En direct

Des marchés publics conformes au RGPD

Par Fabrice Strady responsable des services administratifs de la Ville de Royan (Charente-Maritime) |  le 22/06/2018  |  France entière

La révolution de la data passe aussi par la commande publique ! L'entrée en vigueur, le 25 mai, du règlement européen du 27 avril 2016 relatif à la protection des données personnelles (RGPD) oblige en effet les acheteurs publics à modifier leurs pratiques et leurs contrats.

Qu'est-ce que le RGPD ?

Le règlement général de protection des données (RGPD) contraint les entreprises et les personnes publiques à protéger les données à caractère personnel, c'est-à-dire toute information se rapportant à une personne physique identifiée ou identifiable (art. 4), par exemple un numéro de sécurité sociale, une adresse IP, des coordonnées bancaires, etc. Ce texte établit des règles relatives à la protection des personnes physiques quant au traitement des données et à leur libre circulation (art. 1).

Le RGPD marque le passage d'une logique de formalités préalables (déclarations, autorisations) à une logique de conformité dont les acteurs sont responsables sous le contrôle du régulateur (en France, la Commission nationale de l'informatique et des libertés [Cnil]). Il impose le respect de divers principes fondamentaux tels que le consentement de la personne concernée par le traitement de ses données (art. 7), le droit d'accès de cette dernière (art. 15), le droit de rectification (art. 16), le droit à l'oubli (art. 17), le droit à la limitation du traitement (art. 18), ou encore le droit à la portabilité des données (art. 20).

A noter qu'un projet de loi relatif à la protection des données personnelles, modifiant la loi n° 78-17 du 6 janvier 1978 dite « Informatique et Libertés », a été adopté définitivement le 14 mai. Il vient compléter le RGPD et transposer la directive européenne n° 2016/680 du 27 avril 2016 concernant la protection des personnes physiques à l'égard du traitement des données sous l'angle pénal.

En quoi les acheteurs publics sont-ils concernés ?

Les acheteurs devront, notamment, être bien plus vigilants dans la rédaction des documents de consultation des marchés passés dans le cadre de la smart city. Les opérateurs sont en effet amenés à collecter et à croiser un flux conséquent d'informations personnelles. Et ce, sous l'œil attentif du juge, qui a refusé par exemple d'autoriser le pistage des piétons par des panneaux publicitaires connectés à défaut de recueil de consentement (CE, 8 février 2017, n° 393714).

Il faudra, de plus, que les acheteurs s'assurent auprès des différents acteurs de la construction que les objets interconnectés, utilisés dans la gestion technique du bâtiment (chauffage, éclairage, climatisation, utilisation de l'énergie… ), sont en capacité technique de respecter la protection des données personnelles et de recevoir le consentement de l'usager (considérant 32 du RGPD).

Qu'est-ce qu'un responsable de traitement ?

Il s'agit de « la personne physique ou morale, de l'autorité publique, du service ou d'un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement » des données (art. 4.7 du RGPD).

Dans les collectivités territoriales et leurs établissements publics, l'assemblée délibérante - ou son exécutif en application des règles de fonctionnement interne propres à chaque organisme (maire, président d'un EPCI… ) - est le responsable de traitement.

En quoi consiste sa mission ?

La mission du responsable de traitement est fondamentale, car celui-ci doit être capable de justifier, notamment auprès de la Cnil, qu'il a obtenu les données de manière licite. Il doit pouvoir indiquer à la personne qui en ferait la demande le fondement légal sur lequel repose le traitement, établir le consentement des personnes concernées et traiter les données personnelles de manière sécurisée et en toute transparence. Le responsable de traitement doit, comme son sous- traitant, tenir un registre des catégories d'activités de traitement effectuées (art. 30).

