La direction des affaires juridiques (DAJ) du ministère de l’Economie et des Finances a publié le 25 octobre dernier une fiche sur « l’impact du RGPD sur le droit de la commande publique ».
Avec pour premier rappel le fait que le Règlement européen sur la protection des données personnelles (le RGPD), entré en vigueur le 25 mai dernier, ainsi que la loi n° 78-17 Informatique et Libertés du 6 janvier 1978 modifiée, sont applicables aux contrats de la commande publique, dès lors bien sûr que ces derniers comprennent une prestation mettant en œuvre un traitement de données à caractère personnel.
La terminologie du RGPD traduite en vocable marchés publics
Dans cette fiche technique, la DAJ commence par jouer les traducteurs. Les termes utilisés dans la réglementation relative à la protection des données personnelles ne correspond pas toujours à ceux utilisés en matière de commande publique.
Ainsi, lors de la passation de contrats de la commande publique, le responsable de traitement – qui est la personne qui détermine les finalités et les moyens du traitement de données – est l’acheteur, au sens de l’ordonnance n° 2015-899 du 23 juillet 2015 relative au droit des marchés publics.
Le « sous-traitant », qui est, dans le RGPD, la personne qui traite des données personnelles pour le compte du responsable de traitement, est le titulaire du marché. Alors que le sous-traitant du sous-traitant – lorsque le « sous-traitant recrute un autre sous-traitant » -, est le simple sous-traitant au sens du droit de la commande publique.
La DAJ précise qu’en cas de coopération entre administrations, « le responsable du traitement peut être une administration et le sous-traitant une autre administration ».
L’impact du RGPD sur les marchés publics
La fiche revient ensuite plus particulièrement sur l’article 28 du RGPD, qui concerne la sous-traitance de traitement de données personnelles.
Selon cet article, tous les marchés publics comportant des traitements de données personnelles dont la procédure a été lancée après le 25 mai 2018 doivent comporter des clauses relatives à ces traitements.
En ce qui concerne les marchés publics conclus avant le 25 mai 2018, pour autant que l’acheteur ait visé un CCAG (cahier des clauses administratives générales) dans les pièces contractuelles, la DAJ rappelle qu’une clause doit être prise en application des dispositions de l’article 5.2.2 des CCAG. Pour les marchés publics ne faisant pas référence à un CCAG, les dispositions issues du RGPD étant d’application immédiate aux contrats en cours d’exécution, la DAJ recommande « vivement » de conclure des avenants afin de prendre en considération la nouvelle réglementation européenne.
La Cnil a élaboré un clausier type, présent dans le guide « RGPD : Guide du sous-traitant ».
L’impact du RGPD sur la sous-traitance dans les marchés publics
Toujours en application de l’article 28 du RGPD, « l’acheteur doit donner son autorisation écrite préalable, spécifique ou générale, au recrutement d’un sous-traitant (au sens commande publique) lorsque ce dernier est chargé de traitements de données à caractère personnel. »
Ainsi, si l’acheteur souhaite accorder au titulaire du marché public une autorisation générale, il est recommandé d’insérer une clause en ce sens dans le cahier des charges du marché public. Afin que l’acheteur public puisse donner son autorisation écrite préalable, le formulaire relatif à la déclaration de sous-traitance (formulaire DC4) a été mis à jour par la DAJ.
Un point de vigilance sur l’achat mutualisé
Dernier point sur lequel insiste la DAJ : en cas de « responsables conjoints du traitement », « en l’occurrence lorsqu’un achat mutualisé intervient dans le cadre d’une détermination commune des finalités et moyens d’un traitement », ces responsables devront définir de façon transparente et par voie d’accord leurs obligations respectives, aux fins d’assurer le respect des exigences du RGPD, notamment en ce qui concerne l’exercice des droits des personnes dont les données sont traitées.
Ainsi, « un point de contact pour ces dernières pourra également être prévu dans cet accord, intégré par exemple dans la convention constitutive d’un groupement de commandes et dont les grandes lignes devront être tenues à la disposition des intéressés. Les personnes concernées pourront exercer leurs droits à l’égard et à l’encontre de chacun des responsables conjoints. »
Références
Cet article est en relation avec le dossier
Domaines juridiques
