La protection des données au cœur des nouveaux CCAG

Dans un monde de plus en plus digital, les données sont l’objet de toutes les convoitises. C’est pourquoi la nouvelle génération des CCAG met un accent particulier sur leur protection et leur utilisation dans le cadre de l’exécution d’un marché.

© Epictura

Rendre les CCAG compatibles avec notre ère numérique a fait partie des facteurs qui ont poussé le ministère des Finances à toiletter les fameux cahiers des charges type. Comme l’a rappelé Guillaume Delaloy, chef du bureau de la réglementation générale à la DAJ de Bercy, lors de la conférence organisée sur le sujet en mai par le Resah, le règlement européen d’avril 2016 sur les données, applicable sans transposition depuis 2018 dans les Etats membres y compris pour les marchés publics, avait rendu obsolètes les clauses des modèles 2009.

La génération CCAG 2021 a donc été amendée pour rappeler les obligations des parties, dès que des données personnelles entrent en jeu et qu’un titulaire de marché est amené à les traiter pour le compte de l’acheteur. Ce qui est de plus en plus fréquent, avec l’usage grandissant des solutions numériques connectées à des bases. Le représentant de la DAJ a illustré son propos avec la lecture des plaques d’immatriculation, lors de la vérification du stationnement sur la voie publique, ou des cartes d’abonnement dans les transports en commun. Mais le secteur de la santé n’échappe pas au phénomène.

Communication à des tiers prohibée

Disposition présente dans l’ensemble des cahiers, l’article 5.2 se charge donc de rafraîchir les mémoires. « Il y a une volonté de sensibiliser la commande publique sur cette problématique car les données personnelles sont l’or noir du XXIe siècle », a commenté Me Aude Vivès-Albertini, avocate du cabinet Créactive. Règle d’airain : l’interdiction de divulgation à des tiers (article 5.2.1) sans accord du « responsable du traitement », autrement dit l’acheteur.

« Même s’il s’agit d’une demande émise par une autorité d’un Etat tiers », a insisté Guillaume Delaloy. Une référence notamment à la législation américaine, laquelle permet à un juge fédéral de solliciter des informations dès lors que l’entreprise qui traite ou héberge ces données est de nationalité américaine ou soumise à la loi des Etats-Unis, quel que soit son lieu d’implantation géographique.

Prendre un soin particulier à la rédaction des CCP

« Le CCAG n’est pas suffisant, a prévenu Me Vivès-Albertini ». Il donne des pistes, mais tout ce qui justifiera de la conformité au RGPD se trouvera dans les documents particuliers du marché. Ces derniers devront préciser, entre autres, la finalité du traitement, sa description et sa durée, l’obligation du titulaire d’informer l’acheteur en cas de difficulté d’application de la réglementation, de tout projet de recours à un tiers pour la mise en œuvre du traitement, de toute demande de communication de données qui lui serait adressée, les modalités de prise en compte du droit à l’information et des autres droits des personnes concernées, les mesures de sécurité mises en œuvre pour garantir l’intégrité, la confidentialité et la disponibilité des données, ainsi que les conditions de notification des violations de données à caractère personnel, ou encore la durée et les modalités de conservation des données et le sort de celles-ci au terme de l’exécution du marché (article 5.2.3).

Régime de confidentialité par défaut

Mais les données personnelles ne sont pas les seules concernées. Le CCAG PI a ainsi pris soin de protéger les données sensibles « de toute nature » et « sous quelque forme que ce soit », y compris orale, transmises dans le cadre d’un marché. « Il y a un changement de paradigme. Auparavant, seules les données qui étaient listées comme confidentielles bénéficiaient de cette protection. Aujourd’hui, à l’inverse, le régime est celui de la confidentialité par défaut », a résumé Me Aude Vivès-Albertini. Echappent au dispositif les documents déjà dans le domaine public.

Résultat, le CCAG restreint la diffusion des fameuses « data ». Celles qui appartiennent au bénéficiaire ne peuvent être exploitées que dans le cadre du marché et ne peuvent être divulguées par le titulaire, sauf autorisation préalable (article 5.1.2). Une règle également applicable aux éventuels sous-traitants.

Qu’il s’agisse de données personnelles ou confidentielles, toute violation des règles pourra déboucher sur une pénalité, modulable en fonction de la qualité de la donnée (égale à 2 % du montant exécuté du marché public à la date de constatation pour les premières, à 0,5 % pour les secondes), voire sur la résiliation pure et simple du contrat.

Ne pas oublier la destruction des données à la fin du contrat

Autre point important : au terme du marché, le prestataire doit restituer une copie de l’intégralité des données confiées et détruire les éléments contenus ou sauvegardés dans son système d’information (article 31 du CCAG PI). Et l’acheteur a la possibilité, par un audit, de vérifier que ces dispositions ont été appliquées, jusqu’à 6 mois après la fin du marché (article 19-3).

Face à un marché traitant de données, Me Vivès-Albertini a insisté sur le travail amont. D’abord en identifiant au préalable les données et en les classifiant. Ensuite en définissant, dans le cas de données personnelles, précisément l’objet du traitement, sa finalité et la durée de conservation nécessaire à l’opération, les responsabilités de l’acheteur et du titulaire, les mesures de sécurités mises en œuvre, sans oublier le sort des données au terme du marché. S’agissant des données sensibles, il est surtout nécessaire de recenser celles pouvant ou devant être « déconfidentialisées » pour l’exécution du marché.

 

Réagir à cet article

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *