Les nouveaux CCAG procèdent à une actualisation pour tenir compte des règles introduites par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD).
Néanmoins, à chaque fois que le marché a en tout ou partie pour objet un traitement de données personnelles, il sera nécessaire, pour l’acheteur, de procéder en amont de la rédaction des documents du marché à une réflexion sur l’étendue des données traitées, les finalités du traitement et les responsabilités partagées entre l’acheteur et le prestataire ; en effet, les seules clauses générales ne peuvent suffire à couvrir toutes les situations et, en présence d’un traitement de données personnelles, il sera toujours nécessaire de préciser le rôle et les responsabilités de chacun dans les documents particuliers du marché (DAJ 2021, Le RGPD). |
Clauses des CCAG sur les données à caractère personnelles
Cliquez pour afficher les articles associés : ancien - nouveau CCAG Travaux
5.2. Protection des données à caractère personnel :
5.2.1. Chaque partie au marché est tenue au respect des règles, européennes et françaises, applicables au traitement des données à caractère personnel éventuellement mis en œuvre aux fins de l’exécution du marché. A ce titre, toute transmission de données à des tiers, y compris au bénéfice d’entités établies hors de l’Union européenne, qui ne serait pas strictement conforme à la réglementation en vigueur est formellement prohibée.
5.2.2. En cas d’évolution de la réglementation sur la protection des données à caractère personnel en cours d’exécution du marché, les modifications éventuelles demandées par le maître d’ouvrage afin de se conformer aux règles nouvelles, donnent lieu à la signature d’un avenant par les parties au marché ou, en l’absence d’accord entre les parties, à une modification unilatérale par le maître d’ouvrage.
5.2.3. Lorsque le titulaire met en œuvre un traitement pour le compte du maître d’ouvrage, pour que le traitement des données réponde aux exigences de la réglementation et garantisse en particulier la protection des droits des personnes physiques identifiées ou identifiables qu’il concerne, les documents particuliers du marché précisent notamment :
– la finalité, la description et la durée du traitement dans le strict respect des instructions documentées du maître d’ouvrage ;
– les obligations du maître d’ouvrage et celles du titulaire vis-à-vis de ce dernier, en particulier l’obligation de l’informer de toute difficulté dans l’application de la réglementation, de tout projet de recours à un tiers pour la mise en œuvre du traitement, ou encore de toute demande de communication de données qui lui serait adressée, ainsi que, lorsque celle-ci serait contraire à la réglementation française et européenne, des mesures adoptées pour s’y opposer ;
– les modalités de prise en compte du droit à l’information et des autres droits des personnes concernées, dont l’exercice doit être garanti;
– les mesures de sécurité mises en œuvre pour garantir l’intégrité, la confidentialité et la disponibilité des données, ainsi que les conditions de notification des violations de données à caractère personnel ;
– la durée et les modalités de conservation des données et le sort de celles-ci au terme de l’exécution du marché.
Les documents particuliers du marché précisent également les pénalités applicables au titulaire en cas de méconnaissance de la réglementation.
En cas de manquement, par le titulaire ou son sous-traitant, à ses obligations légales et contractuelles relatives à la protection des données personnelles, le marché peut être résilié pour faute en application de l’article 50.
Commentaires :
Le maître d’ouvrage est considéré comme le « responsable du traitement » au sens du Règlement général sur la protection des données (RGPD) en tant qu’autorité publique déterminant les finalités et les moyens du traitement des données.
Le titulaire est généralement considéré comme le « sous-traitant » au sens du RGPD en tant que personne traitant des données à caractère personnel pour le compte du maître d’ouvrage.
Le sous-traitant du marché est considéré comme le « sous-traitant ultérieur » au sens du RGPD en tant que personne à qui le titulaire peut faire appel pour mener des activités de traitement spécifiques.
Les maîtres d’ouvrage sont invités, pour rédiger les documents particuliers du marché, à consulter le Guide du sous-traitant élaboré par la CNIL, disponible sur son site Internet : https://www.cnil.fr/. |
5. 2. Protection des données à caractère personnel :
5. 2. 1 Chaque partie au marché est tenue au respect des règles relatives à la protection des données à caractère personnel, auxquelles elle a accès pour les besoins de l’exécution du marché.
