A ce titre, toute transmission de données à des tiers, y compris au bénéfice d’entités établies hors de l’Union européenne, qui ne serait pas strictement conforme à la réglementation en vigueur est formellement prohibée.
5.2.2. En cas d’évolution de la réglementation sur la protection des données à caractère personnel en cours d’exécution du marché, les modifications éventuelles demandées par le maître d’ouvrage afin de se conformer aux règles nouvelles, donnent lieu à la signature d’un avenant par les parties au marché ou, en l’absence d’accord entre les parties, à une modification unilatérale par le maître d’ouvrage.
5.2.3. Lorsque le titulaire met en œuvre un traitement pour le compte du maître d’ouvrage, pour que le traitement des données réponde aux exigences de la réglementation et garantisse en particulier la protection des droits des personnes physiques identifiées ou identifiables qu’il concerne, les documents particuliers du marché précisent notamment :
– la finalité, la description et la durée du traitement dans le strict respect des instructions documentées du maître d’ouvrage ;
– les obligations du maître d’ouvrage et celles du titulaire vis-à-vis de ce dernier, en particulier l’obligation de l’informer de toute difficulté dans l’application de la réglementation, de tout projet de recours à un tiers pour la mise en œuvre du traitement, ou encore de toute demande de communication de données qui lui serait adressée, ainsi que, lorsque celle-ci serait contraire à la réglementation française et européenne, des mesures adoptées pour s’y opposer ;
– les modalités de prise en compte du droit à l’information et des autres droits des personnes concernées, dont l’exercice doit être garanti;
– les mesures de sécurité mises en œuvre pour garantir l’intégrité, la confidentialité et la disponibilité des données, ainsi que les conditions de notification des violations de données à caractère personnel ;
– la durée et les modalités de conservation des données et le sort de celles-ci au terme de l’exécution du marché.
Les documents particuliers du marché précisent également les pénalités applicables au titulaire en cas de méconnaissance de la réglementation.
En cas de manquement, par le titulaire ou son sous-traitant, à ses obligations légales et contractuelles relatives à la protection des données personnelles, le marché peut être résilié pour faute en application de l’article 50.
Commentaires :
Le maître d’ouvrage est considéré comme le « responsable du traitement » au sens du Règlement général sur la protection des données (RGPD) en tant qu’autorité publique déterminant les finalités et les moyens du traitement des données.
Le titulaire est généralement considéré comme le « sous-traitant » au sens du RGPD en tant que personne traitant des données à caractère personnel pour le compte du maître d’ouvrage.
Le sous-traitant du marché est considéré comme le « sous-traitant ultérieur » au sens du RGPD en tant que personne à qui le titulaire peut faire appel pour mener des activités de traitement spécifiques.
Les maîtres d’ouvrage sont invités, pour rédiger les documents particuliers du marché, à consulter le Guide du sous-traitant élaboré par la CNIL, disponible sur son site Internet : https://www.cnil.fr/.
5. 2. Protection des données à caractère personnel :
5. 2. 1 Chaque partie au marché est tenue au respect des règles relatives à la protection des données à caractère personnel, auxquelles elle a accès pour les besoins de l’exécution du marché.
5. 2. 2. En cas d’évolution de la législation sur la protection des données à caractère personnel en cours d’exécution du marché, les modifications éventuelles demandées par le représentant du pouvoir adjudicateur, afin de se conformer aux règles nouvelles, donnent lieu à la signature, par les parties au marché, d’un avenant.
5. 2. 3. Pour assurer cette protection, il incombe au représentant du pouvoir adjudicateur d’effectuer les déclarations et d’obtenir les autorisations administratives nécessaires à l’exécution des prestations prévues par les documents particuliers du marché.
Cliquez pour afficher les articles associés : CCAG MOE
5.2. Protection des données à caractère personnel :
5.2.1. Chaque partie au marché est tenue au respect des règles, européennes et françaises, applicables au traitement des données à caractère personnel éventuellement mis en œuvre aux fins de l’exécution du marché. A ce titre, toute transmission de données à des tiers, y compris au bénéfice d’entités établies hors de l’Union européenne, qui ne serait pas strictement conforme à la réglementation en vigueur est formellement prohibée.
