Fermer

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement

Menu

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement

RGPD

Données personnelles et commande publique : de nouvelles clauses contractuelles à prévoir

Publié le 29/03/2018 • Par Auteur associé • dans : Actu juridique, Tribune

kit dematerialisation Une
blickpixel CCO - Pixabay
Le RGDP, destiné à harmoniser les différentes législations nationales en matière de protection des données à caractère personnel et applicable à compter du 25 mai prochain, nécessite de prendre un certain nombre de précautions contractuelles, notamment dans le cas des contrats de sous-traitance.
Frédéric RAIMBAULT

Frédéric RAIMBAULT

Avocat au Barreau d’Angers Associé au cabinet Steering Legal

Le RGDP (règlement 2016/679 général sur la protection des données du 27 avril 2016), qui entrera en application le 25 mai prochain, s’articule autour de plusieurs principes fondamentaux :

  • le consentement des personnes physiques concernées par le traitement des données à caractère personnel
  • le droit de rectification, à l’oubli et à la portabilité des données ouvert à ces personnes
  • la responsabilité des responsables de traitement et des sous-traitants, auxquels il incombe d’être en mesure de justifier que le consentement des personnes susvisées a été recueilli régulièrement, que le risque a été analysé et que les modalités techniques et organisationnelles sont en place pour y faire face.

Le responsable du traitement au sein des collectivités

La responsabilité première quant à la légalité et la licéité des traitements de données à caractère personnel incombe au responsable du traitement. Il s’agit d’une notion autonome du droit communautaire, c’est-à-dire qu’elle ne varie pas selon les dispositions nationales des Etats membres. Elle doit être interprétée essentiellement à la lumière de la législation communautaire sur la protection des données.

Selon le RGPD, le responsable du traitement est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui détermine les finalités et les moyens du traitement (1).

Ainsi, en ce qui concerne les collectivités territoriales et leurs établissements publics, le responsable du traitement est identifié par les organes qui disposent du pouvoir de décider. Schématiquement, il s’agit de l’organe délibérant par principe et du chef de l’exécutif dans certains cas (par exemple, en matière de gestion du personnel).

Le cas de la sous-traitance

Le sous-traitant, au sens du RGPD, est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement (2). Il s’agit d’une entité distincte du responsable du traitement chargée par ce dernier de traiter des données à caractère personnel pour son compte.

Le sous-traitant ne peut donc intervenir qu’à l’initiative et sur instruction du responsable du traitement, lequel est une émanation de la collectivité territoriale ou de l’établissement public local par l’intermédiaire de son organe délibérant ou de son exécutif.

L’intervention d’un sous-traitant suppose la passation d’un contrat ou d’un autre acte juridique entre le responsable du traitement et le sous-traitant (3).

Lorsqu’un sous-traitant, dans le cadre du RGPD, est engagé sous forme de contrat par une personne publique afin de répondre à son besoin relatif au traitement de données à caractère personnel, l’opération entre dans le champ d’application du droit de la commande publique.

Les contrats de la commande publique sont, en effet, les contrats par lesquels les personnes publiques achètent des prestations en vue de répondre à leurs besoins. Ils se divisent en deux catégories : les marchés publics définis par l’ordonnance n° 2015-899 du 23 juillet 2015 relative aux marchés publics et les contrats de concession définis par l’ordonnance n° 2016-65 du 29 janvier 2016 relative aux contrats de concession (4).

Ainsi, et dès lors qu’ils seront conclus à titre onéreux, les contrats de sous-traitance au titre du RGPD prendront la forme soit d’un marché public, soit d’un contrat de concession en fonction de leur aspect financier. Il appartiendra alors aux collectivités et établissements publics locaux de respecter les obligations de publicité et de mise en concurrence préalables à leur passation.

Il conviendra également d’éviter toute confusion dans l’utilisation de la notion de « sous-traitance ». En effet, le sous-traitant au sens du RGPD devient un titulaire de marché public ou un concessionnaire au sens du droit de la commande publique ; en revanche, il n’est pas assimilable aux sous-traitants régis par la loi n° 75-1334 du 31 décembre 1975 relative à la sous-traitance (5). De même, le responsable du traitement au sens du RGPD est un pouvoir adjudicateur (ou acheteur) au sens du droit de la commande publique.

Aux termes du RGPD, un sous-traitant se limite normalement à traiter des données qui lui sont préalablement fournies par le responsable du traitement. Mais il peut devenir à son tour un responsable de traitement au regard des mêmes données à caractère personnel. Par exemple, un délégataire de service public chargé de l’exploitation et de la distribution d’eau potable par un EPCI sera qualifié de sous-traitant en ce qui concerne le traitement des données fournies par le délégant-responsable du traitement (base de données des abonnés au service d’eau potable) et sera qualifié de responsable du traitement s’il utilise la base de données des abonnés à d’autres fins que celles assignées dans le contrat de DSP (6).

Les clauses générales à prévoir dans les contrats de sous-traitance

Le contrat conclu entre le responsable du traitement et le sous-traitant devra définir l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, les obligations et droits du responsable du traitement.

