04 42 52 10 84 contact@publicsourcing.fr

CCAG TIC : le guide opérationnel de l’arrêté du 30 mars 2021

TL;DR

 

Le CCAG TIC encadre les marchés publics de techniques de l’information et de la communication : matériel, logiciels, développement spécifique, maintenance, infogérance.

 

Issu de l’arrêté du 30 mars 2021, le CCAG-TIC 2021 a remplacé la version 2009. Il introduit un chapitre entier sur la cybersécurité, dont l’audit de sécurité de l’article 24, et refond la propriété intellectuelle et la réversibilité.

Son usage n’est pas obligatoire. Il ne s’applique que si le marché s’y réfère expressément – avec, le cas échéant, des dérogations posées dans le CCAP.

 

Ce que retient un acheteur pressé :

  • Champ d’application : matériel informatique, logiciels standards et spécifiques, systèmes d’information, TMA, infogérance.
  • Audit de sécurité (art. 24) : préavis de 15 jours, frais à charge de l’acheteur, contrôle possible jusqu’à 6 mois après la fin du marché.
  • Pénalités de sécurité (art. 14.3) : 0,5 % du montant exécuté hors données personnelles, 2 % si données à caractère personnel concernées.
  • Réversibilité (art. 42) : obligation de restitution des données et de transfert de compétences, à anticiper dès le CCAP.
  • Propriété intellectuelle (art. 45-46) : cession non exclusive par défaut, avec possibilité de rétrocession et de diffusion en open source pour les logiciels.

Qu’est-ce que le CCAG TIC ?

Le CCAG TIC – Cahier des Clauses Administratives Générales applicables aux marchés publics de Techniques de l’Information et de la Communication – fixe les règles d’exécution administrative des marchés publics informatiques.

Il a été approuvé par l’arrêté du 30 mars 2021 (NOR : ECOM2106875A), publié au Journal officiel et entré en vigueur le 1er avril 2021 [1]. Une période transitoire a couru jusqu’au 30 septembre 2021, permettant aux acheteurs de basculer progressivement de l’ancien CCAG-TIC 2009 vers le nouveau texte. Un arrêté du 29 décembre 2022 est venu ensuite ajuster certaines clauses communes à tous les CCAG.

Ce document appartient à la famille des six CCAG type publiés en 2021 (Travaux, FCS, PI, TIC, MI, MOE). Il n’a pas de valeur obligatoire : il ne s’applique que si les documents particuliers du marché – l’acte d’engagement et le CCAP – y font expressément référence. Rien n’empêche non plus d’y déroger ponctuellement, à condition de le préciser noir sur blanc dans le CCAP.

Champ d’application

L’article 1er du CCAG-TIC 2021 vise les marchés portant sur :

  • la fourniture de matériel informatique ou de télécommunication ;

  • la fourniture de logiciels commerciaux (dits « standards ») ;

  • les études et le développement de logiciels spécifiques, conçus sur mesure pour un acheteur public ;

  • l’élaboration de systèmes d’information ;

  • les prestations de maintenance, de tierce maintenance applicative (TMA) ou d’infogérance.

Notre expérience de conseil auprès de collectivités et d’établissements publics le confirme : le choix du bon CCAG, en amont de la rédaction du DCE, conditionne toute la suite. C’est d’ailleurs l’un des points que nous traitons dans le module 2 de notre formation dédiée aux marchés publics d’informatique, consacré précisément à ce cadrage juridique.

Les articles clés du CCAG TIC 2021

Le texte compte 55 articles répartis en neuf chapitres. Certains méritent une attention particulière parce qu’ils concentrent l’essentiel du risque contractuel.

Article 24 : l’audit de sécurité, la grande nouveauté

L’article 24 est la disposition la plus commentée du CCAG-TIC 2021. Il donne à l’acheteur la faculté de réaliser ou faire réaliser un audit de sécurité auprès du titulaire, et le cas échéant de ses sous-traitants, afin de vérifier que le niveau de sécurité requis est bien respecté [2].

Ce que prévoit concrètement l’article 24 :

  • Préavis de 15 jours : le titulaire doit être informé de la date et des modalités de l’audit avant sa réalisation.

  • Frais à la charge de l’acheteur lorsque l’audit se déroule dans ses propres locaux.

  • Contrôle a posteriori possible jusqu’à 6 mois après la fin ou la résiliation du marché, notamment pour vérifier la destruction effective des données.

