Guide pratique12 min de lecture

CCAG TIC 2021 : guide pour les marchés informatiques et télécom

Mis à jour le 18 mars 2026 — Sources : Code de la commande publique, DAJ, Légifrance

Le CCAG TIC (Cahier des Clauses Administratives Générales applicables aux marchés publics de Techniques de l'Information et de la Communication) est le socle contractuel de référence pour tous les marchés publics liés à l'informatique, aux télécommunications et au numérique. Sa version 2021, issue de l'arrêté du 30 mars 2021, remplace intégralement le CCAG TIC de 2009.

Ce guide s'adresse aux ESN, éditeurs de logiciels, intégrateurs, prestataires d'infogérance et opérateurs télécom qui répondent aux marchés publics. Il détaille le périmètre du CCAG TIC, les nouveautés majeures de 2021, les mécanismes de vérification et de maintenance, et les points de vigilance à maitriser pour sécuriser vos contrats.

Dans ce guide

  1. 1.Qu'est-ce que le CCAG TIC ?
  2. 2.Nouveautés du CCAG TIC 2021
  3. 3.Spécificités du CCAG TIC
  4. 4.Points clés à maitriser
  5. 5.Conseils pour les ESN et éditeurs
  6. 6.Erreurs fréquentes
  7. 7.Questions fréquentes

Qu'est-ce que le CCAG TIC ?

Définition et rôle

Le CCAG TIC fixe les clauses administratives types applicables à l'exécution des marchés publics portant sur les techniques de l'information et de la communication. Il n'est pas obligatoire : il s'applique uniquement lorsque les documents particuliers du marché (CCAP, acte d'engagement) y font expressément référence.

Son rôle est de fournir un cadre équilibré entre acheteur public et titulaire, en couvrant l'ensemble du cycle de vie d'un projet TIC : livraison, vérification, garantie, maintenance, propriété intellectuelle et fin de contrat.

Base juridique

Le CCAG TIC 2021 est approuvé par l'arrêté du 30 mars 2021 (NOR : ECOM2106875A), publié au Journal officiel du 1er avril 2021. Il comprend 55 articles répartis en 9 chapitres.

Champ d'application

Le CCAG TIC couvre un spectre large de prestations numériques :

  • Fourniture de matériel informatique ou de télécommunications (serveurs, postes de travail, équipements réseau)
  • Fourniture de logiciels sur étagère (licences commerciales, progiciels)
  • Développement de logiciels spécifiques (applications sur mesure, SI métier)
  • Intégration et déploiement de systèmes d'information
  • Maintenance et tierce maintenance applicative (TMA)
  • Infogérance et services managés (hébergement, exploitation, supervision)
  • Services cloud (IaaS, PaaS, SaaS) et prestations de cybersécurité

CCAG TIC, CCAG PI ou CCAG FCS : lequel choisir ?

Le choix du bon CCAG dépend de la nature dominante des prestations. Voici un comparatif :

Critère CCAG TIC CCAG PI CCAG FCS
Champ principal Matériel informatique, logiciels, télécom, infogérance, cloud Prestations intellectuelles pures (études, conseil, AMO, audit) Fournitures courantes et services généraux
Quand l'utiliser Dès que le marché porte sur un livrable ou un service TIC : développement logiciel, intégration, maintenance, hébergement Quand le marché porte principalement sur une activité intellectuelle sans livrable TIC (expertise, conseil stratégique SI) Fourniture de consommables bureautiques, services de nettoyage, prestations courantes sans dimension TIC
Vérifications VA (vérification d'aptitude) + VSR (vérification de service régulier) Vérification sur rapport ou sur livrables documentaires Vérification quantitative et qualitative standard
Maintenance Chapitre dédié (articles 38 à 42) : corrective, préventive, évolutive, adaptative, réversibilité Non prévu Non prévu
Propriété intellectuelle Régime détaillé avec gestion des licences, codes sources, droits d'usage Régime détaillé (options A et B) Régime simplifié

Cas mixte : comment trancher ?

