
RGPD et Contrat Public
Le RGPD s’applique aux marchés publics et aux contrats de concession dès lors que l’exécution de ces contrats implique le traitement de données personnelles. Cela concerne évidemment les contrats publics qui portent sur la gestion d’un service (fichier des abonnés) ou les marchés publics de prestations informatiques, mais également les marchés publics portant par exemple sur l’exécution de travaux (liste des riverains concernés par les travaux).
1. Qu’est-ce que le RGPD ?
Le Règlement général sur la protection des données, adopté par le Parlement européen en 2016 et entré en vigueur en 2018, est le « Règlement général sur la Protection des Données », qui encadre le traitement des données personnelles sur le territoire de l’Union européenne.
Ce règlement harmonise le cadre juridique européen, et permet le développement d’activités numériques garantissant la sécurité des données personnelles, sur la base d’un système de confiance des utilisateurs.
Ce texte renforce la protection des personnes dont les données sont collectées et les droits qu’elles peuvent exercer, mais aussi les obligations des responsables du traitement.
2. Qu’est-ce qu’une donnée ?
La Commission Informatique et Liberté (CNIL) définit une donnée personnelle comme toute information se rapportant à une personne physique identifiée ou identifiable.
Et, dans la mesure où cette donnée est personnelle et concerne donc une personne, cette dernière doit en conserver la maîtrise.
Il peut s’agir par exemple du nom, du prénom, de l’adresse, du numéro de téléphone ou encore de la date de naissance d’une personne.
3. Le RGPD est-il applicable aux marchés publics et contrats de concession ?
Oui. Le RGPD est applicable depuis le 25 mai 2018, et en vertu de son article 28, il s’applique pleinement aux marchés publics et aux contrats de concession.
Par conséquent, l’ensemble des contrats publics impliquant des traitements de données à caractère personnel, dont la procédure a été lancée après le 25 mai 2018, doivent respecter la réglementation relative aux traitements de données à caractère personnel.
Concernant les contrats (marchés publics et concessions notamment) conclus avant le 25 mai 2018, un avenant doit être conclu afin de rendre conforme le contrat aux prescriptions du RGPD.
4. Quelles sont les implications sur les marchés publics de la réglementation sur les données personnelles ?
Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données remplace la directive 95/46/CE (RGPD).
En matière de marchés publics, notons que les CCAG (CCAG Travaux, CCAG MOE, CCAG PI, CCAG TIC, CCAG FCS, CCAG MI) y font référence aux articles 5.2.
En particulier, les marchés publics ayant pour objet total ou partiel un traitement de données personnelles sont soumis au respect des dispositions du RGPD.
Il en résulte que, dès la rédaction des documents du contrat, l’acheteur est tenu d’engager une analyse des données traitées, la finalité du traitement, et le partage des responsabilités entre l’acheteur et le prestataire.
En d’autres termes, les clauses générales ne sont pas suffisamment précises, et il est nécessaire de les préciser pour chaque marché.
Par conséquent, l’acheteur doit d’abord s’interroger sur l’existence d’un traitement de données à caractère personnel, et partant, les rôles respectifs du titulaire et de l’acheteur, puis rédiger les clauses particulières appropriées au marché en conséquence.
5. Dans quels cas un marché implique-t-il l’utilisation de données personnelles ?
Pour savoir si le marché implique l’utilisation de données personnelles, il faut se référer à l’article 4.1 du RGPD (ou à la définition de la CNIL) lequel dispose qu’une donnée personnelle est « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
Au regard de cette définition, il apparaît que certains fichiers comportent incontestablement des données personnelles, à l’instar des fichiers clients ou des listes d’employés. Au contraire, certains fichiers sont anonymisés, mais ne font pas obstacle à l’identification de personnes par recoupement avec d’autres fichiers.
Aussi, la conservation dans un fichier séparé, de la correspondance noms/pseudonymes (le numéro de téléphone ou l’adresse), nonobstant la suppression des noms sur le fichier principal, ne saurait écarter l’application du RGPD.
6. Quels sont les critères permettant d’identifier un traitement de données personnelles ?
L’article 4.1 du RGPD prévoit que le traitement de données personnelles est « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».
Partant, un traitement peut être identifié même en l’absence de possession d’un fichier de données personnelles.
Par conséquent, dès lors que le marché a pour objet le traitement de données personnelles, ou que l’exécution du marché nécessite l’utilisation de données personnelles, l’acheteur est tenu de déterminer le partage des responsabilités entre l’acheteur et les titulaires.
7. Comment déterminer le partage des responsabilités ?
Le prestataire ne saurait être seul responsable du traitement, en raison de ce que l’acheteur tient ce rôle au moins en partie dans les faits.
Pour déterminer le partage des responsabilités, il est nécessaire de se référer aux définitions du RGPD, ainsi qu’aux lignes directrices de la CNIL (Commission Nationale Informatique et Libertés) et du CEPD (Comité européen de la Protection des Données).
- Le guide du sous-traitant de la CNIL : https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf
- Les lignes directrices du CEPD sur la notion de responsable de traitement et de sous – traitant (en anglais) :
En tout état de cause, l’acheteur n’est responsable des traitements mis en œuvre par le prestataire qu’en tant qu’ils sont exécutés en tant qu’objet principal, voire accessoire, du marché.
