RGPD : ce que les acheteurs publics doivent faire

Tribune

 23/05/2019
 Jean-Marc Joannès

Cet article fait partie du dossier :

RGPD et commande publique

[Tribune] RGPD dans la commande... (Jean-Philippe Souyris) 14/03/2024
RGPD : quels enjeux pour la... (Yannick Decara) 19/07/2022

Quand le droit de la commande... (Aude Camus) 15/07/2021
"La protection des données... (Emeline Vandeven) 03/06/2021

Désormais, on ne plaisante plus ! Certes, le RGPD (règlement général sur la protection des données personnelles) est applicable depuis le 25 mai 2018. Mais la commission Informatique et libertés l'a annoncé clairement : après un an de patience et de tolérance, la CNIL va maintenant faire preuve de fermeté. Message entendu ? Emeline Vandeven, Consultante juridique DAJ de Bercy, livre aux acheteurs publics les conseils de base : " Le RGPD doit devenir une thématique comme une autre, parmi toutes les règlementations dont a à connaître un acheteur public au quotidien".

Achatpublic.info : En quelques mots, à quoi correspond le RGPD ?

Emeline Vandeven : Le RGPD (règlement général sur la protection des données) est un texte adopté au niveau de l’Union européenne en 2016 (dans son appellation complète « Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE). Il renforce la protection des données à caractère personnel des personnes physiques sur le territoire de l’Union européenne. A ce titre, la loi informatique et libertés du 6 janvier 1978 a été modifiée pour être mise en conformité à ce texte.

Le RGPD opère un véritable changement de culture : on passe d’une logique de contrôle a priori basé sur des formalités administratives à une logique de responsabilisation.

Le RGPD renforce des droits existants (droit à l’oubli… ) et en créé de nouveaux (droit à la portabilité des données…). Il augmente considérablement les sanctions financières pouvant être mises en œuvre en cas de non-respect de cette règlementation par les responsables de traitement et sous-traitants qui y sont soumis. Le RGPD opère un véritable changement de culture : on passe d’une logique de contrôle a priori basé sur des formalités administratives à une logique de responsabilisation des acteurs publics et privés.

Achatpublic.info : En quoi le RGDP concerne-t-il les acheteurs publics ?

Emeline Vandeven : Le RGPD est applicable à tous les contrats pour lesquels un responsable de traitement confie à un sous-traitant, sur instruction documentée, un ou des traitements de données à caractère personnel. Les notions de « données à caractère personnel », « traitement », « fichier » sont définies à l’article 4 du RGPD. Elles ont une acception large : ainsi un « traitement » est toute opération sur des données et peut être constitué dès lors qu’il y a une simple « consultation » de données à caractère personnel. Dès lors, il convient d’être vigilant sur le champ d’application extrêmement large de ce texte quant aux notions qu’il recouvre.

Le RGPD s’applique aux marchés publics pour lesquels l’acheteur va confier, de manière principale ou accessoire, un ou plusieurs traitement de données à caractère personnel à son titulaire, ou aux sous-traitants du titulaire.

Le responsable de traitement (art. 4.7 du RGPD) est l’acheteur (au sens de l’entité publique et non de la personne physique représentant sa structure) et le sous-traitant (art. 4.8 du RGPD) est le titulaire du contrat.
L’article 28 du RGPD trouve donc à s’appliquer aux marchés publics pour lesquels l’acheteur va confier, de manière principale ou accessoire, un ou plusieurs traitement de données à caractère personnel à son titulaire, ou aux sous-traitants du titulaire (« le sous-traitant recruté par un autre sous-traitant » de l’article 28.2 du RGPD) .
Le RGPD ne prévoit pas d’exclusion des marchés publics et s’applique à toutes les natures de marchés : fournitures, travaux et services.

Achatpublic.info : Les acheteurs publics sont-ils avertis de ces obligations ?

Emeline Vandeven : Les acheteurs publics ont été informés de l’application de ce texte aux contrats de la commande publique par la Direction des affaires juridiques (DAJ) des ministères économiques et financiers ainsi que par une communication de la Commission nationale de l’informatique et des libertés (CNIL).

Le RGPD doit dorénavant s’insérer dans la politique achat des acheteurs publics comme une thématique à part entière et pris en compte dans la totalité du processus achat.