5.2.2. En cas d’évolution de la réglementation sur la protection des données à caractère personnel en cours d’exécution du marché, les modifications éventuelles demandées par le maître d’ouvrage, afin de se conformer aux règles nouvelles, donnent lieu à la signature d’un avenant par les parties au marché ou, en l’absence d’accord entre les parties, à une modification unilatérale par le maître d’ouvrage.
5.2.3. Lorsque le maître d’œuvre met en œuvre un traitement pour le compte du maître d’ouvrage, pour que le traitement des données réponde aux exigences de la réglementation et garantisse en particulier la protection des droits des personnes physiques identifiées ou identifiables qu’il concerne, les documents particuliers du marché précisent notamment :
– la finalité, la description et la durée du traitement dans le strict respect des instructions documentées du maître d’ouvrage ;
– les obligations du maître d’ouvrage et celles du maître d’œuvre vis-à-vis de ce dernier, en particulier l’obligation de l’informer de toute difficulté dans l’application de la réglementation, de tout projet de recours à un tiers pour la mise en œuvre du traitement, ou encore de toute demande de communication de données qui lui serait adressée, ainsi que, lorsque celle-ci serait contraire à la réglementation française et européenne, des mesures adoptées pour s’y opposer ;
– les modalités de prise en compte du droit à l’information et des autres droits des personnes concernées, dont l’exercice doit être garanti ;
– les mesures de sécurité mises en œuvre pour garantir l’intégrité, la confidentialité et la disponibilité des données, ainsi que les conditions de notification des violations de données à caractère personnel ;
– la durée et les modalités de conservation des données et le sort de celles-ci au terme de l’exécution du marché.
Les documents particuliers du marché précisent également les pénalités applicables au maître d’œuvre en cas de méconnaissance de la réglementation.
En cas de manquement, par le maître d’œuvre ou son sous-traitant, à ses obligations légales et contractuelles relatives à la protection des données personnelles, le marché peut être résilié pour faute en application de l’article 30.
Commentaires :
Le maître d’ouvrage est considéré comme le « responsable du traitement » au sens du Règlement général sur la protection des données (RGPD) en tant qu’autorité publique déterminant les finalités et les moyens du traitement des données.
Le maître d’œuvre est généralement considéré comme le « sous-traitant » au sens du RGPD en tant que personne traitant des données à caractère personnel pour le compte du maître d’ouvrage.
Le sous-traitant du marché est considéré comme le « sous-traitant ultérieur » au sens du RGPD en tant que personne à qui le maître d’œuvre peut faire appel pour mener des activités de traitement spécifiques.
Les maîtres d’ouvrage sont invités, pour rédiger les documents particuliers du marché, à consulter le Guide du sous-traitant élaboré par la CNIL et disponible sur son site Internet : https: //www.cnil.fr/.
Cliquez pour afficher les articles associés : ancien - nouveau CCAG PI
5.2. Protection des données à caractère personnel :
5.2.1. Chaque partie au marché est tenue au respect des règles, européennes et françaises, applicables au traitement des données à caractère personnel éventuellement mis en œuvre aux fins de l’exécution du marché. A ce titre, toute transmission de données à des tiers, y compris au bénéfice d’entités établies hors de l’Union européenne, qui ne serait pas strictement conforme à la réglementation en vigueur est formellement prohibée.
5.2.2. En cas d’évolution de la réglementation sur la protection des données à caractère personnel en cours d’exécution du marché, les modifications nécessaires pour se conformer aux règles nouvelles, donnent lieu à la signature d’un avenant par les parties au marché ou, en l’absence d’accord entre les parties, à une modification unilatérale par l’acheteur.