Si votre marché combine du conseil SI (CCAG PI) et du développement logiciel (CCAG TIC), c'est la composante dominante en valeur qui détermine le CCAG applicable. Pour un projet de 200 000 € dont 150 000 € de développement et 50 000 € de conseil, le CCAG TIC s'impose. Le CCAP peut néanmoins emprunter des clauses aux deux CCAG.

Nouveautés du CCAG TIC 2021

La version 2021 est une refonte profonde du texte de 2009. Les évolutions reflètent 12 ans de transformation numérique, l'entrée en vigueur du RGPD et la montée des enjeux de cybersécurité.

Thème CCAG TIC 2009 CCAG TIC 2021
Structure 47 articles, organisation générique 55 articles, chapitres distincts par type de prestation TIC
Terminologie vérifications VABF (Vérification d'Aptitude au Bon Fonctionnement) et VSR VA (Vérification d'Aptitude) et VSR, terminologie clarifiée
Cybersécurité Obligations générales de sécurité Articles 5.3 et 5.4 dédiés : mesures de sécurité, obligation de signalement des vulnérabilités et incidents, audit de sécurité (art. 24)
Protection des données Mention générale Article 5.2 aligné sur le RGPD : obligations du sous-traitant de données, interdiction des transferts hors UE non conformes
Maintenance Traitement générique Chapitre 6 complet : 4 types de maintenance définis (corrective, préventive, évolutive, adaptative), niveaux de service, infogérance, TMA
Pénalités Pas de plafond explicite Plafonnement à 10 % du montant HT, seuil d'exonération à 1 000 €, procédure contradictoire obligatoire
Clause de réexamen Absente Article 27 : possibilité de modifier le contrat en cours d'exécution dans les conditions prévues par le Code de la commande publique
Réversibilité Traitée sommairement Article 42 détaillé : plan de réversibilité, transfert de données, fourniture des codes sources et documentation, API
Cloud et SaaS Non couvert Prise en compte des flux de données hors UE, accessibilité des données pour les missions de service public (art. 28)
Propriété intellectuelle Régime classique Précisions renforcées sur les licences, droits d'usage, transfert des développements

Période de transition

Les nouveaux CCAG sont d'application immédiate depuis le 1er avril 2021. Si votre marché fait référence au "CCAG TIC" sans préciser la version, c'est la version 2021 qui s'applique pour les marchés notifiés après le 1er octobre 2021. Pour les marchés notifiés avant cette date, vérifiez la version mentionnée dans le CCAP.

Spécificités du CCAG TIC

Le CCAG TIC se distingue des autres CCAG par des mécanismes propres au cycle de vie des projets informatiques. Voici les principaux.

Les phases de vérification : VA et VSR

Le CCAG TIC organise la réception des prestations en deux phases successives, adaptées à la complexité des projets TIC :

  1. Mise en ordre de marche (MOM) : le titulaire installe et configure le système, puis informe l'acheteur que la solution est prête à être vérifiée (article 29).
  2. Vérification d'Aptitude (VA) : l'acheteur vérifie que le système livré est conforme aux spécifications du CCTP. La VA remplace l'ancienne VABF. Si la VA est positive, l'acheteur prononce l'admission. En cas de réserves, le titulaire dispose d'un délai pour corriger.
  3. Vérification de Service Régulier (VSR) : cette phase observe le fonctionnement du système en conditions réelles sur une durée fixée par le marché (par défaut, un mois). Le service est considéré comme régulier si le taux d'indisponibilité imputable au titulaire ne dépasse pas 2 % du temps d'utilisation effective (8h-18h, lundi à vendredi, hors jours fériés).

VA vs VABF : ce qui change

La VABF (Vérification d'Aptitude au Bon Fonctionnement) de l'ancien CCAG 2009 est remplacée par la VA (Vérification d'Aptitude) dans la version 2021. Le principe reste similaire, mais la terminologie est harmonisée et les modalités sont clarifiées. Attention : certains marchés rédigés avant 2021 utilisent encore le terme VABF.

Les quatre types de maintenance

Le chapitre 6 du CCAG TIC (articles 38 à 42) définit précisément quatre types de maintenance :

Type Définition (art. 38) Exemple concret
Corrective Correction des anomalies constatées sur le système en exploitation Correction d'un bug bloquant sur une application métier
Préventive Mesures d'entretien exécutées pour éviter la survenance d'anomalies Mise à jour de sécurité, nettoyage de bases de données
Évolutive Intégration de nouvelles fonctions, amélioration du fonctionnement et de l'ergonomie, adaptation aux évolutions réglementaires Ajout d'un module de signature électronique, conformité à une nouvelle norme
Adaptative Adaptation du système aux modifications de son environnement technique (OS, base de données, infrastructure) Migration d'une application vers une nouvelle version de base de données

Niveaux de service et pénalités associées

Le CCAG TIC prévoit que les documents particuliers du marché définissent des niveaux de service (SLA) assortis de pénalités. Les indicateurs courants incluent :

  • Taux de disponibilité (ex. : 99,5 % en heures ouvrées)
  • Délai de prise en compte d'un incident (GTI : Garantie de Temps d'Intervention)
  • Délai de rétablissement du service (GTR : Garantie de Temps de Rétablissement)
  • Délai de résolution définitive d'une anomalie

Les pénalités de retard sont calculées selon la formule : P = V x R / 1 000, où V est la valeur de la prestation et R le nombre de jours de retard. Le total des pénalités est plafonné à 10 % du montant HT du marché (article 14.1.2). Le titulaire est exonéré si le cumul des pénalités ne dépasse pas 1 000 € (article 14.1.3).

Réversibilité et transférabilité

L'article 42 du CCAG TIC organise la fin de contrat pour les prestations d'infogérance et de services managés :

  • Réversibilité : reprise des prestations par l'acheteur lui-même. Le titulaire doit fournir un plan de réversibilité, les codes sources, la documentation technique et fonctionnelle, les fichiers de configuration, les scripts d'exploitation, et mettre en place des interfaces techniques (API, formats pivots) permettant l'accès aux données.
  • Transférabilité : reprise des prestations par un nouveau titulaire. Le prestataire sortant doit coopérer avec le nouveau prestataire pendant la période de transition.

Obligation de continuité

Pendant la période de réversibilité, le titulaire sortant doit continuer à fournir les prestations courantes. Il ne peut pas dégrader le niveau de service sous prétexte de fin de contrat. Cette obligation est fréquemment sous-estimée par les prestataires.

Tierce Maintenance Applicative (TMA)

La TMA est spécifiquement définie à l'article 38 : elle consiste à maintenir un système d'information en conditions opérationnelles et de sécurité, de manière préventive ou corrective. Elle peut inclure des travaux d'évolution ou d'adaptation. La TMA peut s'exercer sur site ou à distance, et concerne aussi bien les applications développées en interne que les progiciels paramètrés.

Points clés à maitriser

Voici les points essentiels que tout prestataire TIC et tout acheteur public doivent maitriser pour sécuriser l'exécution d'un marché sous CCAG TIC.

1. Vérification d'Aptitude (VA) : bien préparer la recette

  • Définissez dans le CCTP un plan de tests exhaustif avec des critères objectifs de conformité (cas de test, jeux de données, scénarios utilisateurs).
  • Prévoyez un délai réaliste pour la VA : les projets d'intégration complexes nécessitent souvent plusieurs semaines.
  • Documentez chaque anomalie et son niveau de gravité (bloquante, majeure, mineure) pour cadrer les ajournements éventuels.

2. VSR : surveiller le taux d'indisponibilité

  • Le seuil par défaut de 2 % d'indisponibilité sur la plage 8h-18h représente environ 12 minutes par jour. C'est exigeant pour les systèmes complexes.
  • Négociez, dans le CCAP, un taux adapté à la criticité réelle du système. Un portail intranet de consultation n'a pas les mêmes exigences qu'un SI de gestion des urgences.
  • Mettez en place un outil de monitoring partagé entre acheteur et titulaire pour objectiver les mesures.