5. 2. 2. En cas d’évolution de la législation sur la protection des données à caractère personnel en cours d’exécution du marché, les modifications éventuelles demandées par le représentant du pouvoir adjudicateur, afin de se conformer aux règles nouvelles, donnent lieu à la signature, par les parties au marché, d’un avenant.
5. 2. 3. Pour assurer cette protection, il incombe au représentant du pouvoir adjudicateur d’effectuer les déclarations et d’obtenir les autorisations administratives nécessaires à l’exécution des prestations prévues par les documents particuliers du marché.
Cliquez pour afficher les articles associés : CCAG MOE
5.2. Protection des données à caractère personnel :
5.2.1. Chaque partie au marché est tenue au respect des règles, européennes et françaises, applicables au traitement des données à caractère personnel éventuellement mis en œuvre aux fins de l’exécution du marché. A ce titre, toute transmission de données à des tiers, y compris au bénéfice d’entités établies hors de l’Union européenne, qui ne serait pas strictement conforme à la réglementation en vigueur est formellement prohibée.
5.2.2. En cas d’évolution de la réglementation sur la protection des données à caractère personnel en cours d’exécution du marché, les modifications éventuelles demandées par le maître d’ouvrage, afin de se conformer aux règles nouvelles, donnent lieu à la signature d’un avenant par les parties au marché ou, en l’absence d’accord entre les parties, à une modification unilatérale par le maître d’ouvrage.
5.2.3. Lorsque le maître d’œuvre met en œuvre un traitement pour le compte du maître d’ouvrage, pour que le traitement des données réponde aux exigences de la réglementation et garantisse en particulier la protection des droits des personnes physiques identifiées ou identifiables qu’il concerne, les documents particuliers du marché précisent notamment :
– la finalité, la description et la durée du traitement dans le strict respect des instructions documentées du maître d’ouvrage ;
– les obligations du maître d’ouvrage et celles du maître d’œuvre vis-à-vis de ce dernier, en particulier l’obligation de l’informer de toute difficulté dans l’application de la réglementation, de tout projet de recours à un tiers pour la mise en œuvre du traitement, ou encore de toute demande de communication de données qui lui serait adressée, ainsi que, lorsque celle-ci serait contraire à la réglementation française et européenne, des mesures adoptées pour s’y opposer ;
– les modalités de prise en compte du droit à l’information et des autres droits des personnes concernées, dont l’exercice doit être garanti ;
– les mesures de sécurité mises en œuvre pour garantir l’intégrité, la confidentialité et la disponibilité des données, ainsi que les conditions de notification des violations de données à caractère personnel ;
– la durée et les modalités de conservation des données et le sort de celles-ci au terme de l’exécution du marché.
Les documents particuliers du marché précisent également les pénalités applicables au maître d’œuvre en cas de méconnaissance de la réglementation.
En cas de manquement, par le maître d’œuvre ou son sous-traitant, à ses obligations légales et contractuelles relatives à la protection des données personnelles, le marché peut être résilié pour faute en application de l’article 30.
Commentaires :
Le maître d’ouvrage est considéré comme le « responsable du traitement » au sens du Règlement général sur la protection des données (RGPD) en tant qu’autorité publique déterminant les finalités et les moyens du traitement des données.
Le maître d’œuvre est généralement considéré comme le « sous-traitant » au sens du RGPD en tant que personne traitant des données à caractère personnel pour le compte du maître d’ouvrage.
Le sous-traitant du marché est considéré comme le « sous-traitant ultérieur » au sens du RGPD en tant que personne à qui le maître d’œuvre peut faire appel pour mener des activités de traitement spécifiques.
