Soyons honnêtes, avant l’entrée en application du Règlement général sur la protection des données (RGPD - Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE), le droit de la protection des données personnelles était quasi inexistant dans le monde de la commande publique et ce malgré la loi informatique et libertés qui lui préexistait. La majorité des acheteurs, responsables commande publique ou tout autre praticien de la commande publique a (re)découvert ce droit grâce au RGPD. Et pour cause, aucune clause dans les règlementations ou législations successives applicables au droit des marchés publics ou aux délégations de service public n’abordait la protection des données personnelles comme sujet à part entière. La pratique se limitait à l’évocation rapide au cours de certains projets (notamment informatiques) des « déclarations CNIL ».
 
Dire qu’il n’y avait rien du tout sur le sujet serait tout de même un peu sévère. En effet, les cahiers des clauses administratives générales (CCAG) contenaient un article 5.2 relatif à la « protection des données à caractère personnel ». Cet article 5.2 figurait parmi les 5 CCAG et les dispositions étaient les mêmes pour chaque cahier. S’il avait le mérite d’exister, les dispositions étaient « light ». Ainsi, après avoir rappelé que chaque partie à un marché public était tenue de respecter la législation applicable aux données personnelles, l’article précisait la nécessité de conclure un avenant en cas d’évolution de la législation en cours d’exécution de marché et se terminait en rappelant aux pouvoirs adjudicateurs l’obligation d’effectuer « les déclarations et d'obtenir les autorisations administratives nécessaires à l'exécution des prestations prévues par les documents particuliers du marché », les fameuses déclarations CNIL.
Le 25 mai 2018, l’entrée en application du RGPD a alors un impact non négligeable sur le droit de la commande publique. Bien entendu, il lui est pleinement applicable. Applicabilité qui se traduit par une vague de signature d’avenants pour les marchés publics en exécution comprenant des traitements de données à caractère personnel sur le fondement de l’article 5.2.2 des CCAG.
 

Le chantier de révision des CCAG tombait alors à point nommé pour intégrer pleinement le RGPD (certes, 3 ans après son entrée en application) et renforcer la protection des données personnelles dans les marchés publics. Le RGPD est applicable à tous les marchés (fournitures, travaux et services) quel que soit le montant du contrat conclu et quelle que soit la procédure mise en œuvre (la notion de seuil ne s’applique pas) dès lors que l’acheteur externalise, sur instructions documentées, un ou des traitements de données à caractère personnel auprès de son titulaire.
Au sein des CCAG révisés et du nouveau CCAG, le numéro d’article demeure inchangé, il convient toujours de se référer à l’article 5.2. Sur le fond, le contenu a été densifié pour pleinement intégrer le RGDP.

L’article 5.2.1 rappelle l’application des législations européennes et nationales dès lors que l’exécution du contrat comporte des traitements de données personnelles.
L’article 5.2.2 maintient dans sa première partie ce qui préexistait, à savoir la nécessité de conclure un avenant en cas d’évolution de la règlementation relative à la protection des données personnelles. La révision introduit une seconde et surprenante partie qui offre la possibilité de mettre en œuvre une modification unilatérale du marché par l’acheteur « en l’absence d’accord entre les parties ». Si la modification unilatérale d’un marché par l’acheteur a été codifiée à l’article L. 2194-1 du Code de la commande publique, cette faculté appliquée au droit de la protection des données personnelles ne me paraît pas être conforme à l’esprit du RGPD. A mon sens, cet ajout n’était pas indispensable et semble aller à l’encontre de la logique contractuelle qui découle de l’article 28 du RGPD. Il est fort à parier que le désaccord du sous-traitant (au sens RGPD) vis-à-vis du responsable de traitement viendrait ternir, voire sonner la fin, de la relation contractuelle les unissant. En outre, donner à l’acheteur un pouvoir de modification unilatérale du marché sur ce sujet ne paraît pas approprié et semble aller à l’encontre de la loyauté des relations contractuelles qu’on pourrait souhaiter dans la mise en œuvre des marchés publics.

La sanction applicable par le titulaire peut aller jusqu’à la résiliation du marché pour faute du titulaire ou de son sous-traitant en cas de manquement aux obligations légales et contractuelles relatives à la protection des données personnelles

Les acheteurs publics ont dorénavant des CCAG dotés d’une clause qui a tout son poids

L’article 5.2.3 est le plus important. Il précise, de manière non exhaustive, les informations qui doivent être reprises dans les « documents particuliers du marché ». Lorsque le RGPD est applicable, l’acheteur doit donc préciser dans son cahier des clauses particulières ou dans tout autre document qui deviendra contractuel :

Fait étonnant, cet article omet purement et simplement de mentionner que l’acheteur devra préciser dans son marché les données personnelles concernées par l’externalisation. Ce qui constitue pourtant l’une des premières choses à faire : définir les données personnelles dont il est question !
L’acheteur doit enfin prévoir dans les pièces particulières les pénalités applicables en cas de non respect de la règlementation par le titulaire. La sanction infligée par l’acheteur pouvant aller jusqu’à la résiliation du marché pour faute du titulaire ou de son sous-traitant en cas de manquement aux obligations légales et contractuelles relatives à la protection des données personnelles.

Une remarque insérée à la suite de l’article prend le soin de préciser le clausier type produit par la CNIL à intégrer dans les marchés publics.


C’est indéniable, les CCAG révisés renforcent la protection des données personnelles dans les marchés publics. Mais ils ne constituent que la base contractuelle. Par conséquent, le RGPD ne peut être effectif que si les documents particuliers du marché intégrent un clausier qui doit être exhaustif pour être opposable au stade de l’exécution contractuelle. Voilà les acheteurs dotés d’un bon bagage, il n’y a plus qu’à le rendre effectif !