Article 5 Confidentialité – Protection des données personnelles – Mesures de sécurité
5.1. Obligation de confidentialité :
5.1.1. Le titulaire et l’acheteur qui, à l’occasion de l’exécution du marché, ont connaissance d’informations ou reçoivent communication de documents ou d’éléments de toute nature, présentant un caractère confidentiel, sont tenus de prendre toutes mesures nécessaires, afin d’éviter que ces informations, documents ou éléments ne soient divulgués à un tiers qui n’a pas à en connaître. Une partie ne peut demander la confidentialité d’informations, de documents ou d’éléments qu’elle a elle-même rendus publics.
5.1.2. Une information confidentielle désigne toute information de quelque nature (y inclus la méthodologie, la documentation, les informations ou le savoir-faire), sous quelque forme que ce soit (y inclus sous forme orale, écrite, magnétique ou électronique), sur tout support dont l’acheteur est propriétaire ou titulaire, et qui est communiquée au titulaire, ou obtenue de toute autre façon par ce dernier dans le cadre de ses relations avec l’acheteur. Le titulaire et son personnel, et le cas échéant ses sous-traitants, ne peuvent l’utiliser que pour l’accomplissement des prestations prévues au marché.
5.1.3. Le titulaire doit informer ses sous-traitants des obligations de confidentialité et des mesures de sécurité qui s’imposent à lui pour l’exécution du marché. Il doit s’assurer du respect de ces obligations par ses sous-traitants.
5.1.4. Ne sont pas couverts par cette obligation de confidentialité les informations, documents ou éléments :
– qui étaient dans le domaine public au moment de leur divulgation ou que l’acheteur aurait lui-même rendus publics pendant l’exécution du marché ;
– signalés comme présentant un caractère non confidentiel et relatifs aux prestations du marché ;
– qui ont été communiqués au titulaire par un tiers ayant légalement le droit de diffuser ces informations, documents ou éléments, comme le prouvent des documents existant antérieurement à leur divulgation.
5.2. Protection des données à caractère personnel :
5.2.1. Chaque partie au marché est tenue au respect des règles, européennes et françaises, applicables au traitement des données à caractère personnel éventuellement mis en œuvre aux fins de l’exécution du marché. A ce titre, toute transmission de données à des tiers, y compris au bénéfice d’entités établies hors de l’Union européenne, qui ne serait pas strictement conforme à la réglementation en vigueur est formellement prohibée.
5.2.2. En cas d’évolution de la réglementation sur la protection des données à caractère personnel en cours d’exécution du marché, les modifications nécessaires pour se conformer aux règles nouvelles, donnent lieu à la signature d’un avenant par les parties au marché ou, en l’absence d’accord entre les parties, à une modification unilatérale par l’acheteur.
5.2.3. Lorsque le titulaire met en œuvre un traitement de données à caractère personnel pour le compte de l’acheteur, pour que ce traitement réponde aux exigences de la réglementation et garantisse en particulier la protection des droits des personnes physiques identifiées ou identifiables qu’il concerne, les documents particuliers du marché précisent notamment :
– la finalité, la description et la durée du traitement dans le strict respect des instructions documentées de l’acheteur ;
– les obligations de l’acheteur et celles du titulaire vis-à-vis de ce dernier, en particulier l’obligation de l’informer de toute difficulté dans l’application de la réglementation, de tout projet de recours à un tiers pour la mise en œuvre du traitement, ou encore de toute demande de communication de données qui lui serait adressée, ainsi que, lorsque celle-ci serait contraire à la règlementation française et européenne, des mesures adoptées pour s’y opposer ;
– les modalités de prise en compte du droit à l’information et des autres droits des personnes concernées, dont l’exercice doit être garanti ;
– les mesures de sécurité mises en œuvre pour garantir l’intégrité, la confidentialité et la disponibilité des données, ainsi que les conditions de notification des violations de données à caractère personnel ;
– la durée et les modalités de conservation des données et le sort de celles-ci au terme de l’exécution du marché.
Les documents particuliers du marché précisent également les pénalités applicables au titulaire en cas de méconnaissance de la réglementation.
En cas de manquement par le titulaire ou son sous-traitant à ses obligations légales et contractuelles relatives à la protection des données personnelles, le marché peut être résilié pour faute en application de l’article 50.
Commentaires :
L’acheteur est considéré comme le » responsable du traitement » au sens du Règlement général sur la protection des données (RGPD) en tant qu’autorité publique déterminant les finalités et les moyens du traitement des données.
Le titulaire est généralement considéré comme le » sous-traitant » au sens du RGPD en tant que personne traitant des données à caractère personnel pour le compte de l’acheteur.
Le sous-traitant du marché est considéré comme le » sous-traitant ultérieur » au sens du RGPD en tant que personne à qui le titulaire peut faire appel pour mener des activités de traitement spécifiques.
Les acheteurs sont invités, pour rédiger les documents particuliers du marché, à consulter le Guide du sous-traitant élaboré par la CNIL et disponible sur son site Internet :
https://www.cnil.fr/
5.3. Mesures de sécurité :
5.3.1 Lorsque les prestations sont à exécuter dans un lieu où des mesures de sécurité s’appliquent, notamment dans les zones protégées en vertu des dispositions législatives ou réglementaires prises pour la protection du secret de la défense nationale, ces dispositions particulières sont indiquées par l’acheteur dans les documents particuliers du marché. Le titulaire est tenu de les respecter.
Le titulaire ne peut prétendre, de ce fait, ni à prolongation du délai d’exécution, ni à indemnité, ni à supplément de prix, à moins que les deux conditions suivantes soient remplies :
– les informations ne lui ont été communiquées que postérieurement au dépôt de son offre ;
– il peut établir que les obligations qui lui sont ainsi imposées nécessitent un délai supplémentaire pour l’exécution des prestations prévues par le marché ou rendent plus difficile ou plus onéreuse pour lui l’exécution de son contrat.
Commentaires :
Une zone protégée est une zone créée par arrêté des ministres compétents et faisant l’objet d’une interdiction de pénétration sans autorisation, sanctionnée pénalement en cas d’infraction (articles 413-1 à 413-8 du code pénal).
5.3.2 Le titulaire sensibilise son personnel, intervenant dans le cadre des prestations, à la sécurité de l’information, des systèmes d’information et à l’ensemble des mesures de sécurité définies par l’acheteur ou s’imposant à ce dernier.
Le titulaire veille notamment à ce que son personnel intervenant dans le cadre des prestations respecte les stipulations du présent marché concernant la sécurité.
5.4. Information sur les vulnérabilités et les incidents de sécurité détectés sur le système d’information du titulaire
Pour les prestations, produits et services fournis dans le cadre du marché, le titulaire met à disposition un dispositif d’information dédié à la sécurité informatique (notamment flux RSS/ATOM, liste de diffusion par courriel ou autre).
Ce dispositif vise à tenir l’acheteur informé des événements et changements impactant la sécurité, notamment liés à la connaissance d’une vulnérabilité impactant le système (annonce de correctif, attaque en cours, violation de données à caractère personnel si le traitement de données est sous-traité au titulaire), et des mesures correctives ou conservatoires à appliquer.
5.5. Information des sous-traitants
Le titulaire informe ses sous-traitants de leur soumission aux obligations énoncées au présent article 5. Il reste responsable du respect de celles-ci.
Source : Legifrance 31/12/22 - CCAG-TIC 2021.