3. Niveaux de maintenance et pénalités

  • Distinguez clairement les quatre types de maintenance dans votre offre. La maintenance évolutive et adaptative ne relève pas des mêmes engagements que la corrective.
  • Définissez des GTI et GTR par niveau de criticité (P1 critique, P2 majeur, P3 mineur). Exemple : GTI de 1h et GTR de 4h pour un incident P1.
  • Vérifiez que le plafond de pénalités à 10 % n'a pas été relevé par dérogation dans le CCAP. Certains acheteurs fixent des plafonds plus élevés.

4. Protection des données et réversibilité

  • L'article 5.2 impose le respect du RGPD. Si vous êtes sous-traitant de données (au sens du RGPD), vous devez formaliser les obligations dans un contrat de sous-traitance de données conforme à l'article 28 du RGPD.
  • L'article 42 impose un plan de réversibilité. Prévoyez-le dès la conception de votre solution : formats ouverts, documentation à jour, API d'export.
  • En cas d'hébergement hors UE, l'article 28 du CCAG TIC et les clauses relatives aux flux de données imposent des garanties renforcées. Privilégiez un hébergement souverain qualifié SecNumCloud si le marché le requiert.

5. Gestion des licences logicielles

  • Précisez dans votre offre les conditions de licence : nombre d'utilisateurs, durée, périmètre géographique, conditions de renouvellement.
  • Distinguez les licences perpétuelles des abonnements (modèle SaaS). Le CCAG TIC couvre les deux cas, mais les implications financières en fin de marché sont très différentes.
  • En cas de développement spécifique, le régime de propriété intellectuelle (chapitre 7, articles 43 à 46) détermine si l'acheteur dispose des codes sources et des droits de modification. Vérifiez le régime choisi dans le CCAP.

6. Spécificités cloud et SaaS

Cloud : les points de vigilance

Le CCAG TIC 2021 intègre les prestations cloud, mais le cadre reste générique. L'acheteur doit préciser dans le CCAP : la localisation des données (UE ou hors UE), le niveau de qualification de l'hébergeur (SecNumCloud, HDS pour les données de santé), les engagements de disponibilité (SLA), les modalités de portabilité et de réversibilité en fin de contrat. Le prestataire doit s'assurer que son offre couvre tous ces points.

Conseils pour les ESN et éditeurs

Si vous êtes une ESN, un éditeur de logiciels, un intégrateur ou un prestataire d'infogérance, voici les conseils pratiques pour aborder sereinement un marché sous CCAG TIC.

Négocier les SLA avec lucidité

  • Ne signez pas des engagements de disponibilité à 99,9 % si votre infrastructure ne le permet pas. Un taux de 99,9 % sur un mois ne laisse que 43 minutes d'indisponibilité autorisée. Calculez vos capacités réelles avant de répondre.
  • Proposez des niveaux de service différenciés selon les environnements (production, pré-production, recette) et les plages horaires (heures ouvrées vs 24/7).
  • Prévoyez des exclusions d'indisponibilité dans votre offre : maintenance programmée, incidents causés par l'acheteur, force majeure. Le CCAG TIC ne les prévoit pas par défaut.

Anticiper la réversibilité dès la conception

  • Intégrez un plan de réversibilité dans votre réponse, même si le règlement de consultation ne l'exige pas explicitement. C'est un signal de maturité qui rassure l'acheteur.
  • Utilisez des formats standards et ouverts pour le stockage des données (JSON, XML, CSV). Documentez vos API.
  • Chiffrez le cout de la réversibilité dans votre offre financière. Les opérations de migration et de transfert de compétences représentent un effort réel.

Protéger votre propriété intellectuelle

  • Le chapitre 7 du CCAG TIC prévoit deux options pour la propriété intellectuelle. L'option A (concession) vous laisse la propriété des développements : l'acheteur obtient un droit d'usage. L'option B (cession) transfère la propriété à l'acheteur.
  • Si votre offre repose sur un socle logiciel propriétaire (framework, bibliothèques, modules réutilisables), identifiez-le clairement comme "connaissance antérieure" (article 43). Les connaissances antérieures restent votre propriété, quel que soit le régime choisi.
  • Négociez dans le CCAP la liste précise des livrables soumis au régime de propriété intellectuelle. Évitez les formulations vagues ("tous les développements réalisés dans le cadre du marché").

