Application de la règlementation relative à la protection des données à caractère personnel aux contrats de la commande publique
Le 25 mai 2018, le règlement (UE) 2016/679 du Parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit « règlement général sur la protection des données » - RGPD) est entré en application. Ce règlement, à l’instar de la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, est applicable aux contrats de la commande publique dès lors que ces derniers comprennent une prestation mettant en œuvre un traitement de données à caractère personnel. Constitue une donnée à caractère personnel (article 4.1 du RGPD) « toute information se rapportant à une personne physique identifiée ou identifiable (dénommée dans le RGPD « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». Un traitement est, quant à lui, « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction » (article 4.2 du RGPD).
1. La terminologie du RGPD traduite en vocable marchés publics
- Le « responsable du traitement » (article 4.7 du RGPD : « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement (…) ») : l’acheteur au sens de l’ordonnance n°2015-899 du 23 juillet 2015 relative au droit des marchés publics ; - Le « sous-traitant » (article 4.8 du RGPD : « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ») : le titulaire du marché public ;
Mise à jour le 25/10/2018
ESPACE COMMANDE PUBLIQUE Rubrique Conseil aux acheteurs et aux autorités concédantes Fiches techniques
- Le sous-traitant du sous-traitant (article 28.2 du RGPD : lorsque le « sous-traitant recrute un autre sous-traitant ») : le sous-traitant au sens du droit de la commande publique1 ; - L’« autorité de contrôle » (article 4.21 du RGPD : « une autorité publique indépendante qui est instituée par un état membre en vertu de l’article 51 ») : la Commission nationale de l’informatique et des libertés (CNIL).
A noter : En cas de coopération entre administrations, le responsable du traitement peut être une administration et le sous-traitant une autre administration. La qualification de « sous-traitant » au sens du RGPD n’est pas conditionnée par une externalisation auprès d’un opérateur économique.
2. L’impact du RGPD sur les marchés publics en cours d’exécution et ceux à conclure
Le RGPD est applicable depuis le 25 mai 2018. L’article 28 du RGPD relatif à la sous-traitance de traitement de données à caractère personnel s’applique pleinement aux marchés publics. Ainsi, tous les marchés publics comportant des traitements de données à caractère personnel dont la procédure a été lancée depuis le 25 mai 2018 doivent comporter des clauses relatives aux traitements de données à caractère personnel. Pour les marchés publics conclus avant le 25 mai 2018, en application des dispositions de l’article 5.2.2 des CCAG (cahier des clauses administratives générales), les marchés publics donnant lieu à des traitements de données à caractère personnel doivent donner lieu à la passation d’un avenant, pour autant que l’acheteur ait visé un CCAG dans les pièces contractuelles. Il est à noter que l’article 5.2.3 des CCAG est devenu caduc, puisqu’il fait référence aux « déclarations et autorisations administratives » qui ont été, pour la plupart d’entre elles, supprimées par le RGPD au profit d’une logique de responsabilisation de l’ensemble des acteurs intervenant dans la chaine d’un traitement de données à caractère personnel. Pour les marchés publics ne faisant pas référence à un CCAG, les dispositions issues du RGPD étant d’application immédiate (depuis le 25 mai dernier) aux contrats en cours d’exécution2, il est vivement recommandé de conclure des avenants afin de prendre en considération la nouvelle règlementation européenne. Pour les marchés publics conclus depuis l’entrée en vigueur de la réforme du droit de la commande publique de mars 2016, ces avenants pourront être conclus sur le fondement du 5° de l’article 139 du décret n°2016-360 du 25 mars 2016 relatif au droit des marchés publics3.
3. Les clauses « RGPD » à insérer dans les marchés publics
Il est recommandé aux acheteurs publics d’insérer dans leurs contrats publics les clauses adéquates en se référant au clausier type élaboré par la CNIL dans le guide « RGPD : Guide du sous-traitant » (édition septembre 2017).
4. L’impact du RGPD sur la sous-traitance dans les marchés publics
En application du 2 de l’article 28 du RGPD4, l’acheteur doit donner son autorisation écrite préalable, spécifique ou générale, au recrutement d’un sous-traitant (au sens commande publique) lorsque ce dernier est chargé de traitements de données à caractère personnel.
1 Sous-traitant régi par la loi n°75-1334 du 31 décembre 1975 relative à la sous-traitance. 2 Mesure d’ordre public d’application immédiate. 3 Lorsque la modification entrainée par l’avenant n’est pas substantielle. Mise à jour le 25/10/2018
ESPACE COMMANDE PUBLIQUE Rubrique Conseil aux acheteurs et aux autorités concédantes Fiches techniques
Si l’acheteur souhaite accorder au titulaire du marché public une autorisation générale, il est recommandé d’insérer une clause en ce sens dans le cahier des charges du marché public5. Afin que l’acheteur public puisse donner son autorisation écrite préalable, le formulaire relatif à la déclaration de sous-traitance (formulaire DC4) a été mis à jour par la DAJ. Pour plus de détails sur l’autorisation générale ou spécifique et sa mise en œuvre, vous pouvez vous reporter à la notice explicative du formulaire de déclaration de sous-traitance (DC4) sur le site internet de la DAJ dans la rubrique « Commande publique / Les formulaires ».
5. Un point de vigilance à l’attention des acheteurs faisant de l’achat mutualisé
En cas de « responsables conjoints du traitement » au sens de l’article 26 du RGPD, en l’occurrence lorsqu’un achat mutualisé intervient dans le cadre d’une détermination commune des finalités et moyens d’un traitement (une appréciation au cas par cas est à réaliser sur la base de l’avis 1/2010 du 16 février 2010, relatif aux notions de « responsable du traitement » et de « sous-traitant » du groupe des CNIL européennes – G29), ces responsables devront définir de façon transparente et par voie d’accord leurs obligations respectives, aux fins d’assurer le respect des exigences du RGPD, notamment en ce qui concerne l’exercice des droits des personnes dont les données sont traitées. Un point de contact pour ces dernières pourra également être prévu dans cet accord, intégré par exemple dans la convention constitutive d’un groupement de commandes et dont les grandes lignes devront être tenues à la disposition des intéressés. Les personnes concernées pourront exercer leurs droits à l’égard et à l’encontre de chacun des responsables conjoints.