Les maîtres d’ouvrage sont invités, pour rédiger les documents particuliers du marché, à consulter le Guide du sous-traitant élaboré par la CNIL et disponible sur son site Internet : https: //www.cnil.fr/. |
Cliquez pour afficher les articles associés : ancien - nouveau CCAG PI
5.2. Protection des données à caractère personnel :
5.2.1. Chaque partie au marché est tenue au respect des règles, européennes et françaises, applicables au traitement des données à caractère personnel éventuellement mis en œuvre aux fins de l’exécution du marché. A ce titre, toute transmission de données à des tiers, y compris au bénéfice d’entités établies hors de l’Union européenne, qui ne serait pas strictement conforme à la réglementation en vigueur est formellement prohibée.
5.2.2. En cas d’évolution de la réglementation sur la protection des données à caractère personnel en cours d’exécution du marché, les modifications nécessaires pour se conformer aux règles nouvelles, donnent lieu à la signature d’un avenant par les parties au marché ou, en l’absence d’accord entre les parties, à une modification unilatérale par l’acheteur.
5.2.3. Lorsque le titulaire met en œuvre un traitement de données personnelles pour le compte de l’acheteur, pour que ce traitement réponde aux exigences de la réglementation et garantisse en particulier la protection des droits des personnes physiques identifiées ou identifiables qu’il concerne, les documents particuliers du marché précisent notamment :
– la finalité, la description et la durée du traitement dans le strict respect des instructions documentées de l’acheteur ;
– les obligations de l’acheteur et celles du titulaire vis-à-vis de ce dernier, en particulier l’obligation de l’informer de toute difficulté dans l’application de la réglementation, de tout projet de recours à un tiers pour la mise en œuvre du traitement, ou encore de toute demande de communication de données qui lui serait adressée, ainsi que, lorsque celle-ci serait contraire à la règlementation française et européenne, des mesures adoptées pour s’y opposer ;
– les modalités de prise en compte du droit à l’information et des autres droits des personnes concernées, dont l’exercice doit être garanti ;
– les mesures de sécurité mises en œuvre pour garantir l’intégrité, la confidentialité et la disponibilité des données, ainsi que les conditions de notification des violations de données à caractère personnel ;
– la durée et les modalités de conservation des données et le sort de celles-ci au terme de l’exécution du marché.
Les documents particuliers du marché précisent également les pénalités applicables au titulaire en cas de méconnaissance de la réglementation.
En cas de manquement par le titulaire ou son sous-traitant à ses obligations légales et contractuelles relatives à la protection des données personnelles, le marché peut être résilié pour faute en application de l’article 39.
Commentaires :
L’acheteur est considéré comme le « responsable du traitement » au sens du Règlement général sur la protection des données (RGPD) en tant qu’autorité publique déterminant les finalités et les moyens du traitement des données.
Le titulaire est généralement considéré comme le « sous-traitant » au sens du RGPD en tant que personne traitant des données à caractère personnel pour le compte de l’acheteur.
Le sous-traitant du marché est considéré comme le « sous-traitant ultérieur » au sens du RGPD en tant que personne à qui le titulaire peut faire appel pour mener des activités de traitement spécifiques.
Les acheteurs sont invités, pour rédiger les documents particuliers du marché, à consulter le Guide du sous-traitant élaboré par la CNIL et disponible sur son site Internet : https://www.cnil.fr/. |
5. 2. Protection des données à caractère personnel :
5. 2. 1. Chaque partie au marché est tenue au respect des règles relatives à la protection des données à caractère personnel, auxquelles elle a accès pour les besoins de l’exécution du marché.
5. 2. 2. En cas d’évolution de la législation sur la protection des données à caractère personnel en cours d’exécution du marché, les modifications éventuelles demandées par le pouvoir adjudicateur afin de se conformer aux règles nouvelles donnent lieu à la signature d’un avenant par les parties au marché.
5. 2. 3. Pour assurer cette protection, il incombe au pouvoir adjudicateur d’effectuer les déclarations et d’obtenir les autorisations administratives nécessaires à l’exécution des prestations prévues par les documents particuliers du marché.
Cliquez pour afficher les articles associés : ancien - nouveau CCAG TIC
5.2. Protection des données à caractère personnel :
5.2.1. Chaque partie au marché est tenue au respect des règles, européennes et françaises, applicables au traitement des données à caractère personnel éventuellement mis en œuvre aux fins de l’exécution du marché. A ce titre, toute transmission de données à des tiers, y compris au bénéfice d’entités établies hors de l’Union européenne, qui ne serait pas strictement conforme à la réglementation en vigueur est formellement prohibée.
