Fermer

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement

Menu

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement

[Tribune] Commande publique et données personnelles

Marchés publics et protection des données personnelles : attention !

Publié le 22/07/2014 • Par Auteur associé Jean-Marc Joannès • dans : Tribune

Le recours au « nuage » par les personnes publiques pour gérer gérer et stocker leurs données est de plus en plus répandu. Une solution simple et efficace. Pour autant, il faut se montrer vigilant, à la fois pour répondre aux exigences de sécurité des données et pour respecter les règles de la commande publique.
Nicolas Nahmias

Nicolas Nahmias

Avocat associé – AdDen avocats

Les institutions publiques en général et les collectivités locales en particulier ont recours à des suites logicielles intégrant notamment des solutions de messagerie. Ces suites, qui sont utilisées quotidiennement tant par les élus que par les agents, ou encore par de nombreux usagers du service public (notamment ceux des établissements d’enseignement), sont de plus en plus fréquemment logées dans le nuage (le « cloud »).

Le recours au « nuage » est évidemment très utile : il permet à la personne publique de s’affranchir des contraintes liées à une infrastructure informatique complexe (il suffit de disposer d’un ordinateur, d’une tablette ou d’un smartphone connecté à internet). Cela permet aux services publics de gagner en efficacité à un moindre coût.

Il suppose toutefois de réaliser des vérifications dont les collectivités doivent impérativement être conscientes et auxquelles elles doivent prêter une attention toute particulière : d’abord, la question de la sécurité des données transmises (1) et stockées dans le cloud qui doit nécessairement répondre aux plus hauts standard en la matière(2) ; ensuite, le choix du modèle économique opéré par certains prestataires qui génère des difficultés dans le cadre des marchés publics. C’est sur ce point particulier que nous souhaitons faire un focus.

Quel est le sujet ? Certains prestataires ont effectivement un modèle d’affaires fondamentalement publicitaire et, donc, collectent et traitent les données transitant par leur système pour en faire une utilisation commerciale. Au point qu’on peut se demander si le but réellement poursuivi par le cocontractant de la personne publique n’est pas, plutôt que la fourniture du service lui-même, la collecte de données à des fins d’enrichissement de ses propres services(3) .

Les récentes affaires Google doivent attirer particulièrement l’attention.

Les « Affaires Google »

En 2012, Google a unifié les règles de confidentialité des différents services qu’elle proposait aux internautes, entreprises et administrations au sein d’un document unique intitulé « règles de confidentialité ». S’interrogeant sur la compatibilité de ces nouvelles règles unifiées aux règles de protection des données personnelles, le groupe de coordination des autorités européennes de protection des données personnelles (« groupe de l’article 29 ») a entrepris d’étudier le document et les pratiques correspondantes de Google. Il en est résulté divers décisions et sanctions : en Espagne(4) , en Suède(5) où la CNIL locale a considéré que le marché conclu par une municipalité avec Google pour l’utilisation de Google Apps contrevenait à la législation nationale en matière de protection des données personnelles, ou encore en France.

En France, la CNIL, chargée de protéger les libertés individuelles dans le domaine informatique, a également sanctionné Google(6) pour plusieurs manquements à la loi « informatique et libertés » par ses nouvelles « règles de confidentialité » pour quatre motifs :

  • Google a manqué à ses obligations (article 32-I de la loi) en n’informant pas suffisamment ses utilisateurs des conditions et finalités de traitement de leurs données personnelles, de sorte que ceux-ci ne peuvent comprendre, ni les finalités de la collecte, ni l’ampleur des données collectées à travers les différents services. Par suite, les utilisateurs ne sont pas mis en mesure d’exercer leurs droits garantis par la loi, notamment d’accès, d’opposition ou d’effacement ;
  •  Google a manqué à l’obligation d’obtenir le consentement des utilisateurs préalablement au dépôt de « cookies » sur leurs terminaux en violation de l’article 32-II de la loi ;
  • Google a manqué à l’obligation de définir une durée de conservation des données en ne fixant pas de durées de conservation pour l’ensemble des données qu’elle traite, et ce en méconnaissance de l’article 6-5° de la loi ;
  • Google a méconnu les dispositions de l’article 7 de la loi en s’autorisant sans base légale, à procéder à la combinaison de l’intégralité des données qu’elle collecte sur les utilisateurs à travers l’ensemble de ses services. Cette décision a fait l’objet d’un recours de Google, encore pendant devant le Conseil d’Etat. On peut cependant noter que la Haute juridiction a déjà rejeté, par ordonnance du 7 février 2014 , le référé introduit par Google Inc. afin de faire suspendre la décision de la CNIL.