5.2.3. Lorsque le titulaire met en œuvre un traitement de données personnelles pour le compte de l’acheteur, pour que ce traitement réponde aux exigences de la réglementation et garantisse en particulier la protection des droits des personnes physiques identifiées ou identifiables qu’il concerne, les documents particuliers du marché précisent notamment :
– la finalité, la description et la durée du traitement dans le strict respect des instructions documentées de l’acheteur ;
– les obligations de l’acheteur et celles du titulaire vis-à-vis de ce dernier, en particulier l’obligation de l’informer de toute difficulté dans l’application de la réglementation, de tout projet de recours à un tiers pour la mise en œuvre du traitement, ou encore de toute demande de communication de données qui lui serait adressée, ainsi que, lorsque celle-ci serait contraire à la règlementation française et européenne, des mesures adoptées pour s’y opposer ;
– les modalités de prise en compte du droit à l’information et des autres droits des personnes concernées, dont l’exercice doit être garanti ;
– les mesures de sécurité mises en œuvre pour garantir l’intégrité, la confidentialité et la disponibilité des données, ainsi que les conditions de notification des violations de données à caractère personnel ;
– la durée et les modalités de conservation des données et le sort de celles-ci au terme de l’exécution du marché.
Les documents particuliers du marché précisent également les pénalités applicables au titulaire en cas de méconnaissance de la réglementation.
En cas de manquement par le titulaire ou son sous-traitant à ses obligations légales et contractuelles relatives à la protection des données personnelles, le marché peut être résilié pour faute en application de l’article 39.
Commentaires :
L’acheteur est considéré comme le « responsable du traitement » au sens du Règlement général sur la protection des données (RGPD) en tant qu’autorité publique déterminant les finalités et les moyens du traitement des données.
Le titulaire est généralement considéré comme le « sous-traitant » au sens du RGPD en tant que personne traitant des données à caractère personnel pour le compte de l’acheteur.
Le sous-traitant du marché est considéré comme le « sous-traitant ultérieur » au sens du RGPD en tant que personne à qui le titulaire peut faire appel pour mener des activités de traitement spécifiques.
Les acheteurs sont invités, pour rédiger les documents particuliers du marché, à consulter le Guide du sous-traitant élaboré par la CNIL et disponible sur son site Internet : https://www.cnil.fr/.
5. 2. Protection des données à caractère personnel :
5. 2. 1. Chaque partie au marché est tenue au respect des règles relatives à la protection des données à caractère personnel, auxquelles elle a accès pour les besoins de l’exécution du marché.
5. 2. 2. En cas d’évolution de la législation sur la protection des données à caractère personnel en cours d’exécution du marché, les modifications éventuelles demandées par le pouvoir adjudicateur afin de se conformer aux règles nouvelles donnent lieu à la signature d’un avenant par les parties au marché.
5. 2. 3. Pour assurer cette protection, il incombe au pouvoir adjudicateur d’effectuer les déclarations et d’obtenir les autorisations administratives nécessaires à l’exécution des prestations prévues par les documents particuliers du marché.
Cliquez pour afficher les articles associés : ancien - nouveau CCAG TIC
5.2. Protection des données à caractère personnel :
5.2.1. Chaque partie au marché est tenue au respect des règles, européennes et françaises, applicables au traitement des données à caractère personnel éventuellement mis en œuvre aux fins de l’exécution du marché. A ce titre, toute transmission de données à des tiers, y compris au bénéfice d’entités établies hors de l’Union européenne, qui ne serait pas strictement conforme à la réglementation en vigueur est formellement prohibée.
5.2.2. En cas d’évolution de la réglementation sur la protection des données à caractère personnel en cours d’exécution du marché, les modifications nécessaires pour se conformer aux règles nouvelles, donnent lieu à la signature d’un avenant par les parties au marché ou, en l’absence d’accord entre les parties, à une modification unilatérale par l’acheteur.
5.2.3. Lorsque le titulaire met en œuvre un traitement de données à caractère personnel pour le compte de l’acheteur, pour que ce traitement réponde aux exigences de la réglementation et garantisse en particulier la protection des droits des personnes physiques identifiées ou identifiables qu’il concerne, les documents particuliers du marché précisent notamment :
– la finalité, la description et la durée du traitement dans le strict respect des instructions documentées de l’acheteur ;
– les obligations de l’acheteur et celles du titulaire vis-à-vis de ce dernier, en particulier l’obligation de l’informer de toute difficulté dans l’application de la réglementation, de tout projet de recours à un tiers pour la mise en œuvre du traitement, ou encore de toute demande de communication de données qui lui serait adressée, ainsi que, lorsque celle-ci serait contraire à la règlementation française et européenne, des mesures adoptées pour s’y opposer ;
– les modalités de prise en compte du droit à l’information et des autres droits des personnes concernées, dont l’exercice doit être garanti ;
– les mesures de sécurité mises en œuvre pour garantir l’intégrité, la confidentialité et la disponibilité des données, ainsi que les conditions de notification des violations de données à caractère personnel ;
– la durée et les modalités de conservation des données et le sort de celles-ci au terme de l’exécution du marché.
Les documents particuliers du marché précisent également les pénalités applicables au titulaire en cas de méconnaissance de la réglementation.
En cas de manquement par le titulaire ou son sous-traitant à ses obligations légales et contractuelles relatives à la protection des données personnelles, le marché peut être résilié pour faute en application de l’article 50.
Commentaires :
L’acheteur est considéré comme le « responsable du traitement » au sens du Règlement général sur la protection des données (RGPD) en tant qu’autorité publique déterminant les finalités et les moyens du traitement des données.
Le titulaire est généralement considéré comme le « sous-traitant » au sens du RGPD en tant que personne traitant des données à caractère personnel pour le compte de l’acheteur.
Le sous-traitant du marché est considéré comme le « sous-traitant ultérieur » au sens du RGPD en tant que personne à qui le titulaire peut faire appel pour mener des activités de traitement spécifiques.
Les acheteurs sont invités, pour rédiger les documents particuliers du marché, à consulter le Guide du sous-traitant élaboré par la CNIL et disponible sur son site Internet : https://www.cnil.fr/.
5. 2. Protection des données à caractère personnel :
5. 2. 1. Chaque partie au marché est tenue au respect des règles relatives à la protection des données nominatives, auxquelles elle a accès pour les besoins de l’exécution du marché.
5. 2. 2. En cas d’évolution de la législation sur la protection des données à caractère personnel en cours d’exécution du marché, les modifications éventuelles demandées par le pouvoir adjudicateur, afin de se conformer aux règles nouvelles, donnent lieu à la signature d’un avenant par les parties au marché.
5. 2. 3. Pour assurer cette protection, il incombe au pouvoir adjudicateur d’effectuer les déclarations et d’obtenir les autorisations administratives nécessaires à l’exécution des prestations prévues par les documents particuliers du marché.
Cliquez pour afficher les articles associés : ancien - nouveau CCAG FCS
5.2. Protection des données à caractère personnel :
5.2.1 Chaque partie au marché est tenue au respect des règles, européennes et françaises, applicables au traitement des données à caractère personnel éventuellement mis en œuvre aux fins de l’exécution du marché. A ce titre, toute transmission de données à des tiers, y compris au bénéfice d’entités établies hors de l’Union européenne, qui ne serait pas strictement conforme à la réglementation en vigueur est formellement prohibée.
5.2.2. En cas d’évolution de la réglementation sur la protection des données à caractère personnel en cours d’exécution du marché, les modifications nécessaires pour se conformer aux règles nouvelles, donnent lieu à la signature d’un avenant par les parties au marché ou, en l’absence d’accord entre les parties, à une modification unilatérale par l’acheteur.
5.2.3. Lorsque le titulaire met en œuvre un traitement de données à caractère personnel pour le compte de l’acheteur, pour que ce traitement réponde aux exigences de la réglementation, et garantisse en particulier la protection des droits des personnes physiques identifiées ou identifiables qu’il concerne, les documents particuliers du marché précisent notamment :
– la finalité, la description et la durée du traitement dans le strict respect des instructions documentées de l’acheteur ;
– les obligations de l’acheteur et celles du titulaire vis-à-vis de ce dernier, en particulier, l’obligation de l’informer de toute difficulté dans l’application de la réglementation, de tout projet de recours à un tiers pour la mise en œuvre du traitement, ou encore de toute demande de communication de données qui lui serait adressée, ainsi que, lorsque celle-ci serait contraire à la règlementation française et européenne, des mesures adoptées pour s’y opposer ;
– les modalités de prise en compte du droit à l’information et des autres droits des personnes concernées, dont l’exercice doit être garanti ;
– les mesures de sécurité mises en œuvre pour garantir l’intégrité, la confidentialité et la disponibilité des données, ainsi que les conditions de notification des violations de données à caractère personnel ;
– la durée et les modalités de conservation des données et le sort de celles-ci au terme de l’exécution du marché.