5.2.2. En cas d’évolution de la réglementation sur la protection des données à caractère personnel en cours d’exécution du marché, les modifications nécessaires pour se conformer aux règles nouvelles, donnent lieu à la signature d’un avenant par les parties au marché ou, en l’absence d’accord entre les parties, à une modification unilatérale par l’acheteur.
5.2.3. Lorsque le titulaire met en œuvre un traitement de données à caractère personnel pour le compte de l’acheteur, pour que ce traitement réponde aux exigences de la réglementation et garantisse en particulier la protection des droits des personnes physiques identifiées ou identifiables qu’il concerne, les documents particuliers du marché précisent notamment :
– la finalité, la description et la durée du traitement dans le strict respect des instructions documentées de l’acheteur ;
– les obligations de l’acheteur et celles du titulaire vis-à-vis de ce dernier, en particulier l’obligation de l’informer de toute difficulté dans l’application de la réglementation, de tout projet de recours à un tiers pour la mise en œuvre du traitement, ou encore de toute demande de communication de données qui lui serait adressée, ainsi que, lorsque celle-ci serait contraire à la règlementation française et européenne, des mesures adoptées pour s’y opposer ;
– les modalités de prise en compte du droit à l’information et des autres droits des personnes concernées, dont l’exercice doit être garanti ;
– les mesures de sécurité mises en œuvre pour garantir l’intégrité, la confidentialité et la disponibilité des données, ainsi que les conditions de notification des violations de données à caractère personnel ;
– la durée et les modalités de conservation des données et le sort de celles-ci au terme de l’exécution du marché.
Les documents particuliers du marché précisent également les pénalités applicables au titulaire en cas de méconnaissance de la réglementation.
En cas de manquement par le titulaire ou son sous-traitant à ses obligations légales et contractuelles relatives à la protection des données personnelles, le marché peut être résilié pour faute en application de l’article 50.
Commentaires :
L’acheteur est considéré comme le « responsable du traitement » au sens du Règlement général sur la protection des données (RGPD) en tant qu’autorité publique déterminant les finalités et les moyens du traitement des données.
Le titulaire est généralement considéré comme le « sous-traitant » au sens du RGPD en tant que personne traitant des données à caractère personnel pour le compte de l’acheteur.
Le sous-traitant du marché est considéré comme le « sous-traitant ultérieur » au sens du RGPD en tant que personne à qui le titulaire peut faire appel pour mener des activités de traitement spécifiques.
Les acheteurs sont invités, pour rédiger les documents particuliers du marché, à consulter le Guide du sous-traitant élaboré par la CNIL et disponible sur son site Internet : https://www.cnil.fr/. |
5. 2. Protection des données à caractère personnel :
5. 2. 1. Chaque partie au marché est tenue au respect des règles relatives à la protection des données nominatives, auxquelles elle a accès pour les besoins de l’exécution du marché.
5. 2. 2. En cas d’évolution de la législation sur la protection des données à caractère personnel en cours d’exécution du marché, les modifications éventuelles demandées par le pouvoir adjudicateur, afin de se conformer aux règles nouvelles, donnent lieu à la signature d’un avenant par les parties au marché.
5. 2. 3. Pour assurer cette protection, il incombe au pouvoir adjudicateur d’effectuer les déclarations et d’obtenir les autorisations administratives nécessaires à l’exécution des prestations prévues par les documents particuliers du marché.
Cliquez pour afficher les articles associés : ancien - nouveau CCAG FCS
5.2. Protection des données à caractère personnel :
5.2.1 Chaque partie au marché est tenue au respect des règles, européennes et françaises, applicables au traitement des données à caractère personnel éventuellement mis en œuvre aux fins de l’exécution du marché. A ce titre, toute transmission de données à des tiers, y compris au bénéfice d’entités établies hors de l’Union européenne, qui ne serait pas strictement conforme à la réglementation en vigueur est formellement prohibée.
