Vous êtes acteur du marché public et souhaitez savoir si vous respectez bien les termes du nouveau règlement sur la protection des données personnelles ? Que vous soyez acheteur public, sous-traitant ou titulaire d’un contrat de marché public, sachez que vous êtes soumis au RGPD ou Règlement Général sur la Protection des Données dans l’exécution des marchés, dès lors qu’il y a traitement d’informations à caractère personnel. Pour connaître vos obligations, ou vos droits, faites appel à un avocat spécialisé en droit public ou un avocat en RGPD qui pourra vous guider dans les démarches à suivre. Quelles sont vos responsabilités dans le traitement des données personnelles en tant que personne publique ? Dans quelle mesure êtes-vous responsable des données en tant que sous-traitant ou titulaire d’un contrat de marché public ? Retrouvez plus d’informations dans ce qui suit. 

RGPD & commande publique

À RETENIR : Quel est l’impact du RGPD sur les marchés publics ?

Toutes les personnes publiques, acheteurs et sous-traitants / titulaires de marché, sont soumises aux règles du RGPD dès lors qu’il y a traitement d’informations à caractère personnel. Elles doivent soit inclure dans leurs contrats des clauses relatives aux traitements de données à caractère personnel, soit établir un avenant. 

Le RGPD (Règlement Général sur la Protection des Données) s’applique aux contrats des marchés publics dès lors qu’ils comportent des services ou prestations nécessitant le traitement des données personnelles. Voici plus de précision à ce sujet. 

Besoin d'un avocat ?

Nous vous mettons en relation avec l’avocat qu’il vous faut, près de chez vous

Trouver mon Avocat

Comment les personnes publiques sont responsables des traitements de données personnelles ? 

La direction des affaires juridiques (DAJ) donne les détails concernant les conséquences du RGPD sur les commandes publiques, et en particulier sur les personnes publiques dont voici la liste : 

    • Les acheteurs publics ; 
    • Les titulaires de contrats de marché public ; 
    • Les sous-traitants lorsque ces derniers existent et auxquels les titulaires de contrats confient le traitement de données personnelles ;
    • Les autres sous-traitants qui sont eux-mêmes chargés de traiter les données personnelles par des sous-traitants de marchés publics. 

En leur qualité de premiers responsables du traitement des données personnelles, les acheteurs sont tenus de respecter un certain nombre d’obligations données dans la liste suivante, dans le processus de passation de commandes publiques :

  • Existence d’un contrat de sous-traitance de traitement de données personnelles ; 
  • Autorisation écrite préalable pour la sous-traitance du traitement des données à caractère personnel, à travers le formulaire d’autorisation de sous-traitance ou formulaire DC4 ; cette autorisation s’adresse donc aux titulaires de marchés publics souhaitant sous-traiter des traitements de données personnelles ;
  • Insertion de clauses relatives au RGPD dans les contrats de marché public, telles que la CNIL les a définies ;
  • Pour les contrats passés avant le 25 mai 2018, un avenant doit être inclus dans le contrat de passation de marché ; 
  • S’assurer du respect par les titulaires / sous-traitants des clauses relatives au RGPD ;
  • Établir clairement ce que deviendront les données personnelles à la fin du contrat : soit détruites, soit transmises à un nouveau sous-traitant ou titulaire). 
À noter :
Les acheteurs publics qui font des achats mutualisés (co-contractants) sont co-responsables des traitements des données. Ils doivent se mettre d’accord et définir clairement leurs parts de responsabilité et leurs obligations pour s’assurer du respect du RGPD.

Points clés à retenir : 

  • Les acheteurs publics sont soumis aux obligations du RGPD concernant le traitement des données personnelles ; 
  • Les contrats publics doivent inclure des clauses relatives au traitement des données à caractère personnel. 

Comment les titulaires de marchés publics sont responsables des traitements des données ? 

Le titulaire d’un marché public est considéré comme un sous-traitant dès lors qu’il est amené à traiter des données personnelles. Il est donc soumis à l’obligation du respect du RGPD et doit s’assurer de respecter les conditions requises prévues à cet effet et dont voici la liste : 

  • Existence d’un modèle d’accord de sous-traitance de traitement de données personnelles ; 
  • Sous-traitance des données personnelles conforme aux règles du RGPD ; 
  • Détention d’une autorisation écrite fournie par l’acheteur public, pour la sous-traitance des données ; 
  • Autorisation écrite fournie par l’acheteur pour la sous-traitance des données par d’autres sous-traitants ou co-contractants, toujours via le formulaire de sous-traitance DC4 ; ce dernier doit être complété par un contrat de sous-traitance des données ;
  • Par ailleurs, si le titulaire d’un contrat public décide de remplacer un ou des sous-traitants, il doit également obtenir préalablement l’autorisation de l’acheteur public.

Points clés à retenir : 

  • Le titulaire d’un marché public doit aussi veiller sur le respect des règles du RGPD dans le cadre de sous-traitance de données à caractère personnel ; 
  • La passation d’un contrat de sous-traitance à un autre sous-traitant doit obtenir l’autorisation préalable de l’acheteur public. 

Qu’est-ce qu’un traitement de données personnelles dans les commandes publiques ? 

Dans les marchés publics, sont considérées comme des traitements de données personnelles les opérations automatisées utilisant des données ou des ensembles de données à caractère personnel, comme celles indiquées dans la liste suivante :

    • Collectes de données ; 
    • Conservation de données ; 
    • Structuration ; 
    • Modification ;
    • Conservation ; 
    • Consultation ;
    • Utilisation ;
    • Communication des données par leur transmission ; 
    • Mise à disposition des données ;
    • Et même leur transmission pour destruction. 

Les données elles-mêmes peuvent prendre différentes formes. Elles concernent une personne physique pouvant être identifiée à travers la liste des critères suivants : 

    • Nom et prénom ; 
    • Numéro d’identification ; 
    • Données de localisation ; 
    • Identifiants ;
    • Données à caractère physique, économique, psychologique, économique ou encore culturelle. 

Points clés à retenir : 

  • Les marchés publics incluent souvent des traitements de données ; 
  • Les marchés publics sont en conséquence impactés par le RGPD. 

Les acteurs du marché public, acheteurs, titulaires et sous-traitants, sont eux aussi soumis à l’obligation de respecter les termes du RGPD, du fait de leurs activités qui incluent la manipulation de données à caractère personnel. Les acheteurs doivent donner leur accord aux titulaires de contrats publics pour le traitement ou l’utilisation des données personnelles. Tous les types de contrats d’achats publics sont concernés : fourniture de travaux, de produits, ou de services. Par ailleurs, tous les contrats de marché publics, sans exception, doivent être conformes au RGPD, et ce, sans seuil de montant. Le traitement des données personnelles peut être l’objet principal du contrat ou à titre secondaire.