Toutefois, les termes du contrat permettent de déterminer les qualifications juridiques au regard du RGPD, et partant, les conséquences contractuelles.
8. Qui est le responsable du traitement ?
Le responsable du traitement est une organisation, qui détermine les objectifs et les moyens du traitement de données, sans qu’il soit besoin qu’elle ait elle-même accès aux données traitées (article 4.7 du RGPD).
L’acheteur est responsable du traitement de données personnelles mis en œuvre dans le cadre d’un contrat conclu pour ses besoins propres.
Néanmoins, le prestataire est responsable du traitement de données si celui-ci n’était pas l’objet principal du marché, est mis en œuvre pour son exécution. Il s’agit par exemple d’un traitement de données de contact et de suivi des agents publics nécessaires à la gestion de leurs déplacements dans le cadre d’un marché portant sur l’organisation de voyages professionnels.
Enfin, l’acheteur et le prestataire peuvent être co-responsables de traitements. Dans ce cas, elles déterminent de manière conjointe les objectifs et les moyens du traitement, et les responsabilités de chacun dans les documents particuliers, afin d’assurer le respect des exigences du RGPD, en particulier en ce qui concerne l’exercice des droits des personnes dont les données sont traitées.
9. Qui est le sous-traitant ?
Le sous-traitant au sens du RGPD diffère du sous-traitant au sens du droit de la commande publique. Il s’agit de la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement (article 28.2 du RGPD).
Le sous-traitant est nécessairement une entité distincte du responsable. En cela, la circonstance qu’il s’agisse de directions ou services séparés ne peut conduire à la qualification de sous-traitant.
De plus, pour être qualifiée de sous-traitant, l’entité doit traiter les données pour le compte du responsable, sur instruction documentée. Dès lors, si le prestataire fait le choix de mettre en place un traitement de données afin de mieux répondre au marché, il ne répond pas à cette définition. L’essentiel est donc que le sous-traitant mette en œuvre un traitement de données pour le compte de l’acheteur responsable.
En revanche, le sous-traitant n’est pas nécessairement un opérateur économique. Il peut s’agir d’une personne publique, dans le cadre d’une coopération entre administrations.
10. Que doit prévoir le contrat ?
Le contrat devra impérativement inclure les mentions obligatoires listées aux articles 26 ou 28.3 du RGPD, tout en veillant à les adapter au marché.
Le contrat devra en particulier déterminer :
- L’objet du traitement ;
- La durée du traitement ;
- La nature et la finalité du traitement ;
- Le type de données à caractère personnel concernées ;
- Les catégories de personnes concernées ;
- Les obligations et les droits du responsable du traitement.
En somme, il importe que le contrat fasse référence au « clausier RGPD » général, mais cela n’est pas suffisant, et il est nécessaire d’adapter ces clauses au marché en cause. Pour ce faire, l’acheteur doit s’interroger en amont sur l’existence d’un traitement de données, sur le partage des rôles et responsabilités, et par conséquent, leur traduction dans les documents particuliers du contrat.
Ces obligations sont reprises par l’article 5 des différents CCAG.
11. Le recrutement d’un sous-traitant est-il conditionné ?
Le recrutement d’un sous-traitant (au sens du droit de la commande publique) chargé du traitement de données personnelles doit être précédé de l’accord de l’acheteur (article 28.2 RGPD).
L’autorisation donnée préalablement par l’acheteur est écrite. Un formulaire relatif à la déclaration de sous-traitance (formulaire DC4) est disponible.
L’acheteur peut faire le choix d’accorder une autorisation générale au titulaire en insérant une clause en ce sens dans le cahier des charges du marché.
12. Peut-on résilier le marché si le titulaire méconnait le RGPD ?
Oui. L’une des nouveautés des CCAG est d’intégrer pleinement le RGPD dans les marchés publics et les obligations en découlant.
Déjà, les articles des différents CCAG concernant le traitement des données personnelles prévoient la possibilité pour l’acheteur de sanctionner le titulaire d’une pénalité en cas de méconnaissance du RDGP. Attention, le montant de cette pénalité n’est pas fixé au marché et il incombe donc à l’acheteur d’en préciser le montant, à défaut de pouvoir l’appliquer.
Plus encore, les CCAG prévoient que le marché public peut être résilié pour faute du titulaire dans le cas où le titulaire ou le sous-traitant ne respecte pas les obligations relatives à la confidentialité, à la protection des données à caractère personnel, et à la sécurité.
RGPD et contrat public
Vous recherchez un conseil ?
Affaires
Compliance
Immobilier
Social
Contact
Laissez-nous votre message
Vous souhaitez avoir plus d’informations concernant nos services, ou bien prendre un rendez-vous ? Contactez-nous via les coordonnées ou le formulaire ci-dessous.
Formmulaire de Contact
Novlaw Avocats - Bureau de Lille
—
244 Avenue de la République - 59110 La Madeleine
Tél. : 01 44 01 46 36
Contact
Laissez-nous votre message
Vous souhaitez avoir plus d’informations concernant nos services, ou bien prendre un rendez-vous ? Contactez-nous via les coordonnées ou le formulaire ci-dessous.
Novlaw Avocats – Bureau de Lille
—
244 Avenue de la République – 59110 La Madeleine
Tél. : 01 44 01 46 36
Formulaire de contact