Après quatre années de négociations législatives, le RGPD (règlement général sur la protection des données) a été définitivement adopté par le Parlement européen le 14 avril 2016. Ce règlement n’échappe pas aux marchés publics et oblige les acheteurs à prendre un certain nombre de précautions contractuelles, que ce soit pour le contrat principal ou les contrats de sous-traitance. Il est donc nécessaire de veiller à bien prendre en compte la dimension RGPD lorsque vous proposez un marché public sur des sites d’appel d’offre comme France Marchés ou encore le BOAMP.
L’ensemble des marchés publics sont concernés par le RGPD, quels que soient leur type ou leur montant. Le règlement européen, adopté dans le but de protéger les données à caractère personnel des personnes physiques, impacte la commande publique dès lors que le titulaire d’un contrat est amené à manipuler des traitements de données à caractère personnel issues du pouvoir adjudicateur ou des usagers du service public. À savoir qu’un traitement de données peut correspondre à une simple consultation d’un document. Chaque partie a un rôle au sein du marché public : le responsable de traitement est l’acheteur et le sous-traitant est le titulaire du contrat.
Les critères à respecter
Afin de se mettre en conformité, il est nécessaire de respecter de nombreux critères :
– Tenir un registre de traitement
– Mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque du traitement des données (article 32 du RGPD) ;
– Conduire des études d’impact en cas de besoin (article 35 du RGPD) ;
– Mettre en place des mesures techniques et organisationnelles afin de garantir l’effectivité des droits garantis par le RGPD aux articles 12 à 22 (droit d’accès, rectification, modification, opposition) ;
Les clauses relatives aux données personnelles
L’acheteur devra également préciser différentes clauses relatives aux données personnelles au sein de son Cahier des Clauses Administratives Particulières (CCAP) :
– La description du traitement de données personnelles faisant l’objet de la sous-traitance ;
– Les modalités de rédaction et de mise à jour du registre de traitement ;
– Les informations sur le stockage, la conservation et la portabilité des données ;
– Les obligations du sous-traitant vis à vis du responsable du traitement ;
– Les conditions de recours à la sous-traitance de sous-traitance le cas échéant ;
– Les modalités d’exercice des droits des personnes relativement à leurs données personnelles ;
– La ou les procédures de notification en cas de violation des données personnelles ;
– La désignation d’un délégué à la protection des données par le sous-traitant
L’objectif de ces clauses est d’établir les responsabilités de chacune des parties du contrat, notamment en cas de litige. En cas de non respect du règlement par un responsable du traitement des données, des sanctions pourront être appliquées par la Commission Nationale de l’Informatique et des Libertés.
Afin de vous mettre à jour sur le RGPD, le CFPA organise une journée de formation sur le RGPD et les marchés publics à Paris le 18 octobre, 15 novembre et 12 décembre 2019.