Il doit aussi réaliser des analyses d'impact relatives à la protection des données (en anglais Privacy impact assessment ou PIA), faisant apparaître les caractéristiques du traitement, les risques ainsi que les mesures adoptées quand le traitement des données personnelles est susceptible de porter atteinte aux droits et libertés des personnes (comme dans les zones télé-surveillées). Sur son site Internet, la Cnil met à disposition un logiciel PIA pour faciliter la conduite d'une analyse d'impact.

Qu'est-ce qu'un sous-traitant au sens du RGPD ?

Le sous-traitant est celui qui traite les données à caractère personnel pour le compte du responsable du traitement. Il agit donc lui-même comme un responsable de traitement. Et doit présenter « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences » du RGPD (art. 28).

Le sous-traitant doit être capable, à tout moment, de prouver qu'il assure la sécurité des données confiées. Il est soumis à une obligation d'assistance et de conseil auprès du responsable de traitement si celui- ci reçoit, par exemple, des demandes de rectification ou de portabilité de données. Il doit aussi réaliser des PIA. Un sous-traitant au sens du RGPD peut sous-traiter à son tour, sous réserve de l'accord préalable du responsable de traitement (art. 28).

Le sous-traitant au sens du droit de la commande publique est-il un sous-traitant au sens du RGPD ?

Pas nécessairement. Un opérateur économique auquel un acheteur public fait appel pour du traitement de données à caractère personnel sera attributaire d'un marché public, et agira comme sous- traitant au sens du RGPD pour le compte de l'acheteur. Ce sera le cas de prestataires de services informatiques, de vidéo surveillance, etc.

Par ailleurs, si l'acheteur l'accepte, le titulaire du marché public pourra confier une partie de la prestation à un sous-traitant qui sera à la fois sous-traitant au sens du droit de la commande publique (loi n° 75-1334 du 31 décembre 1975 relative à la sous-traitance) et sous-traitant au sens du RGPD s'il répond aux exigences de l'article 28 dudit règlement.

Dans le cadre des concessions, le délégataire peut être amené à être un sous-traitant au sens du RGPD s'il traite des données à caractère personnel qui lui sont fournies par l'autorité délégante.

Faut-il un contrat entre le responsable du traitement et le sous-traitant ?

Oui. Le traitement par un sous-traitant est régi par un contrat qui définit l'objet et la durée du traitement, sa nature et sa finalité, le type de données à caractère personnel, et les catégories de personnes concernées, ainsi que les obligations et les droits du responsable du traitement (art. 28.3).

Si un acheteur fait appel à un sous-traitant au sens du RGPD, il devra lancer une procédure de marché public, en ajoutant des clauses spécifiques dans les documents de la consultation relatives au traitement des données à caractère personnel que devra respecter le titulaire du marché et son (ses) sous-traitant(s) au sens de la loi de 1975 précitée.

Qu'est-ce que le DPO ou DPD ?

Les entreprises ayant à traiter de données personnelles ou les utilisant (fournisseurs, clients… ), les administrations, les concessionnaires de service public local, etc. , doivent désigner un délégué à la protection des données (DPD) ou data protection officer (DPO) (art. 37). Il joue un rôle majeur dans les contrats concernés par le traitement de données personnelles. Le responsable du traitement et le sous-traitant « veillent à ce que le DPO soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données » (art. 38.1). Le DPO intervient donc dans l'ingénierie contractuelle des contrats de la commande publique en assistant et en conseillant l'acheteur sur les contraintes juridiques en matière de protection des données. Ses missions sont listées à l'article 39 du RGPD. Le DPO peut être interne, externe ou mutualisé (art. 37).

Dans le domaine de la commande publique, il intervient comme intermédiaire ou coordinateur entre le service marchés publics et le service juridique pour l'insertion de clauses relatives au traitement des données à caractère personnel, le service qui lance le marché et le service informatique de l'acheteur. Cette nouvelle contrainte doit être prise en compte dans le calendrier de passation des marchés.

Quelles sont les conséquences pratiques pour les contrats publics ?