En pratique, un acheteur qui active cette clause doit avoir prévu, dès le CCAP, les modalités précises de l’audit (accès aux environnements, périmètre technique, référentiel de sécurité applicable). À défaut, la clause reste théorique.

Article 5 : confidentialité et sécurité, le socle

L’article 5 pose les obligations de confidentialité, de protection des données à caractère personnel et de mesures de sécurité. Son 5.4 introduit une obligation nouvelle : le titulaire doit mettre en place un dispositif d’information dédié, permettant de signaler à l’acheteur les vulnérabilités et incidents détectés sur son système d’information – correctifs publiés, attaques en cours, violations de données.

Article 14 : les pénalités, plafond et cas particulier de la sécurité

Le régime des pénalités est structuré en trois volets :

  • 14.1 – Dispositions générales : les pénalités de retard sont plafonnées à 10 % du montant HT du marché, de la tranche ou du bon de commande concerné. Le titulaire est exonéré si le montant total des pénalités ne dépasse pas 1 000 € HT.

  • 14.2 – Pénalités pour indisponibilité, propres aux marchés de maintenance.

  • 14.3 – Pénalités pour violation des obligations de sécurité ou de confidentialité, nouveauté 2021 : 0,5 % du montant exécuté du marché en cas de violation sans donnée personnelle concernée, 2 % si des données à caractère personnel sont en cause. Ces pénalités sont cumulables avec les autres [3].

Ce plafond de 10 % n’est pas une fatalité : un acheteur peut y déroger explicitement dans le CCAP, à condition de le justifier. C’est un point que nous vérifions systématiquement lors de nos audits de DCE.

Article 22 : mise à jour des logiciels et documentation technique

L’article 22 précise les obligations du titulaire en matière de nouvelles versions logicielles et de documentation technique à livrer – un point souvent négligé qui génère des litiges en phase de TMA.

Réversibilité et fin de contrat

L’article 42 (ex-38 dans certaines versions) définit deux notions distinctes, essentielles en fin de marché :

  • la réversibilité : l’opération de retour de responsabilité technique permettant à l’acheteur de reprendre en interne, ou de faire reprendre par un tiers, les prestations exécutées par le titulaire sortant ;

  • la transférabilité : le transfert de connaissance technique et fonctionnelle nécessaire à cette reprise.

Le titulaire doit fournir les éléments nécessaires – accès aux matériels et logiciels, formats de données exploitables, clés de chiffrement, documentation – pour permettre une reprise effective dans le délai fixé par le marché.

Notre recommandation terrain : pour les prestations cloud ou SaaS, ne pas se contenter d’une réversibilité « one-shot » en toute fin de contrat. Exiger une réversibilité en continu – sauvegardes régulières, export dans des formats standards non propriétaires – évite l’effet tunnel des trois derniers mois du marché, période où le titulaire sortant a le moins d’intérêt à coopérer.

L’article 37 complète ce dispositif avec l’obligation de destruction des données en fin de marché, contrôlable par l’acheteur au titre de l’article 24.

Propriété intellectuelle et licences logicielles

Le régime de propriété intellectuelle a été profondément unifié en 2021 entre les différents CCAG (hors CCAG-MOE). Les articles 43 à 46 du CCAG-TIC en tirent les conséquences pour l’informatique :

  • Suppression des options A et B de l’ancien régime. Ne subsiste qu’une cession à titre non exclusif des « résultats » – les développements spécifiques réalisés pour l’acheteur.

  • L’acheteur peut utiliser les résultats pour ses propres besoins, sans exclusivité : le titulaire conserve la faculté de réutiliser ou de commercialiser ces mêmes développements auprès d’autres clients.

  • Cas particulier des logiciels (article 45) : les besoins d’utilisation de l’acheteur incluent désormais expressément la possibilité de rétrocéder tout droit à un tiers et de diffuser le logiciel sous licence libre ou open source.

  • Les connaissances antérieures du titulaire (briques logicielles préexistantes, frameworks propriétaires) restent sa propriété et font l’objet d’une simple concession de droits d’usage.

Ce point est décisif dès la rédaction du cahier des charges : un acheteur qui souhaite conserver la maîtrise totale d’un développement spécifique – pour le réutiliser dans un autre marché ou le diffuser en open data – doit le préciser explicitement, sans se reposer sur le seul régime par défaut du CCAG.

