marché publique

Marchés publics et commande publique : l’impact du RGPD

En mai 2018, le Règlement général sur la protection des données (RGPD) entrait en vigueur pour toutes les structures effectuant le traitement de données personnelles de citoyens européens. Les structures publiques, et plus précisément, les marchés publics, sont tout autant concernés que les structures privées. Après plus d’un an de tolérance, la CNIL a annoncée une multiplication à venir des contrôles et des sanctions. L’occasion de faire le point sur l’application du RGPD dans le cadre des marchés publics et sur la mise en conformité de vos procédures.

RGPD : les commandes publiques sont-elles concernées ?

Le RGPD est applicable aux contrats de la commande publique, dès lors que ces derniers comprennent une prestation mettant en œuvre un traitement de données à caractère personnel. En particulier, dans la commande publique, cet enjeu est important puisque les données personnelles traitées sont souvent sensibles du point de vue des libertés et des droits fondamentaux (données de santé, données liées au logement ou à la solidarité sociale)

Rappel de la législation selon l’article du RGPD

Qu’est-ce qu’une donnée à caractère personnel ?
Selon l’article 4.1 du RGPD : une donnée à caractère personnel correspond à toute information se rapportant à une personne physique identifiée ou identifiable, c’est à dire, qui peut être identifiée, directement ou indirectement, notamment par référence à un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Qu’est-ce qu’un traitement de données ?

Selon l’article 4.2 du RGPD : un traitement de données est toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte,
l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou
l’interconnexion, la limitation, l’effacement ou la destruction de données.

Le RGPD transposé à la commande publique

Le responsable de traitement

Dans le RGPD, le responsable de traitement est la personne qui détermine les finalités et les moyens du traitement de données.
Dans le cadre de la commande publique, ce rôle est tenu par l’acheteur.

Le « sous-traitant »

Dans le RGPD, le sous-traitant est la personne qui traite des données personnelles pour le compte du responsable de traitement.
Dans le cadre de la commande publique, ce rôle est tenu par le titulaire du marché.
A ne pas confondre avec le sous-traitant au sens du droit de la commande publique, qui est désigné dans ce cas par la mention “sous-traitant du sous-traitant” (lorsque le titulaire du marché fait appel à un sous-traitant).

Le délégué à la protection des données (DPD ou DPO) est chargé du respect des règles relatives à la protection des données à caractère personnel par l’acheteur.

RGPD et commande publique : la mise en action

Retrouvons ci-dessous les actions minimales recommandées dans le cadre de l’application de la loi RGPD pour les marchés publics :

En amont du marché : interrogation sur la teneur et la sensibilité du traitement des données personnelles éventuelles dans le cadre de ce marché, et définition des responsabilités entre l’acheteur et le titulaire de marché.
Lors de la rédaction du contrat : tous les marchés publics comportant des traitements de données personnelles doivent comporter des clauses relatives aux traitements des données personnelles. Lorsque possible, il est nécessaire d’insérer des clauses spécifiques, en adaptant le RGPD au vocabulaire de la commande publique.
Pendant le contrat : s’assurer du respect du RGPD par le titulaire de marché.
En fin de contrat : s’assurer que les données subissent le traitement défini dans le contrat (destruction, transmission au nouveau titulaire…).
Cas particulier : l’achat mutualisé
Lors d’un achat mutualisé, plusieurs entités sont conjointement responsables du traitement.
Dans ce cas, les responsables devront définir de façon transparente et par voie d’accord leurs obligations respectives.

Élap s’engage nativement à respecter la réglementation en vigueur applicable au traitement des données à caractère personnel et, en particulier, le règlement UE 2016/679 du parlement européen et du Conseil du 27 avril applicable à compter du 25 mai 2018 (RGPD).

Vous souhaitez en savoir plus sur Élap ?

N’hésitez pas à nous contacter.

CONTACTEZ-NOUS