Par Dimitri Meunier
Docteur en droit public / Avocat Numérique
dimitri.meunier@avocat-conseil.fr
I- Généralités sur le RGPD et les marchés publics
Principaux textes d’appuis
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles
Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
Code de la commande publique
Le respect des contraintes légales du RGPD sont souvent minorées, et font l’objet de clauses trop souvent mal ou pas adaptée du tout au cas. Le processus décrit ici doit permettre de prévoir tous les aspects des traitements de données à caractère personnel concernés par le marché public.
Enfin, dans un second article, il sera présenté le cas des solutions numériques de type CLOUD qui doivent absolument être abordées contractuellement sous l’angle de la co-traitance RGPD, et pas celle de la sous-traitance RGPD.
Rôle du délégué à la protection des données (DPD) et l’achat
Le délégué à la protection des données (DPD ou DPO) est chargé du respect des règles relatives à la protection des données à caractère personnel par l’acheteur. Son rôle est précisé par les articles 37 à 39 du RGPD. (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016).
Toute commande est un acte d’achat nécessitant la vérification du respect des obligations légales par le candidat, notamment le respect du principe de l’égalité de traitement. (1) L’acheteur public doit également s’assurer du respect des obligations légales s’imposant lors de l’exécution de ses marchés (2). En conséquence, le DPD doit veiller lors de la phase de d’achat et d’exécution des marchés du respect des règles
II- Expression des besoins et consultation
De l’expression du besoin à son évaluation
Les services prescripteurs doivent recenser les besoins à satisfaire. Ces services transmettent leur cahier des charges à la Direction des achats en vue de préparer leur publication.
Avant la procédure de publication, il est nécessaire désormais d’identifier si la prestation donnera lieu à des traitements de données à caractère de personnel (DCP). Ces traitements peuvent consister à des calculs, des flux et des hébergements de données logiciels ; de la constitution de fichiers de locataires pour l’entretien des parties privatives…
Tous les marchés se rapportant à une catégorie de traitements doivent ainsi être identifiés par le prescripteur et la Direction des Achats. Le DPD est ainsi saisi par le service prescripteur dès l’identification ou une hypothèse de traitement.
Le DPD répond au service prescripteur :
– soit en identifiant dans le périmètre du marché, les traitements de données à caractère personnel ;
– soit à l’inverse à n’identifiant pas de traitements.
Le DPD propose alors d’insérer des clauses adaptées dans le cahier des clauses administratives particulières (CCAP) du marché, dans le cadre d’une annexe (document détenu par le DPD). Celle-ci sera reprend les définitions et les obligations du responsable de traitement (l’acheteur), et du sous traitant (titulaire du marché et sous traitant). Cette annexe est validée par le service prescripteur et la Direction des Achats est informée.
Également, lors de cette période de mise en conformité, il est inséré un ou plusieurs critères d’analyse techniques sur la maturité des candidats relative à la mise en oeuvre du RGPD. Cela permet de ne pas éliminer des candidats sur ces sujets, mais de mesurer leur degré de conformité.
Une liste de critère est ainsi proposée par le DPD. A charge du prescripteur de les choisir et les étoffer avec le conseil du DPD. La Direction des Achats est informée et veille à leur application.
Enfin,ces critères de choix peuvent être remplacés par des simples demandes d’informations prévues par le DPD. Le candidat répondra à ces demandes dans une annexe à son offre principale. Il s’agit donc de ne pas juger, classer voire éliminer les offres sur le sujet RGPD. Ces demandes seront analysées et étudiées avec l’attributaire dans le cadre d’une mise au point.
Synthèse : cinq étapes
- Définir les besoins d’achat à inclure dans le recensement ;
- Identifier les éventuels traitements de DCP et prendre attache auprès du DPD ;
- Annexer les clauses RGPD au CCAP ;
- Établir le ou les critères d’évaluation de maturité RGPD, à ajouter aux critères techniques ;
- Informer la Direction des Achats
III- Suivi et contrôle RGPD des marchés en cours d’exécution
Pour les marchés en cours d’exécution, il convient de vérifier la prise en compte de ces nouvelles règles établissant des obligations précises entre le responsable du traitement (l’acheteur) et ces sous-traitants (titulaires des marchés et leurs sous-traitants). Certains, titulaires de marchés, notamment des éditeurs de logiciels, ont initié la démarché vis à vis de l’acheteur en leur communiquant des courriers et des projets d’avenant.
Le DPD en lien avec la Direction des Achats et les services prescripteurs répondent à ces demandes. Pour les autres marchés, l’acheteur initie la démarché de mise en conformité.
Pour cela, il convient que la Direction des Achats communique la liste des marchés. Le DPD identifie avec, le cas échéant, l’aide des services prescripteurs, les marchés donnant lieu à des traitements de DCP. Lorsque les marchés, leur titulaire sont identifiés, le DPD communique à la Direction des Achats un courrier à transmettre au titulaire les informant des nouvelles obligations RGPD.
Après avoir identifié les marchés, il convient d’identifier les DCP concernées (nom, prénom…), les traitements (les prestations du marché) et leurs finalités (objectifs des prestations) pour chacun des marchés concernés.
Enfin, le DPD, via la Direction des Achats, communique un projet d’avenant au titulaire reprenant les obligations de chacun et les tableaux DCP / traitements/ finalités, qu’il négocie en vue d’une signature. Ce projet d’avenant reprend les clauses RGPD.
Logigramme RGPD procédure d’achat
Pour approfondir ce sujet, nous vous conseillons la formation L’impact du RGPD dans les marchés publics le 20 septembre 2019 à Paris
