Banniere-en-forme-de-vague

Les news RGPD & cyber

RGPS-et-les-marchés-publics 30 Oct, 2020

La conformité RGPD dans les marchés publics

Les qualifications de responsable de traitement et de sous-traitant

Le RGPD, applicable depuis 2018 sur tout le territoire européen, conduit les entreprises, les organismes et es États à se conformer à ses prérogatives et obligations. En l’absence de l'application des règles énoncées dans le texte européen les entités juridiques se verront condamnées sur le plan administratif et financier.

Le RGPD impose aux responsables de traitement et aux sous-traitants de protéger les données personnelles des personnes concernées. Il en est de même lorsqu’une entreprise décide de concourir à un appel d’offre public. En effet, sur son site internet, la CNIL rappelle l’application du règlement européen dans le marché public. De plus, la Direction des Affaires Juridiques a élaboré une fiche technique sur « l’impact du RGPD sur le droit de la commande publique »¹.

Le RGPD s’applique à toute entité qui répond à ces appels d’offre et les gagne. Ainsi, comment se mettre en conformité au RGPD dans la procédure d’appels d’offres publics ?

La conformité des marchés publics au RGPD s’applique d’une part, aux organismes publics et d’autre part, aux organismes privés qui ont des missions d'intérêt publics ou qui répondent aux appels d’offres de marchés publics ou de commande publique.

Qui est concerné ?

Toutes institutions, organismes privés et publics sont concernés. Les secteurs d’activité de ces entités qui collectent ces données à caractère personnel dans l’Union Européenne ou de citoyens européens doivent se conformer à la règlementation.

Certaines obligations sont relatives aux institutions étatiques et sont différentes selon les secteurs d’activité.

Quant aux organismes publics tels que les mairies, les hôpitaux, les collectivités territoriales, ils sont soumis au texte européen.

Pour les organismes privés qui répondent à des appels d’offres, ils devront se soumettre à certaines règles obligatoires et s’assurer d’expliquer comment ils les mettront en valeur dans leur candidatures. Certaines clauses seront à inclure cette réponse.

Dans une commande publique, le responsable du traitement et le sous-traitant doivent être expressément identifiés. Les deux parties de la commande publique doivent au préalable s’accorder sur leurs obligations respectives pour se conformer aux obligations du RGPD et plus particulièrement pour répondre aux droits des personnes concernées.

Que faut-il entendre par "données à caractère personnel" dans les appels d’offres publics ?

L’Article 4 du RGPD définit les données à caractère personnel. Celles-ci permettent l’identification d’une personne directement ou indirectement. Parfois, le croisement de plusieures informations apportent une possible ré-identification d’une personne physique.

Quelles clauses à mettre dans la réponse à l’appel d’offre ?

Dans la réponse à l’appel d’offre, il est nécessaire d’inclure :

  • Une clause de protection des données à caractère personnel ;
  • Une clause d’exécution des prestations.

    •  Quelles étapes suivre ?

    Voici une méthode à suivre pour toute entité qui répondra et gagnera un contrat de marché public :

    Etape 1 : la lecture de l’appel d’offre public.
    Il convient au mieux de lire l’appel d’offre et d’analyser les parties de l’offre qui seraient soumises au RGPD.

    Etape 2 : ce qui pourrait être soumis au RGPD.
    Au regard des solutions avancées pour répondre à l’appel d’offre public, il conviendrait d’analyser lesquelles seraient soumises au RGPD. Cela permettra de faire ressortir les types de données qui seront recueillies et qui ont un caractère personnel. Enfin, il faudra analyser quelles modalités de protection de données personnelles devront être mis en place.

    Etape 3 : quelles sont les démarches que j’ai déjà entreprises ou que je dois entreprendre au sein de mon entité ?
    Après cette étape, l’organisme se référera aux démarches qu'il entreprend déjà et l’évoquera dans sa réponse à l’appel d’offre. Puis, il estimera nécessaire ou non de repenser la démarche en fonction des solutions qu’il émettra au regard de l’appel d’offre. Enfin, l’organisme qui n’aura pas encore effectué de démarche en matière de protection de données personnelles devra s’y afférer.

    Etape 4 : mes solutions apportées à l’appel d’offre en conformité avec le RGPD.
    Dans la rédaction de la réponse à l’appel d’offre, l’organisme devra montrer comment il s’assure de la protection des données personnelles. Il énoncera les outils qu’il utilise pour mettre en œuvre cette protection. Il pourrait par exemple notifier le nom du logiciel qui lui permettra de déployer sa mise en conformité au RGPD.

    logiciel de gouvernance RGPD

    Etape 5 : de l’analyse de l’appel d’offre jusqu’à son exécution.
    Pour s’assurer de rester conforme aux obligations énoncées par le règlement, il est important que l’entité qui répond à l’appel d’offre démontre comment elle envisage de respecter cette conformité pendant l’exécution du contrat public. Enfin, au terme du contrat, il incombera à l’entité de s’assurer que toutes les données ont été traitées conformément aux clauses émises dans l’appel d’offre. Si, elle a fait appel à un sous-traitant elle doit s'assurer que ce dernier ait bien respecté les obligations sur lesquelles ils se sont accordés. En effet, rappelons que dès-lors que le sous-traitant ne respecte pas ses obligations, la responsabilité sera imputée au responsable de traitement, à savoir l’entité qui a conclu le contrat public.

    ¹ https://www.economie.gouv.fr/daj/impact-RGPD-commande-publique
    Illustration par ijeab freepik

    Article précédent Article suivant
    Auteur

    Fondatrice du cabinet de conseil et d'ingénierie LS Consulting, spécialiste en intelligence économique, juridique et numérique.

    - Léa Selebiro