Sécurité informatique : le chapitre qui change tout

Le CCAG-TIC 2021 fait de la cybersécurité un axe structurant, absent du texte de 2009. Trois briques se combinent :

  1. L’information sur les vulnérabilités (article 5.4) : obligation de signalement continu par le titulaire.

  2. La maintenance en condition de sécurité (articles 39-40) : usage de composants maintenus par l’éditeur pendant toute la durée du marché, procédure formalisée de maintien en condition de sécurité, livraison des correctifs.

  3. L’audit de sécurité (article 24) : vérification, y compris a posteriori, du respect des engagements pris.

L’article 4 introduit par ailleurs le plan d’assurance sécurité (PAS) – au même titre que le plan d’assurance qualité – comme pièce contractuelle pouvant figurer dans l’ordre de priorité des documents du marché, aux côtés du plan de sécurité des systèmes d’information (PSSI).

CCAG TIC, CCAG PI, CCAG FCS : comment choisir ?

Le CCAG TIC n’est pas le seul cadre applicable aux achats numériques. Le critère de choix tient à la nature de la prestation dominante :

CCAG

Objet principal

Exemples

CCAG TIC

Prestations techniques

Matériel, logiciels standards et spécifiques, TMA, infogérance

CCAG PI

Activités de l’esprit

Études, conseil, audit, AMOA

CCAG FCS

Fournitures courantes

Matériel standard sans maintenance complexe

Une erreur fréquente : appliquer le CCAG PI à un marché de développement logiciel sous prétexte qu’il s’agit d’une prestation intellectuelle. Le critère déterminant reste l’objet principal du marché – la production d’un livrable technique relève du CCAG TIC, la réflexion et le conseil relèvent du CCAG PI.

Cas pratiques d’application

Marché de refonte d’un système d’information métier : le CCAP doit préciser le sort des développements spécifiques (article 46), fixer un calendrier de réversibilité anticipée (article 42) et activer l’audit de sécurité (article 24) si le système traite des données sensibles.

Marché d’infogérance : les articles 39-40 sur la maintenance en condition de sécurité deviennent le cœur du dispositif. La pénalité de 2 % pour violation impliquant des données personnelles (article 14.3) doit être chiffrée en amont, dans les documents financiers.

Marché de fourniture de logiciels commerciaux (SaaS) : la clause de réversibilité continue doit primer sur la réversibilité classique de fin de contrat, sous peine de dépendance technologique.

C’est précisément ce type de mise en situation que nous travaillons avec les acheteurs et les entreprises dans notre module dédié aux marchés publics d’informatique : transformer une lecture juridique aride en clauses opérationnelles, chiffrables et vérifiables.

FAQ

Le CCAG TIC est-il obligatoire pour tout marché informatique ? Non. Il ne s’applique que si le marché y fait expressément référence. Un acheteur peut choisir un autre CCAG, ou rédiger un cahier des charges sans référence à aucun CCAG type.

Quelle est la différence entre le CCAG TIC 2009 et le CCAG-TIC 2021 ? Le CCAG-TIC 2021 introduit un audit de sécurité (article 24), des pénalités spécifiques pour violation de sécurité (article 14.3), un régime de propriété intellectuelle unifié et une redéfinition de la réversibilité (article 42).

Peut-on déroger au plafond de pénalités du CCAG-TIC 2021 ? Oui. Le plafond de 10 % des pénalités de retard prévu à l’article 14.1 peut être écarté, à condition de le prévoir explicitement dans le CCAP.

Le CCAG-TIC 2021 s’applique-t-il aux marchés en cours signés sous l’ancien texte ? Non. Il s’applique aux marchés dont la consultation a été engagée ou l’avis de publicité publié à compter du 1er avril 2021. Les marchés antérieurs restent régis par le CCAG-TIC 2009, sauf avenant expresse.

Qui supporte les frais de l’audit de sécurité prévu à l’article 24 ? L’acheteur, lorsque l’audit est réalisé dans ses propres locaux. Les modalités financières précises doivent être communiquées au titulaire au moins 15 jours avant l’audit.

Jean-Paul ROUSTAN, Directeur de Public Sourcing

Auteur de l’article

Jean-Paul ROUSTAN

Directeur Public Sourcing

Expert de la commande publique, Jean-Paul ROUSTAN accompagne les acteurs publics dans leurs enjeux d’audit, de conseil, de formation, de sourcing et d’optimisation des achats publics.

Voir le profil LinkedIn