Au 30 septembre 2021, les cahiers des clauses administratives générales 2009 auront définitivement expiré au profit de leurs nouvelles versions, parues au journal officiel en avril dernier. Parmi les évolutions majeures, l’article 5.2 qui intègrent le RGPD…

Cela ne vous a pas échappé, les CCAG nouveaux sont arrivés. Parmi les évolutions notables, on relève pêle-mêle : la création d’un nouveau cahier relatif à la maîtrise d’œuvre, des clauses d’exécutions plus favorables aux PME (notamment pour les avances), un plafonnement à 10% des pénalités de retard, ainsi que l’interdiction des ordres de service à zéro euro. Mais ce qui retient notre attention ici est l’intégration d'une clause RGPD, qui impose des obligations de l’acheteur public et de l’entreprise titulaire, en matière de protection des données personnelles. Une évolution imposée par le règlement européen.

L'article 5.2 à la loupe

C’est l’article 5.2 -et en particulier le 5.2.3- qui détaille les questions portant sur la protection des données. Il précise notamment les informations qui doivent être intégrées par l’acheteur dans ses documents contractuels. Celles-ci portent donc en premier lieu sur ce qui est relatif au traitement des données, à savoir la finalité, la description et la durée « dans le strict respect des instructions documentées de l'acheteur ». Le second point évoque les obligations des parties, en particulier sur celle du titulaire d'informer l’acheteur des difficultés rencontrées dans l'application de la réglementation, de tout projet de recours à un tiers pour la mise en œuvre du traitement, ou encore de toute demande de communication de données qui lui serait adressée (ainsi que, lorsque celle-ci serait contraire à la règlementation française et européenne, des mesures adoptées pour s'y opposer). Le troisième impose d’indiquer les modalités de prise en compte des droits des personnes dont les données personnelles sont collectées et traitées. Il convient par ailleurs de préciser les mesures de sécurité mises en œuvre « pour garantir l'intégrité, la confidentialité et la disponibilité des données », et les conditions de notification des violations de données à caractère personnel. Enfin, il devra être précisé la durée et les modalités de conservation des données et le sort de celles-ci au terme de l'exécution du marché.

Une clause assortie de sanctions

Bien que l’énoncé soit pour le moins ambigu, l’article mentionne que l’acheteur devra indiquer, dans les pièces particulières, les pénalités applicables en cas de non-respect de la règlementation par l’entreprise titulaire. En cas de manquement aux obligations légales et contractuelles, la sanction infligée par l’acheteur pourra alors donner lieu à la résiliation du marché pour faute du titulaire ou de son sous-traitant. Des sanctions applicables, à condition donc que les acheteurs aient complété, de façon exhaustive, les pièces particulières de leurs marchés.