5.2.2. En cas d’évolution de la réglementation sur la protection des données à caractère personnel en cours d’exécution du marché, les modifications nécessaires pour se conformer aux règles nouvelles, donnent lieu à la signature d’un avenant par les parties au marché ou, en l’absence d’accord entre les parties, à une modification unilatérale par l’acheteur.
5.2.3. Lorsque le titulaire met en œuvre un traitement de données à caractère personnel pour le compte de l’acheteur, pour que ce traitement réponde aux exigences de la réglementation, et garantisse en particulier la protection des droits des personnes physiques identifiées ou identifiables qu’il concerne, les documents particuliers du marché précisent notamment :
– la finalité, la description et la durée du traitement dans le strict respect des instructions documentées de l’acheteur ;
– les obligations de l’acheteur et celles du titulaire vis-à-vis de ce dernier, en particulier, l’obligation de l’informer de toute difficulté dans l’application de la réglementation, de tout projet de recours à un tiers pour la mise en œuvre du traitement, ou encore de toute demande de communication de données qui lui serait adressée, ainsi que, lorsque celle-ci serait contraire à la règlementation française et européenne, des mesures adoptées pour s’y opposer ;
– les modalités de prise en compte du droit à l’information et des autres droits des personnes concernées, dont l’exercice doit être garanti ;
– les mesures de sécurité mises en œuvre pour garantir l’intégrité, la confidentialité et la disponibilité des données, ainsi que les conditions de notification des violations de données à caractère personnel ;
– la durée et les modalités de conservation des données et le sort de celles-ci au terme de l’exécution du marché.
Les documents particuliers du marché précisent également les pénalités applicables au titulaire en cas de méconnaissance de la réglementation.
En cas de manquement par le titulaire ou son sous-traitant à ses obligations légales et contractuelles relatives à la protection des données personnelles, le marché peut être résilié pour faute en application de l’article 41.
Commentaires :
L’acheteur est considéré comme le « responsable du traitement » au sens du Règlement général sur la protection des données (RGPD) en tant qu’autorité publique déterminant les finalités et les moyens du traitement des données.
Le titulaire est généralement considéré comme le « sous-traitant » au sens du RGPD en tant que personne traitant des données à caractère personnel pour le compte de l’acheteur.
Le sous-traitant du marché est considéré comme le « sous-traitant ultérieur » au sens du RGPD en tant que personne à qui le titulaire peut faire appel pour mener des activités de traitement spécifiques.
Les acheteurs sont invités, pour rédiger les documents particuliers du marché, à consulter le Guide du sous-traitant élaboré par la CNIL et disponible sur son site Internet : https://www.cnil.fr/ |
5. 2. Protection des données à caractère personnel :
5. 2. 1. Chaque partie au marché est tenue au respect des règles relatives à la protection des données à caractère personnel, auxquelles elle a accès pour les besoins de l’exécution du marché.
5. 2. 2. En cas d’évolution de la législation sur la protection des données à caractère personnel en cours d’exécution du marché, les modifications éventuelles, demandées par le pouvoir adjudicateur afin de se conformer aux règles nouvelles, donnent lieu à la signature d’un avenant par les parties au marché.
5. 2. 3. Pour assurer cette protection, il incombe au pouvoir adjudicateur d’effectuer les déclarations et d’obtenir les autorisations administratives nécessaires à l’exécution des prestations prévues par les documents particuliers du marché.
Cliquez pour afficher les articles associés : ancien - nouveau CCAG MI
5.2. Protection des données à caractère personnel :
5.2.1 Chaque partie au marché est tenue au respect des règles, européennes et françaises, applicables au traitement des données à caractère personnel éventuellement mis en œuvre aux fins de l’exécution du marché. A ce titre, toute transmission de données à des tiers, y compris au bénéfice d’entités établies hors de l’Union européenne, qui ne serait pas strictement conforme à la réglementation en vigueur est formellement prohibée.
5.2.2. En cas d’évolution de la réglementation sur la protection des données à caractère personnel en cours d’exécution du marché, les modifications nécessaires pour se conformer aux règles nouvelles, donnent lieu à la signature d’un avenant par les parties au marché ou, en l’absence d’accord entre les parties, à une modification unilatérale par l’acheteur.