Dérogations du CCAP : ce qu'il faut surveiller

Le CCAP peut déroger au CCAG TIC sur de nombreux points. Voici les dérogations les plus fréquentes et leur impact :

Dérogation courante Impact pour le prestataire Recommandation
Relèvement du plafond de pénalités au-delà de 10 % Risque financier accru Vérifiez que le montant reste proportionné au marché. Au-delà de 15 %, posez la question en phase de consultation.
Suppression du seuil d'exonération de 1 000 € Pénalités appliquées dès le premier euro Intégrez ce risque dans votre prix. Proposez un seuil alternatif.
Extension de la durée de garantie au-delà de 12 mois Cout de support prolongé Chiffrez précisément le cout de la garantie étendue dans votre BPU.
Choix de l'option B (cession) pour la propriété intellectuelle Perte de propriété sur les développements Identifiez vos connaissances antérieures et excluez-les clairement.
Obligation d'hébergement SecNumCloud Cout d'hébergement supérieur, choix de prestataires limité Vérifiez la compatibilité avec votre architecture. Anticipez les surcouts.

Utilisez les questions en phase de consultation

Le règlement de consultation prévoit une phase de questions-réponses. Utilisez-la systématiquement pour obtenir des clarifications sur les dérogations au CCAG TIC, les niveaux de service attendus et le régime de propriété intellectuelle. Les réponses de l'acheteur sont opposables et font partie du dossier contractuel.

Erreurs fréquentes

Erreurs côté acheteur public

Erreur Conséquence Bonne pratique
Choisir le CCAG PI pour un marché de développement logiciel Absence des clauses de maintenance, VA/VSR, réversibilité Appliquer le CCAG TIC dès que le marché comporte un livrable numérique ou un service TIC
Ne pas définir de niveaux de service dans le CCAP Impossibilité de sanctionner les défaillances de disponibilité Définir des SLA chiffrés (taux de disponibilité, GTI, GTR) avec des pénalités associées
Omettre la clause de réversibilité Dépendance au prestataire en fin de contrat (vendor lock-in) Exiger un plan de réversibilité dès le CCTP, avec formats ouverts et documentation
Ne pas prévoir d'audit de sécurité Vulnérabilités non détectées, non-conformité RGPD Activer l'article 24 (audit de sécurité) et prévoir une fréquence dans le CCAP
Fixer des pénalités disproportionnées Marchés infructueux : les prestataires ne répondent pas Rester dans l'enveloppe des 10 % du CCAG TIC, adapter les SLA à la criticité réelle

Erreurs côté prestataire

Erreur Conséquence Bonne pratique
Ne pas lire les dérogations au CCAG TIC dans le CCAP Engagement sur des conditions plus contraignantes que le CCAG standard Lire systématiquement l'article du CCAP listant les dérogations. C'est la première chose à vérifier.
Sous-estimer le cout de la réversibilité Marge absorbée par les opérations de transfert en fin de contrat Chiffrer la réversibilité comme un lot à part dans le BPU
Accepter des SLA irréalistes pour remporter le marché Pénalités récurrentes, relation contractuelle dégradée Calculer vos capacités réelles, proposer des SLA que vous pouvez tenir
Négliger la documentation technique Refus d'admission en VA, blocage de la VSR, contentieux en fin de marché Produire et maintenir à jour la documentation tout au long du marché, pas uniquement en fin de projet
Confondre maintenance corrective et évolutive Réalisation de travaux hors périmètre sans avenant, litige sur le paiement Qualifier chaque demande selon les 4 types de l'article 38. La maintenance évolutive relève d'un bon de commande ou d'un avenant distinct.

Le piège de la reconduction tacite

En maintenance ou infogérance, la reconduction du marché n'est jamais automatique. Le CCAG TIC ne prévoit pas de reconduction tacite. Si l'acheteur ne notifie pas la reconduction dans les délais prévus au CCAP, le marché prend fin. Le prestataire doit anticiper cette échéance et préparer la réversibilité en conséquence.

