Source : CNIL, déclaration du 19 novembre 2018, Intégration du RGPD à la commande publique
Les autorités publiques sont soumises au RGPD au même titre que les personnes privées et mettent progressivement en conformité leurs différentes activités de service public depuis mai 2018.
En ce sens, la direction des affaires juridiques (DAJ) du ministère de l’Economie et des Finances a procédé, suite à des échanges avec la CNIL, à la mise à jour du formulaire de déclaration de sous-traitance, ainsi que de sa notice explicative, afin qu’ils respectent l’article 28 du RGPD, lequel exige que le traitement de données à caractère personnel par un sous-traitant soit régi par un contrat ou un autre acte juridique définissant l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel concernées et les obligations et droits du responsable du traitement.
Dans le cadre d’un marché public, le « responsable du traitement » est l’acheteur public et le « sous-traitant », le titulaire du marché public.
Le formulaire de déclaration de sous-traitance est destiné à être utilisé, au moment du dépôt de l’offre ou en cours d’exécution du marché public, par les soumissionnaires ou les titulaires de marchés publics pour présenter un « sous-traitant », au sens du droit de la commande publique, à l’acheteur public.
La DAJ a également publié le 25 octobre 2018 une fiche technique répertoriant les impacts du RGPD sur les marchés publics.
Cette fiche précise notamment que les marchés publics conclus avant le 25 mai 2018, date d’entrée en vigueur du RGPD, devront donner lieu à la passation d’un avenant afin d’opérer une mise en conformité, pour autant que ce marché public implique des traitements de données à caractère personnel et que l’acheteur ait visé un cahier des clauses administratives générales dans les pièces contractuelles.
Concernant les marchés publics sous-traités, la fiche explicative rappelle qu’en application de l’article 28, alinéa 2, du RGPD, l’acheteur doit donner son autorisation écrite préalable, spécifique ou générale, au recrutement d’un sous-traitant, au sens commande publique, lorsque ce dernier est chargé de traitements de données à caractère personnel.
Un point de vigilance est enfin soulevé à l’attention des acheteurs faisant de l’achat mutualisé. En effet, lorsque les acheteurs déterminent en commun des finalités et moyens d’un traitement, ils doivent être qualifiés de « responsables conjoints du traitement » au sens de l’article 26 du RGPD. Ces responsables devront donc définir de façon transparente et par voie d’accord leurs obligations respectives, aux fins d’assurer le respect du RGPD, notamment en ce qui concerne l’exercice des droits des personnes concernées par le traitement.
L’adoption du formulaire actualisé et de la fiche technique n’est qu’une première étape vers une mise en conformité générale des cahiers des clauses administratives générales au RGPD.
Virginie PERDRIEUX
Vivaldi-Avocats