Les documents particuliers du marché précisent également les pénalités applicables au titulaire en cas de méconnaissance de la réglementation.
En cas de manquement par le titulaire ou son sous-traitant à ses obligations légales et contractuelles relatives à la protection des données personnelles, le marché peut être résilié pour faute en application de l’article 41.
Commentaires :
L’acheteur est considéré comme le « responsable du traitement » au sens du Règlement général sur la protection des données (RGPD) en tant qu’autorité publique déterminant les finalités et les moyens du traitement des données.
Le titulaire est généralement considéré comme le « sous-traitant » au sens du RGPD en tant que personne traitant des données à caractère personnel pour le compte de l’acheteur.
Le sous-traitant du marché est considéré comme le « sous-traitant ultérieur » au sens du RGPD en tant que personne à qui le titulaire peut faire appel pour mener des activités de traitement spécifiques.
Les acheteurs sont invités, pour rédiger les documents particuliers du marché, à consulter le Guide du sous-traitant élaboré par la CNIL et disponible sur son site Internet : https://www.cnil.fr/
5. 2. Protection des données à caractère personnel :
5. 2. 1. Chaque partie au marché est tenue au respect des règles relatives à la protection des données à caractère personnel, auxquelles elle a accès pour les besoins de l’exécution du marché.
5. 2. 2. En cas d’évolution de la législation sur la protection des données à caractère personnel en cours d’exécution du marché, les modifications éventuelles, demandées par le pouvoir adjudicateur afin de se conformer aux règles nouvelles, donnent lieu à la signature d’un avenant par les parties au marché.
5. 2. 3. Pour assurer cette protection, il incombe au pouvoir adjudicateur d’effectuer les déclarations et d’obtenir les autorisations administratives nécessaires à l’exécution des prestations prévues par les documents particuliers du marché.
Cliquez pour afficher les articles associés : ancien - nouveau CCAG MI
5.2. Protection des données à caractère personnel :
5.2.1 Chaque partie au marché est tenue au respect des règles, européennes et françaises, applicables au traitement des données à caractère personnel éventuellement mis en œuvre aux fins de l’exécution du marché. A ce titre, toute transmission de données à des tiers, y compris au bénéfice d’entités établies hors de l’Union européenne, qui ne serait pas strictement conforme à la réglementation en vigueur est formellement prohibée.
5.2.2. En cas d’évolution de la réglementation sur la protection des données à caractère personnel en cours d’exécution du marché, les modifications nécessaires pour se conformer aux règles nouvelles, donnent lieu à la signature d’un avenant par les parties au marché ou, en l’absence d’accord entre les parties, à une modification unilatérale par l’acheteur.
5.2.3. Lorsque le titulaire met en œuvre un traitement de données à caractère personnel pour le compte de l’acheteur, pour que ce traitement réponde aux exigences de la réglementation et garantisse en particulier la protection des droits des personnes physiques identifiées ou identifiables qu’il concerne, les documents particuliers du marché précisent notamment :
– la finalité, la description et la durée du traitement dans le strict respect des instructions documentées de l’acheteur ;
– les obligations de l’acheteur et celles du titulaire vis-à-vis de ce dernier, en particulier l’obligation de l’informer de toute difficulté dans l’application de la réglementation, de tout projet de recours à un tiers pour la mise en œuvre du traitement, ou encore de toute demande de communication de données qui lui serait adressée, ainsi que, lorsque celle-ci serait contraire à la règlementation française et européenne, des mesures adoptées pour s’y opposer ;
– les modalités de prise en compte du droit à l’information et des autres droits des personnes concernées, dont l’exercice doit être garanti ;
– les mesures de sécurité mises en œuvre pour garantir l’intégrité, la confidentialité et la disponibilité des données, ainsi que les conditions de notification des violations de données à caractère personnel ;
– la durée et les modalités de conservation des données et le sort de celles-ci au terme de l’exécution du marché.