Questions fréquentes

Qu'est-ce que le CCAG TIC ?
Le CCAG TIC (Cahier des Clauses Administratives Générales applicables aux Techniques de l'Information et de la Communication) est un document contractuel type qui fixe les règles d'exécution des marchés publics informatiques et télécom. Approuvé par l'arrêté du 30 mars 2021, il couvre la fourniture de matériel, le développement logiciel, l'intégration, la maintenance, l'infogérance et les services cloud.
Quelle est la différence entre CCAG TIC et CCAG PI ?
Le CCAG TIC s'applique aux marchés portant sur des livrables ou services numériques (développement logiciel, intégration, maintenance, hébergement). Le CCAG PI s'applique aux prestations intellectuelles pures (études, conseil, audit). Le CCAG TIC contient des clauses spécifiques absentes du PI : vérification d'aptitude (VA), vérification de service régulier (VSR), maintenance en quatre types, réversibilité et gestion des licences.
Qu'est-ce que la VA et la VSR dans le CCAG TIC ?
La VA (Vérification d'Aptitude) vérifie que le système livré est conforme aux spécifications du marché. Elle remplace l'ancienne VABF du CCAG 2009. La VSR (Vérification de Service Régulier) observe le fonctionnement en conditions réelles sur une période définie (un mois par défaut). Le service est régulier si l'indisponibilité imputable au titulaire ne dépasse pas 2 % du temps d'utilisation effective.
Comment sont calculées les pénalités dans le CCAG TIC ?
Les pénalités de retard sont calculées selon la formule P = V x R / 1 000, où V est la valeur de la prestation (HT) et R le nombre de jours de retard. Le total des pénalités est plafonné à 10 % du montant HT du marché (article 14.1.2). Le titulaire est exonéré si le cumul ne dépasse pas 1 000 euros (article 14.1.3). L'acheteur doit respecter une procédure contradictoire de 15 jours avant application.
Quels sont les 4 types de maintenance du CCAG TIC ?
L'article 38 du CCAG TIC définit quatre types de maintenance : corrective (correction des anomalies), préventive (mesures d'entretien pour éviter les anomalies), évolutive (ajout de fonctionnalités, amélioration de l'ergonomie, adaptation réglementaire) et adaptative (adaptation aux changements d'environnement technique comme une migration d'OS ou de base de données).
Qu'est-ce que la réversibilité dans le CCAG TIC ?
La réversibilité (article 42) désigne les opérations par lesquelles l'acheteur ou un tiers reprend les prestations confiées au titulaire en fin de contrat. Le titulaire doit fournir les codes sources, la documentation, les fichiers de configuration, les scripts d'exploitation et mettre en place des interfaces d'accès aux données (API, formats pivots). Il doit continuer à assurer le service pendant la période de transition.
Le CCAG TIC couvre-t-il les prestations cloud et SaaS ?
La version 2021 intègre les prestations cloud, avec des dispositions sur les flux de données hors UE (article 28), la cybersécurité (articles 5.3 et 5.4) et la réversibilité. Le cadre reste générique : l'acheteur doit préciser dans le CCAP la localisation des données, le niveau de qualification de l'hébergeur (SecNumCloud, HDS), les SLA et les modalités de portabilité.
Comment protéger ma propriété intellectuelle sous CCAG TIC ?
Le chapitre 7 du CCAG TIC prévoit deux régimes. L'option A (concession) vous laisse la propriété des développements, l'acheteur obtient un droit d'usage. L'option B (cession) transfère la propriété à l'acheteur. Dans les deux cas, identifiez clairement vos connaissances antérieures (article 43) : frameworks, bibliothèques, modules réutilisables. Ces connaissances restent votre propriété quel que soit le régime choisi.

Ne ratez plus aucun marché public

Recevez chaque matin les consultations correspondant à votre secteur et votre région. C'est gratuit.

Créer mon alerte gratuite