5.2.3. Lorsque le titulaire met en œuvre un traitement de données à caractère personnel pour le compte de l’acheteur, pour que ce traitement réponde aux exigences de la réglementation et garantisse en particulier la protection des droits des personnes physiques identifiées ou identifiables qu’il concerne, les documents particuliers du marché précisent notamment :
– la finalité, la description et la durée du traitement dans le strict respect des instructions documentées de l’acheteur ;
– les obligations de l’acheteur et celles du titulaire vis-à-vis de ce dernier, en particulier l’obligation de l’informer de toute difficulté dans l’application de la réglementation, de tout projet de recours à un tiers pour la mise en œuvre du traitement, ou encore de toute demande de communication de données qui lui serait adressée, ainsi que, lorsque celle-ci serait contraire à la règlementation française et européenne, des mesures adoptées pour s’y opposer ;
– les modalités de prise en compte du droit à l’information et des autres droits des personnes concernées, dont l’exercice doit être garanti ;
– les mesures de sécurité mises en œuvre pour garantir l’intégrité, la confidentialité et la disponibilité des données, ainsi que les conditions de notification des violations de données à caractère personnel ;
– la durée et les modalités de conservation des données et le sort de celles-ci au terme de l’exécution du marché.
Les documents particuliers du marché précisent également les pénalités applicables au titulaire en cas de méconnaissance de la réglementation.
En cas de manquement par le titulaire ou son sous-traitant à ses obligations légales et contractuelles relatives à la protection des données personnelles, le marché peut être résilié pour faute en application de l’article 44.
Commentaires :
L’acheteur est considéré comme le « responsable du traitement » au sens du Règlement général sur la protection des données (RGPD) en tant qu’autorité publique déterminant les finalités et les moyens du traitement des données.
Le titulaire est considéré comme le « sous-traitant » au sens du RGPD en tant que personne traitant des données à caractère personnel pour le compte de l’acheteur.
Le sous-traitant du marché est considéré comme le « sous-traitant ultérieur » au sens du RGPD en tant que personne à qui le titulaire peut faire appel pour mener des activités de traitement spécifiques.
Les acheteurs sont invités, pour rédiger les documents particuliers du marché, à consulter le Guide du sous-traitant élaboré par la CNIL et disponible sur son site internet : https://www.cnil.fr/. |
5.2. Protection des données à caractère personnel :
5.2.1. Chaque partie au marché est tenue au respect des règles relatives à la protection des données nominatives auxquelles elle a accès pour les besoins de l’exécution du marché.
5.2.2. En cas d’évolution de la législation sur la protection des données nominatives en cours d’exécution du marché, les modifications éventuelles demandées par le pouvoir adjudicateur afin de se conformer aux règles nouvelles donnent lieu à la signature d’un avenant par les parties au marché.
5.2.3. Pour assurer cette protection, il incombe au pouvoir adjudicateur d’effectuer les déclarations et d’obtenir les autorisations administratives nécessaires à l’exécution des prestations prévues par les documents particuliers du marché.
Commentaires : les données à caractère personnelles dans les CCAG
La suite du contenu est réservée aux abonnés
Testez la base gratuitement en vous inscrivant ou connectez vous !
Clausier contractuel – Clauses RGPD
Le 25 mai 2018, le règlement (UE) 2016/679 du Parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit « règlement général sur la protection des données » – RGPD) est entré en application.
Ce règlement, à l’instar de la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, est applicable aux contrats de la commande publique dès lors que ces derniers comprennent une prestation mettant en œuvre un traitement de données à caractère personnel.
Sauf à se référer aux stipulations standard des CCAG 2021, l’acheteur doit organiser dans le CCAP le régime particulier de traitement des données personnelles selon les modalités d’exécution et d’exploitation envisagées par l’administration, le Titulaire et ses sous-traitants. |
Exemples de clauses (CCAP)
Accès limité aux abonnées – non ouvert aux comptes de démo
La suite du contenu est réservée aux abonnés
Testez la base gratuitement en vous inscrivant ou connectez vous !