logo
Adresse de l'article https://www.lagazettedescommunes.com/244733/marches-publics-et-protection-des-donnees-personnelles-attention/

[TRIBUNE] COMMANDE PUBLIQUE ET DONNÉES PERSONNELLES
Marchés publics et protection des données personnelles : attention !
Jean-Marc JoannèsAuteur associé | Tribune | Publié le 22/07/2014 | Mis à jour le 25/07/2014

Le recours au « nuage » par les personnes publiques pour gérer gérer et stocker leurs données est de plus en plus répandu. Une solution simple et efficace. Pour autant, il faut se montrer vigilant, à la fois pour répondre aux exigences de sécurité des données et pour respecter les règles de la commande publique.

Les institutions publiques en général et les collectivités locales en particulier ont recours à des suites logicielles intégrant notamment des solutions de messagerie. Ces suites, qui sont utilisées quotidiennement tant par les élus que par les agents, ou encore par de nombreux usagers du service public (notamment ceux des établissements d’enseignement), sont de plus en plus fréquemment logées dans le nuage (le « cloud »).

Le recours au « nuage » est évidemment très utile : il permet à la personne publique de s’affranchir des contraintes liées à une infrastructure informatique complexe (il suffit de disposer d’un ordinateur, d’une tablette ou d’un smartphone connecté à internet). Cela permet aux services publics de gagner en efficacité à un moindre coût.

Il suppose toutefois de réaliser des vérifications dont les collectivités doivent impérativement être conscientes et auxquelles elles doivent prêter une attention toute particulière : d’abord, la question de la sécurité des données transmises (1) [1] et stockées dans le cloud qui doit nécessairement répondre aux plus hauts standard en la matière(2) [2] ; ensuite, le choix du modèle économique opéré par certains prestataires qui génère des difficultés dans le cadre des marchés publics. C’est sur ce point particulier que nous souhaitons faire un focus.

Quel est le sujet ? Certains prestataires ont effectivement un modèle d’affaires fondamentalement publicitaire et, donc, collectent et traitent les données transitant par leur système pour en faire une utilisation commerciale. Au point qu’on peut se demander si le but réellement poursuivi par le cocontractant de la personne publique n’est pas, plutôt que la fourniture du service lui-même, la collecte de données à des fins d’enrichissement de ses propres services(3) [3] .

Les récentes affaires Google doivent attirer particulièrement l’attention.

Les « Affaires Google »

En 2012, Google a unifié les règles de confidentialité des différents services qu’elle proposait aux internautes, entreprises et administrations au sein d’un document unique intitulé « règles de confidentialité ». S’interrogeant sur la compatibilité de ces nouvelles règles unifiées aux règles de protection des données personnelles, le groupe de coordination des autorités européennes de protection des données personnelles (« groupe de l’article 29 ») a entrepris d’étudier le document et les pratiques correspondantes de Google. Il en est résulté divers décisions et sanctions : en Espagne(4) [4] , en Suède(5) [5] où la CNIL locale a considéré que le marché conclu par une municipalité avec Google pour l’utilisation de Google Apps contrevenait à la législation nationale en matière de protection des données personnelles, ou encore en France.

En France, la CNIL, chargée de protéger les libertés individuelles dans le domaine informatique, a également sanctionné Google(6) [6] pour plusieurs manquements à la loi « informatique et libertés [7] » par ses nouvelles « règles de confidentialité » pour quatre motifs :

A la lumière de cette décision, les collectivités publiques qui ont contracté avec Google seraient donc bien inspirées de s’assurer que leur co-contractant ne méconnait pas ou n’a pas méconnu, de la même façon, la loi « informatique et libertés » dans le cadre de l’exécution des marchés publics qui lui ont été attribués. Quid en effet des informations recueillies dans le cadre de l’utilisation des services en lignes par les étudiants des universités ayant contracté ce genre de services ? Quid également des informations échangées par les fonctionnaires dans le cadre de l’exercice de leur droit syndical (protégé par le point 6 du préambule de la Constitution de 27 octobre 1946 et l’article 8 du statut des fonctionnaires [9] ) ?

Ces questions sont sérieuses !

Si elle constate des manquements, la personne publique doit impérativement réagir.

Réagir, impérativement

D’abord, parce qu’elle ne peut pas « cautionner » la méconnaissance des dispositions législatives relatives à la protection des données personnelles. Cela pourrait lui être reproché par les élus, les agents ou les utilisateurs (par exemple les étudiants) des services concernés. D’autant que c’est ici la personne publique qui fournit aux élus, agents et usagers un service qui met en cause la protection de leurs données personnelles. Et, au-delà de la stricte question de protection des données personnelles, on peut se demander si le « scanning » des emails des utilisateurs, à des fins commerciales ou non d’ailleurs, ne méconnaît pas également le secret des correspondances des expéditeurs et des destinataires.

Ensuite parce que ces manquements constituent des violations du contrat : soit des documents particuliers du marché prévoyant expressément le respect des dispositions de la loi « informatique et liberté », soit du CCAG-TIC auquel la plupart des marchés concernés font références et dont l’article 5.2 précise « Chaque partie au marché est tenue au respect des règles relatives à la protection des données nominatives, auxquelles elle a accès pour les besoins de l’exécution du marché », soit des dispositions d’ordre public de la loi.

Que doit alors faire la personne publique ? Le panel des actions est assez large : mettre en demeure le cocontractant de respecter la loi informatique et liberté et/ou ses obligations contractuelles, résilier le marché pour faute ou encore demander au juge d’annuler purement et simplement le contrat.

Deux conseils : vigilance et réaction !