Les documents particuliers du marché précisent également les pénalités applicables au titulaire en cas de méconnaissance de la réglementation.
En cas de manquement par le titulaire ou son sous-traitant à ses obligations légales et contractuelles relatives à la protection des données personnelles, le marché peut être résilié pour faute en application de l’article 44.
Commentaires :
L’acheteur est considéré comme le « responsable du traitement » au sens du Règlement général sur la protection des données (RGPD) en tant qu’autorité publique déterminant les finalités et les moyens du traitement des données.
Le titulaire est considéré comme le « sous-traitant » au sens du RGPD en tant que personne traitant des données à caractère personnel pour le compte de l’acheteur.
Le sous-traitant du marché est considéré comme le « sous-traitant ultérieur » au sens du RGPD en tant que personne à qui le titulaire peut faire appel pour mener des activités de traitement spécifiques.
Les acheteurs sont invités, pour rédiger les documents particuliers du marché, à consulter le Guide du sous-traitant élaboré par la CNIL et disponible sur son site internet : https://www.cnil.fr/.
5.2. Protection des données à caractère personnel :
5.2.1. Chaque partie au marché est tenue au respect des règles relatives à la protection des données nominatives auxquelles elle a accès pour les besoins de l’exécution du marché.
5.2.2. En cas d’évolution de la législation sur la protection des données nominatives en cours d’exécution du marché, les modifications éventuelles demandées par le pouvoir adjudicateur afin de se conformer aux règles nouvelles donnent lieu à la signature d’un avenant par les parties au marché.
5.2.3. Pour assurer cette protection, il incombe au pouvoir adjudicateur d’effectuer les déclarations et d’obtenir les autorisations administratives nécessaires à l’exécution des prestations prévues par les documents particuliers du marché.
Commentaires : les données à caractère personnelles dans les CCAG
La suite du contenu est réservée aux abonnés
Testez la base gratuitement en vous inscrivant ou connectez vous !
Clausier contractuel – Clauses RGPD
Le 25 mai 2018, le règlement (UE) 2016/679 du Parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit « règlement général sur la protection des données » – RGPD) est entré en application.
Ce règlement, à l’instar de la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, est applicable aux contrats de la commande publique dès lors que ces derniers comprennent une prestation mettant en œuvre un traitement de données à caractère personnel.
Sauf à se référer aux stipulations standard des CCAG 2021, l’acheteur doit organiser dans le CCAP le régime particulier de traitement des données personnelles selon les modalités d’exécution et d’exploitation envisagées par l’administration, le Titulaire et ses sous-traitants.
Exemples de clauses (CCAP)
Accès limité aux abonnées – non ouvert aux comptes de démo
La suite du contenu est réservée aux abonnés
Testez la base gratuitement en vous inscrivant ou connectez vous !
5.3. Mesures de sécurité :
Modifié par
Lorsque les prestations sont à exécuter dans un lieu où des mesures de sécurité s’appliquent, notamment dans les zones protégées en vertu des dispositions législatives ou réglementaires prises pour la protection du secret de la défense nationale, ces dispositions particulières sont indiquées par l’acheteur dans les documents particuliers du marché. Le titulaire est tenu de les respecter.
Le titulaire ne peut prétendre, de ce fait, ni à prolongation du délai d’exécution, ni à indemnité, ni à supplément de prix, à moins que les deux conditions suivantes soient remplies :
– les informations ne lui ont été communiquées que postérieurement au dépôt de son offre ;
– il peut établir que les obligations qui lui sont ainsi imposées nécessitent un délai supplémentaire pour l’exécution des prestations prévues par le marché ou rendent plus difficile ou plus onéreuse pour lui l’exécution de son contrat.
Commentaires : Une zone protégée est une zone créée par arrêté des ministres compétents et faisant l’objet d’une interdiction de pénétration sans autorisation, sanctionnée pénalement en cas d’infraction (articles 413-7 et R. 413-1 à R. 413-5 du code pénal).
5.4. Information des sous-traitants :
Le titulaire informe ses sous-traitants de leur soumission aux obligations énoncées au présent article 5. Il reste responsable du respect de celles-ci.