En direct

RGPD : quelle application aux contrats de la commande publique en cours et à venir?
Le RGPD s'applique depuis le 25 mai aux contrats publics en cours comportant des traitements de données personnelles. - © Morad HEGUI

RGPD : quelle application aux contrats de la commande publique en cours et à venir?

Nohmana Khalid |  le 29/10/2018  |  Sous-traitanceAvenantRGPD

La Direction des affaires juridiques de Bercy explique l’impact du règlement général relatif à la protection des données (RGPD) sur le droit de la commande publique. Une fiche technique aborde le cas particulier de la sous-traitance du marché et des achats mutualisés.

Cinq mois après l’entrée en vigueur de la réglementation européenne sur la protection des données à caractère personnel, il était plus que temps de connaître la doctrine de Bercy relative à son application dans les marchés publics. C’est chose faite avec une fiche diffusée le 25 octobre dans la rubrique « Conseil aux acheteurs » de son site Internet.

Pour rappel, le règlement européen général sur la protection des données (RGPD) est entré en vigueur en France le 25 mai 2018. Les marchés publics n’y échappent pas dès lors qu’ils comprennent une prestation mettant en œuvre un traitement de données personnelles. A cet effet, la Direction des affaires juridiques (DAJ) du ministère de l’Economie répond aux principales questions que peut poser une telle application.

Les termes du RGPD en version marchés publics

Après avoir rappelé les notions de « donnée à caractère personnel » et de « traitement », la DAJ traduit la terminologie du RGPD pour la chaîne d’acteurs intervenant sur un marché. L’acheteur au sens de l’ordonnance marchés publics du 23 juillet 2015 est responsable du traitement en tant qu’autorité publique déterminant les finalités et les moyens du traitement. Le titulaire du marché est le sous-traitant au sens du RGPD en tant que personne morale amenée à traiter les données personnelles pour le compte de l’acheteur.

A noter qu’en cas de coopération entre administrations publiques, le sous-traitant (au sens du RGPD) peut alors être une autre administration. Le sous-traitant du titulaire du marché est, lui, le sous-traitant du sous-traitant au sens du RGPD.

Enfin, la Commission nationale de l’informatique et des libertés (Cnil) est l’autorité publique et indépendante de contrôle. La fiche précise l’impact du règlement sur les marchés publics en cours d’exécution et ceux à conclure.

Prévoir des clauses dans les contrats lancés depuis le 25 mai 2018

Tous les marchés publics comportant des traitements de données à caractère personnel et dont la procédure a été lancée depuis le 25 mai dernier doivent comporter des clauses en ce sens, comme le prévoit l’article 28 du RGPD relatif à la sous-traitance des traitements de données.

A cet effet, la DAJ recommande de se référer au clausier-type de la Cnil contenu dans le guide du sous-traitant (au sens du RGPD) de 2017.

Passer des avenants pour les contrats antérieurs

Les marchés comportant des traitements de données personnelles et conclus avant le 25 mai, doivent, eux, en application de l’article 5.2.2 des cahiers des clauses administratives générales (CCAG), « donner lieu à la passation d’un avenant, pour autant que l’acheteur ait visé un CCAG dans les pièces contractuelles », explique la fiche. A noter que l’article 5.2.3 des CCAG est devenu caduc car il fait référence à des déclarations et autorisations administratives qui, pour la plupart, ont été supprimées par le RGPD « au profit d’une logique de responsabilisation de l’ensemble des acteurs intervenant dans la chaîne d’un traitement de données à caractère personnel », précise Bercy.

Pour les marchés ne faisant pas référence à un CCAG, la DAJ conseille fortement de conclure des avenants pour prendre en compte la nouvelle réglementation européenne - d’application immédiate depuis le 25 mai aux contrats en cours d’exécution en tant que « mesure d’ordre public ». Les avenants peuvent être conclus sur le fondement de l’article 139-5 du décret marchés publics du 25 mars 2016 (modification non substantielle) pour les contrats conclus depuis le 1er avril 2016 (date d’entrée en vigueur de la réforme de la commande publique).

Sous-traitance : autorisation écrite préalable de l’acheteur

Par ailleurs, la fiche mentionne les obligations à respecter en cas de sous-traitance du marché par son titulaire. L’acheteur public « doit donner son autorisation écrite préalable, spécifique ou générale, au recrutement d’un sous-traitant (au sens commande publique) lorsque ce dernier est chargé de traitements de données à caractère personnel ».

La fiche livre un exemple de clause donnant une autorisation générale et à insérer dans le cahier des charges du contrat (1). Le formulaire de déclaration de sous-traitance (DC4) a d’ailleurs été mis à jour en ce sens par la DAJ en septembre.

Achats mutualisés : accord sur les obligations de chacun

Enfin, l’hypothèse particulière des achats mutualisés est également abordée. Les acheteurs sont alors « responsables conjoints du traitement » (art. 26 du RGPD). Ils doivent « définir de façon transparente et par voie d’accord leurs obligations respectives, aux fins d’assurer le respect des exigences du RGPD, notamment en ce qui concerne l’exercice des droits des personnes dont les données sont traitées ».

Il est suggéré d’intégrer pour celles-ci un point de contact dans cet accord. Ce dernier serait rattaché à la convention constitutive d’un groupement de commandes, mise à la disposition des intéressés afin qu’ils puissent « exercer leurs droits à l’égard et à l’encontre de chacun des responsables conjoints », conclut Bercy.

Note

1. « Le titulaire du présent marché public peut faire appel à un sous-traitant pour mener des activités de traitement de données à caractère personnel. Dans ce cas, il informe préalablement et par écrit l’acheteur public de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information, qui peut être effectuée dans la déclaration de sous-traitance, doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. L’acheteur dispose d’un délai de 21 jours à compter de la date de réception de la déclaration de sous-traitance contenant cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si l’acheteur public n'a pas émis d'objection pendant le délai susmentionné. Lorsque le sous-traitant est présenté au moment du dépôt de l’offre, la notification du marché public vaut non-opposition de l’acheteur à la sous-traitance des activités de traitement de données indiquées dans la déclaration de sous-traitance. »

Commentaires

RGPD : quelle application aux contrats de la commande publique en cours et à venir?

Votre e-mail ne sera pas publié

Éditions du Moniteur Le Moniteur boutique

Batiprix Bordereau 2019 - 36 ème édition

Batiprix Bordereau 2019 - 36 ème édition

Livre

Prix : 98.00 €

Auteur : Groupe Moniteur

Voir

Hors-série AMC : 50 ans d'architecture

Hors-série AMC : 50 ans d'architecture

Presse - Vente au n°

Prix : 29.00 €

Voir

200 initiatives pour la transition énergétique des territoires

200 initiatives pour la transition énergétique des territoires

Livre

Prix : 24.00 €

Auteur : Éditions du Moniteur

Voir

Accéder à la Boutique

Les bonnes raisons de s’abonnerAu Moniteur

  • La veille 24h/24 sur les marchés publics et privés
  • L’actualité nationale et régionale du secteur du BTP
  • La boite à outils réglementaire : marchés, urbanismes, environnement
  • Les services indices-index
Je m’abonne
Supports Moniteur