Une mise en relation des principes issus du RGPD et du développement du BIM (Building Information Modeling) dans le secteur du BTP et ses impacts juridiques sur les acteurs publics de la construction s’avère indispensable.
En effet, rappelons que le BIM peut être défini comme un processus collaboratif permettant aux différents intervenants à une opération de construction de partager, à tous les stades du projet, les informations relatives à la conception, l’exécution et l’exploitation d’un bâtiment. Ce travail collaboratif s’effectue notamment autour d’une maquette numérique accessible à l’ensemble des intervenants.
Plusieurs niveaux, classés de 0 à 3, déterminent le degré d’interaction numérique de ce processus collaboratif.
A ce jour, le cadre juridique du BIM n’est pas défini, y compris en droit de la commande publique, alors même que l’ordonnance n° 2015-899 du 23 juillet 2015 et son décret n° 2016-360 du 25 mars 2016, pris en application de la directive européenne 2014/24/UE, prévoient la possibilité pour les maîtres d’ouvrage d’exiger la réalisation du projet en mode BIM de leur prestataire (article 42 du décret du 25 mars 2016).
Dans ces conditions, le contrat demeure pour le moment la loi des parties.
Or, le BIM impliquant une mise en commun de données, surtout dans le cas d’une collaboration élevée entre les intervenants (niveaux 2 et 3), des difficultés liées à la facilité d’exportation de ces données peuvent survenir.
Ainsi, dans la mesure où la mise en place du BIM peut appeler à la fois une collecte de données professionnelles et personnelles, la question de l’application du RGPD à un projet numérisé se pose nécessairement.
A noter que la suppression du régime déclaratif auprès de la CNIL des données personnelles est bénéfique dans le cadre du BIM car le contenu de ces données ne pourra être connu qu’au fur et à mesure de l’avancement du projet et non aux prémices de son développement.
Pour autant, la nouvelle logique de responsabilisation implique de s’interroger sur la désignation du délégué à la protection des données (DPD) au sein d’un projet de construction numérisé : celui-ci sera-t-il le BIM Manager (chargé de veiller au respect des normes techniques et environnementales) ? Le maître d’œuvre ? Ou le maître d’ouvrage public ?
Dans ce dernier cas, les acteurs publics devront veiller à intégrer les données personnelles éventuellement collectées au sein d’un projet de construction numérisé au système de traitement choisi : externalisation par le biais d’un prestataire de services dans le cadre de la sous-traitance du RGPD ou collecte interne.
S’agissant de la sous-traitance, il doit être précisé que cette notion au sens du RGPD ne doit pas être confondue avec celle de sous-traitant au sens de la loi n° 75-1334 du 31 décembre 1975 relative à la sous-traitance.
En effet, la loi de 1975 définit la sous-traitance comme étant une opération par laquelle un entrepreneur confie par un sous-traité, et sous sa responsabilité, à une autre personne appelée sous-traitant l’exécution de tout ou partie du contrat d’entreprise ou d’une partie du marché public conclu avec le maître d’ouvrage (article 1er).
Pour le RGPD, le sous-traitant est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement (article 4 du RGPD).
Ainsi, les titulaires de marchés publics peuvent, alors qu’ils sont considérés comme entrepreneurs vis-à-vis des acheteurs publics au regard de la loi de 1975, être considérés comme des sous-traitants vis-à-vis de l’acheteur public au regard du RGPD dans le cadre de l’exécution du marché public.
A noter également que la désignation du maître d’ouvrage public en qualité de BIM Manager et de délégué à la protection des données doit faire l’objet d’une vigilance particulière au titre des risques d’immixtion du maître d’ouvrage public dans la gestion du projet qui peut être qualifiée de fautive.
En conclusion, si l’entrée en vigueur du RGPD implique une responsabilisation généralisée des acteurs publics, tous domaines confondus, le BIM, outil numérique encore peu encadré, doit désormais attirer d’autant plus l’attention des maîtres d’ouvrage publics qui souhaitent y recourir s’agissant de la collecte de données personnelles.