En effet, l’entrée en application du RGPD au 25 mai 2018 a donné lieu à la mise à jour du formulaire de déclaration de sous-traitance (DC4) puisque concernant la sous-traitance de traitement de données à caractère personnel. L’acheteur doit donner une « autorisation écrite préalable spécifique ou générale » à de telles opérations.
Le RGPD a été un sujet de préoccupation secondaire pour les acheteurs publics qui ont été monopolisés par la mise en œuvre de la dématérialisation obligatoire des procédures de marchés publics au 1^er octobre 2018. Ce sujet est donc demeuré éloigné de leur préoccupation quotidienne. Mais le RGPD doit dorénavant s’insérer dans la politique achat des acheteurs publics comme une thématique à part entière. Elle doit être prise en compte dans la totalité du processus achat (de la définition du besoin à la fin de l’exécution contractuelle).
La CNIL a annoncé sa stratégie de contrôle pour l’année 2019 dans laquelle figure notamment la répartition des responsabilités entre responsable de traitement et sous-traitant. La CNIL sera ainsi amenée à contrôler l’existence et le respect des contrats de sous-traitance et donc potentiellement des marchés publics.

Achatpublic.info : Quels sont les contrats concernés ?

Emeline Vandeven : Tous les contrats de la commande publique, en l’occurrence les marchés publics de fournitures, travaux et services, dès lors qu’ils comportent une externalisation de traitement de données à caractère personnel. Que ce dernier soit l’objet principal du contrat ou qu’il soit secondaire. Ainsique les contrats de concession comprenant des traitements de données à caractère personnel.

Les seuils classiques de la commande publique ne s’appliquent pas : les marchés publics inférieurs à 25 000 € HT sont donc concernés.

Pour l’application du RGPD, les seuils classiques de la commande publique ne trouvent pas à s’appliquer. Les marchés publics inférieurs à 25 000 € HT sont donc concernés si, bien entendu, ils confient au titulaire un traitement de données à caractère personnel sur instruction documentée du responsable de traitement.

Achatpublic.info : L’insertion d’une clause type suffit-elle ?

Emeline Vandeven : Il est recommandé aux praticiens de la commande publique d’insérer le clausier type produit par la CNIL dans les cahiers des clauses particulières (CCAP notamment) de leurs marchés.
Pour une meilleure lisibilité par les opérateurs économiques et pour une exécution contractuelle efficace, il est conseillé au moment de l’intégration de ce clausier dans les pièces contractuelles d’adapter le vocabulaire du RGPD au droit de la commande publique. Pour être opérante et confier pleinement au titulaire les traitements externalisés sur instruction documentée, les clauses relatives au respect du RGPD nécessitent de définir précisément les droits et obligations tant du titulaire que du responsable de traitement (art. 28 du RGPD).

Achatpublic.info : Les obligations portent-elles aussi sont les marchés en cours d’exécution ?

Emeline Vandeven : Oui, depuis le 25 mai 2018, tous les marchés publics comprenant une externalisation de traitement de données à caractère personnel sont concernés, y compris ceux qui étaient déjà conclus et en cours d’exécution à cette date. Pour tous ces marchés, il est vivement recommander de conclure un avenant visant à insérer cette « nouvelle » règlementation.

Achatpublic.info : Quels conseils pratiques souhaitez-vous donner aux acheteurs publics ?

Emeline Vandeven : Le RGPD doit devenir une thématique comme une autre, parmi toutes les règlementations dont à à connaître un acheteur public au quotidien. Tout comme il doit concilier la commande publique à d’autres matières, la protection des données à caractère personnel doit lui devenir familière.

Le partenaire indispensable de l'acheteur public, c'est le délégué à la protection des données (DPO)

Je leur recommande, si ce n’est pas déjà fait, de prendre un temps de prise en main de ce texte. La CNIL a développé une formation gratuite en ligne accessible à tous (MOOC) intitulée « L’atelier RGPD » qui est très bien faite pour bien comprendre les enjeux du RGPD et les actions à mener pour le mettre en œuvre.
Le respect du RGPD doit être un réflexe à toutes les phases de passation et d’exécution d’un marché concerné par cette règlementation :

en amont, lors de la définition du besoin : le marché met-il en œuvre des traitements de données à caractère personnel ? Lesquelles ? Pour quelles finalités et quelle durée ? Que vais-je confier au titulaire ? Qui fait quoi ? Que dois-je imposer à mon titulaire ? Quelles sont mes obligations à son égard ?
lors de la rédaction : insérer des clauses spécifiques et les rédiger de manière la plus précise possible (cf clausier type de la CNIL) ;
à l’exécution : s’assurer du respect du RGPD par mon titulaire ;
en fin d’exécution contractuelle : le sort des données (destruction, transmission au nouveau titulaire…) défini dans le contrat a-t-il été bien mis en œuvre ?

Lors de toutes ces étapes, un partenaire indispensable sur lequel s’appuyer : votre délégué à la protection des données (DPD / DPO : art. 37 à 39 du RGPD).

Une journée avec… Karine Dalmas : « Mon plus grand plaisir : constater les synergies et la communication entre les services »...

achatpublic invite… Marie-Cécile Haize et Inès Fresko : « le pouvoir de contrôle et direction du chantier ne se délègue jamais ! »...

Une journée avec… Karine Dalmas : « Mon plus grand plaisir : constater les synergies et la communication entre les services »...