Blog
Carrières
Contact

Marchés publics et commande publique

l’impact du RGPD

En mai 2018, le Règlement général sur la protection des données (RGPD) entrait en vigueur pour toutes les structures effectuant le traitement de données personnelles de citoyens européens. Les structures publiques, et plus précisément, les marchés publics, sont tout autant concernés que les structures privées.

Après plus d’un an de tolérance, la CNIL a annoncée une multiplication à venir des contrôles et des sanctions. L’occasion de faire le point sur l’application du RGPD dans le cadre des marchés publics et sur la mise en conformité de vos procédures.

RGPD : les commandes publiques sont-elles concernées ?

Le RGPD est applicable aux contrats de la commande publique, dès lors que ces derniers comprennent une prestation mettant en œuvre un traitement de données à caractère personnel. En particulier, dans la commande publique, cet enjeu est important puisque les données personnelles traitées sont souvent sensibles du point de vue des libertés et des droits fondamentaux (données de santé, données liées au logement ou à la solidarité sociale)

Rappel de la législation selon l’article du RGPD

Qu’est-ce qu’une donnée à caractère personnel ?
Selon l’article 4.1 du RGPD : une donnée à caractère personnel correspond à toute information se rapportant à une personne physique identifiée ou identifiable, c’est à dire, qui peut être identifiée, directement ou indirectement, notamment par référence à un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Qu’est-ce qu’un traitement de données ?

Selon l’article 4.2 du RGPD : un traitement de données est toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte,
l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou
l’interconnexion, la limitation, l’effacement ou la destruction de données.

Le RGPD transposé à la commande publique

Le responsable de traitement

Dans le RGPD, le responsable de traitement est la personne qui détermine les finalités et les moyens du traitement de données.
Dans le cadre de la commande publique, ce rôle est tenu par l’acheteur.

Le « sous-traitant »

Dans le RGPD, le sous-traitant est la personne qui traite des données personnelles pour le compte du responsable de traitement.
Dans le cadre de la commande publique, ce rôle est tenu par le titulaire du marché.
A ne pas confondre avec le sous-traitant au sens du droit de la commande publique, qui est désigné dans ce cas par la mention “sous-traitant du sous-traitant” (lorsque le titulaire du marché fait appel à un sous-traitant).

Le délégué à la protection des données (DPD ou DPO) est chargé du respect des règles relatives à la protection des données à caractère personnel par l’acheteur.

RGPD et commande publique : la mise en action

Retrouvons ci-dessous les actions minimales recommandées dans le cadre de l’application de la loi RGPD pour les marchés publics :

En amont du marché : interrogation sur la teneur et la sensibilité du traitement des données personnelles éventuelles dans le cadre de ce marché, et définition des responsabilités entre l’acheteur et le titulaire de marché.
Lors de la rédaction du contrat : tous les marchés publics comportant des traitements de données personnelles doivent comporter des clauses relatives aux traitements des données personnelles. Lorsque possible, il est nécessaire d’insérer des clauses spécifiques, en adaptant le RGPD au vocabulaire de la commande publique.
Pendant le contrat : s’assurer du respect du RGPD par le titulaire de marché.
En fin de contrat : s’assurer que les données subissent le traitement défini dans le contrat (destruction, transmission au nouveau titulaire…).
Cas particulier : l’achat mutualisé
Lors d’un achat mutualisé, plusieurs entités sont conjointement responsables du traitement.
Dans ce cas, les responsables devront définir de façon transparente et par voie d’accord leurs obligations respectives.

Élap s’engage nativement à respecter la réglementation en vigueur applicable au traitement des données à caractère personnel et, en particulier, le règlement UE 2016/679 du parlement européen et du Conseil du 27 avril applicable à compter du 25 mai 2018 (RGPD).

À propos d’Élap :

Élap, éditeur de logiciels administratifs développe, déploie et maintient ses solutions depuis plus de 40 ans, en matière de Finance, SIRH-Paie, Recrutements, Planning, GTA, Remplacements, Facturation et Pilotage. Destinée aux 3 administrations publiques : Opérateurs de l’État, Établissements de Santé et Collectivités Territoriales, Élap est la marque qui réunit les offres de MEDIANE – AXEGE – ADMILIA depuis 2020, et l’offre RH de ScopLab depuis Juillet 2022.

En savoir plus :
Actualités
Carrières
Contact
Mentions légales
Données personnelles
Linkedin Youtube
La qualité Élap :

Élap, N° de déclaration d’activité : 93830434083, est certifiée Qualiopi pour la réalisation de prestations d’actions de formation.

© Copyright 2024 | Tous droits réservés