Il devra comporter a minima les clauses suivantes :

  • Objet et description du traitement :
    • préciser l’objet et la finalité du traitement que le sous-traitant est autorisé à traiter pour le compte du responsable du traitement
    • désigner les catégories de personnes concernées par le traitement.
  • Obligations du sous-traitant vis-à-vis du responsable du traitement :
    • ne traiter les données à caractère personnel que sur instructions documentées du responsable du traitement
    • garantir la confidentialité et la sécurité des données (pseudonymisation, chiffrement…)
    • respecter les principes de protection des données dès la conception et par défaut
    • notifier sans délai les violations de données à caractère personnel au responsable du traitement
    • tenir par écrit un registre recensant les traitements effectués
    • solliciter l’autorisation du responsable du traitement avant de recruter un sous-traitant de second rang
    • répondre des éventuelles fautes commises par le sous-traitant de second rang à l’égard du responsable du traitement
    • apporter l’assistance au responsable du traitement pour l’instruction des demandes d’exercice du droit des personnes concernées : rectification, effacement, etc.
    • mettre à la disposition du responsable du traitement la documentation nécessaire pour démontrer le respect de toutes les obligations imposées par le RGPD.

Les clauses spéciales à prévoir dans les contrats de la commande publique

Le contrat de sous-traitance peut être fondé sur des clauses types établies par la Commission européenne, non encore publiées à ce jour, ou par les autorités nationales de contrôle telles que la CNIL qui a publié son clausier type (7).

Pour les marchés publics, les CCAG prévoient une clause relative à la protection des données à caractère personnel rédigée comme suit : « Chaque partie au marché est tenue au respect des règles relatives à la protection des données à caractère personnel, auxquelles elle a accès pour les besoins de l’exécution du marché. En cas d’évolution de la législation sur la protection des données à caractère personnel en cours d’exécution du marché, les modifications éventuelles demandées par le pouvoir adjudicateur afin de se conformer aux règles nouvelles donnent lieu à la signature d’un avenant par les parties au marché. Pour assurer cette protection, il incombe au pouvoir adjudicateur d’effectuer les déclarations et d’obtenir les autorisations administratives nécessaires à l’exécution des prestations prévues par les documents particuliers du marché » (8).

Or, ces dispositions ne seront plus en phase avec le droit en vigueur à compter du 25 mai 2018, qui met fin au régime de déclaration préalable, en le substituant par une logique de responsabilisation de tous les acteurs impliqués dans le traitement des données à caractère personnel, au-delà du seul responsable du traitement « maître d’ouvrage ». C’est pourquoi la clause ci-dessus des CCAG devra être supplantée par des clauses ad hoc insérées dans les CCAP qui y dérogeront.

Il est possible, et même souhaitable, que les CCAG soient modifiés pour intégrer des clauses conformes au RGPD en s’inspirant, par exemple, des propositions de rédaction de la CNIL ou de celles à venir de la Commission européenne.

Cet article fait partie du Dossier

Données personnelles : un gisement sous haute protection

Sommaire du dossier

  1. Protection des données personnelles: une responsabilité des collectivités très encadrée
  2. Données personnelles : appliquer la nouvelle réglementation en six étapes clés
  3. Données personnelles : un délégué externalisé, la solution pour bon nombre de collectivités
  4. RGPD : les RH doivent s’interroger sur le traitement des données de leurs agents
  5. « Le self data permet au citoyen d’améliorer son quotidien »
  6. Données personnelles et commande publique : de nouvelles clauses contractuelles à prévoir
  7. RGPD : protéger les données à caractère personnel dès la conception des traitements
  8. Mise en œuvre du RGPD : comment documenter sa conformité
  9. Réaliser une analyse d’impact pour protéger les données en cinq étapes
  10. Désigner un délégué à la protection des données au sein de sa collectivité en 6 étapes
  11. Plus que quatre mois pour désigner son délégué à la protection des données personnelles
  12. Comment gérer les droits des agents et des administrés en matière de données personnelles en 7 étapes
  13. Données personnelles : la mise en conformité n’attend plus
  14. Données personnelles : 5 règles à respecter pour protéger les citoyens
  15. Données à caractère personnel : « Les citoyens demandent des règles claires et précises »
  16. Améliorer les services, mieux cibler les politiques publiques, avec les données personnelles
  17. Charente-Maritime : les agents sensibilisés à la protection des données à caractère personnel
  18. Les données personnelles, une denrée sous-utilisée par les collectivités

Notes

Note 01 RGPD, art. 4 Retour au texte

Note 02 RGPD, art. 4 Retour au texte

Note 03 RGPD, art. 28 Retour au texte

Note 04 Art. L 1411-1 CGCT : « Une délégation de service public est un contrat de concession au sens de l'ordonnance n° 2016-65 du 29 janvier 2016 relative aux contrats de concession (…) ». Retour au texte

Note 05 Cette loi définit ainsi la sous-traitance : « opération par laquelle un entrepreneur confie par un sous-traité, et sous sa responsabilité, à une autre personne appelée sous-traitant l'exécution de tout ou partie du contrat d'entreprise ou d'une partie du marché public conclu avec le maître de l'ouvrage ». Retour au texte

Note 06 Par exemple, le délégataire pourrait utiliser cette base de données pour promouvoir d'autres produits ou activités qu'il réalise par ailleurs. Retour au texte

Note 07 https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-un-guide-pour-accompagner-les-sous-traitants. Retour au texte

Note 08 Art. 5.2 des CCAG «Travaux », « Fournitures courantes et Services » et « Prestations intellectuelles ». Retour au texte

Réagir à cet article

Nos offres d'emploi

Plus de 1000 offres d'emploi !

TOUTES LES OFFRES D'EMPLOI

Aujourd'hui sur les clubs experts gazette

Nos services

Prépa concours

CAP

Évènements

Gazette

Formations

Gazette

Fournisseurs public expo Public Expo

Commentaires

Données personnelles et commande publique : de nouvelles clauses contractuelles à prévoir

Votre e-mail ne sera pas publié

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement
 
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d'intérêt. OK En savoir plus X