Depuis le 25 mai 2018, les contrats de la commande publique conclus avec des sous-traitants au sens du RGPD (donc les titulaires de marchés publics) portant sur le traitement total ou partiel de données à caractère personnel doivent contenir des clauses obligatoires prévues par le RGPD (art. 28). Celles-ci précisent les obligations et la responsabilité du sous-traitant à l'égard du responsable de traitement, qu'il convient d'adapter à la commande publique.

La Cnil a publié en ligne un clausier-type sur lequel l'acheteur peut s'appuyer. Ce dernier peut ainsi exiger de l'opérateur économique qu'il précise dans son offre les mesures techniques, organisationnelles et sécuritaires mises en œuvre pour respecter la réglementation et garantir le niveau de protection requis. Il s'agit notamment des modalités de transmission des demandes des personnes concernées par le traitement des données et de celles nécessaires en cas d'atteinte aux données. L'acheteur peut aussi imposer un hébergement sur le territoire européen.

Le titulaire du marché devra respecter les principes de proportionnalité, de minimalisation (réduire au maximum la quantité de données traitées dès le départ) et de limitation de la conservation des données, assurant ainsi que seules les données pertinentes définies par l'acheteur seront traitées au sein de l'offre au regard des objectifs poursuivis et sous le contrôle des seules personnes habilitées. Le titulaire devra être en mesure de prouver à tout moment que le traitement est conforme à la réglementation.

Quid du CCAG ?

L'acheteur veillera à déroger, dans son cahier des clauses administratives particulières (CCAP), à l'article 5.2.3 des différents cahiers des clauses administratives générales (CCAG) relatif à la protection des données à caractère personnel. Cet article est en effet obsolète, le RGPD ayant mis fin au régime de la déclaration préalable au profit du principe de responsabilisation étendu à tous les acteurs concernés par le traitement des données.

Pour les marchés en cours passés avant le 25 mai 2018, l'article 5.2.2 de tous les CCAG prévoit qu'en cas d'évolution de la législation sur la protection des données à caractère personnel en cours d'exécution du marché, les modifications éventuelles demandées par le pouvoir adjudicateur, afin de se conformer aux règles nouvelles, donnent lieu à la signature d'un avenant par les parties au marché.

Ce qu'il faut retenir

Depuis le 25 mai 2018, les acheteurs publics et leurs contrats sont soumis aux nouvelles règles de traitement des données à caractère personnel prévues par le RGPD. Attention : pour bien appliquer cette réglementation, il ne faut pas confondre la notion de sous-traitance au sens du RGPD et celle au sens du droit de la commande publique.

L'acheteur doit veiller à modifier les documents de la consultation en y insérant des clauses spécifiques dès lors que l'objet du marché ou de la concession concerne en totalité ou en partie le traitement de données à caractère personnel.

En attendant une actualisation des CCAG marchés publics, il convient de déroger à leur article 5.2.3 relatif au traitement des données, rendu obsolète par l'entrée en vigueur du RGPD. Et de modifier les contrats concernés en totalité ou en partie par le traitement de données à caractère personnel en cours d'exécution passés avant le 25 mai 2018.

Éditions du Moniteur Le Moniteur boutique

Batiprix Bordereau 2019 - 36 ème édition

Batiprix Bordereau 2019 - 36 ème édition

Livre

Prix : 98.00 €

Auteur : Groupe Moniteur

Voir

Hors-série AMC : 50 ans d'architecture

Hors-série AMC : 50 ans d'architecture

Presse - Vente au n°

Prix : 29.00 €

Voir

200 initiatives pour la transition énergétique des territoires

200 initiatives pour la transition énergétique des territoires

Livre

Prix : 24.00 €

Auteur : Éditions du Moniteur

Voir

Accéder à la Boutique

Les bonnes raisons de s’abonnerAu Moniteur

  • La veille 24h/24 sur les marchés publics et privés
  • L’actualité nationale et régionale du secteur du BTP
  • La boite à outils réglementaire : marchés, urbanismes, environnement
  • Les services indices-index
Je m’abonne
Supports Moniteur