A la lumière de cette décision, les collectivités publiques qui ont contracté avec Google seraient donc bien inspirées de s’assurer que leur co-contractant ne méconnait pas ou n’a pas méconnu, de la même façon, la loi « informatique et libertés » dans le cadre de l’exécution des marchés publics qui lui ont été attribués. Quid en effet des informations recueillies dans le cadre de l’utilisation des services en lignes par les étudiants des universités ayant contracté ce genre de services ? Quid également des informations échangées par les fonctionnaires dans le cadre de l’exercice de leur droit syndical (protégé par le point 6 du préambule de la Constitution de 27 octobre 1946 et l’article 8 du statut des fonctionnaires ) ?

Ces questions sont sérieuses !

Si elle constate des manquements, la personne publique doit impérativement réagir.

Réagir, impérativement

D’abord, parce qu’elle ne peut pas « cautionner » la méconnaissance des dispositions législatives relatives à la protection des données personnelles. Cela pourrait lui être reproché par les élus, les agents ou les utilisateurs (par exemple les étudiants) des services concernés. D’autant que c’est ici la personne publique qui fournit aux élus, agents et usagers un service qui met en cause la protection de leurs données personnelles. Et, au-delà de la stricte question de protection des données personnelles, on peut se demander si le « scanning » des emails des utilisateurs, à des fins commerciales ou non d’ailleurs, ne méconnaît pas également le secret des correspondances des expéditeurs et des destinataires.

Ensuite parce que ces manquements constituent des violations du contrat : soit des documents particuliers du marché prévoyant expressément le respect des dispositions de la loi « informatique et liberté », soit du CCAG-TIC auquel la plupart des marchés concernés font références et dont l’article 5.2 précise « Chaque partie au marché est tenue au respect des règles relatives à la protection des données nominatives, auxquelles elle a accès pour les besoins de l’exécution du marché », soit des dispositions d’ordre public de la loi.

Que doit alors faire la personne publique ? Le panel des actions est assez large : mettre en demeure le cocontractant de respecter la loi informatique et liberté et/ou ses obligations contractuelles, résilier le marché pour faute ou encore demander au juge d’annuler purement et simplement le contrat.

Deux conseils : vigilance et réaction !

 

Notes

Note 01 Il est utile pour les collectivités publiques comme pour les entreprises de réaliser a priori un « risk assessment » concernant leurs données. Retour au texte

Note 02 Par exemple, les standards internationaux de sécurité comme ISO/IEC 27001 sur le management de la sécurité de l’information, ISO/IEC 27018 sur les bonnes pratiques à appliquer par les prestataires de cloud pour la protection des données ou encore les référentiels de sécurité de la Cloud Security Alliance. Il importe également de vérifier si le prestataire a introduit les clauses contractuelles types de la Commission Européenne relatives à la protection des données Retour au texte

Note 03 Utilisation du contenu des emails pour la publicité, utilisation des données pour améliorer la pertinence du moteur de recherche et donc accentuer sa profitabilité… Retour au texte

Note 04 Décision du 19 décembre 2013 Retour au texte

Note 05 Décision du 31 mai 2013 Retour au texte

Note 06 Délibération du 3 janvier 2014 n° 2013-420 prononçant une sanction pécuniaire à l'encontre de la société Google Inc. Retour au texte

Réagir à cet article

Nos offres d'emploi

Plus de 1000 offres d'emploi !

TOUTES LES OFFRES D'EMPLOI

Aujourd'hui sur les clubs experts gazette

Nos services

Prépa concours

CAP

Évènements

Gazette

Formations

Gazette

Commentaires

Marchés publics et protection des données personnelles : attention !

Votre e-mail ne sera pas publié

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement
 
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d'intérêt. OK En savoir plus X