Intégration du RGPD à la commande publique : une 1ère étape franchie
Le ministère de l'Economie et des Finances a actualisé le formulaire de déclaration de sous-traitance proposé aux soumissionnaires/titulaires de marchés et publié des recommandations à l'intention des acheteurs publics. Cette actualisation constitue une première étape d'intégration du RGPD avant l'actualisation des cahiers des clauses administratives générales (CCAG).
Pour tenir compte de l'applicabilité du RGPD aux contrats de la commande publique impliquant des traitements de données personnelles, la direction des Affaires juridiques (DAJ) du ministère de l'Economie et des Finances a procédé, suite à des échanges avec la CNIL, à la mise à jour du formulaire de déclaration de sous-traitance (DC4), ainsi que de sa notice explicative.
Ce formulaire DC4, fourni soit au moment du dépôt de l'offre, soit en cours d'exécution du marché public, est un modèle pouvant être utilisé par les soumissionnaires ou titulaires de marchés publics pour présenter un « sous-traitant », au sens du droit de la commande publique, à l'acheteur public et obtenir l'acceptation de ce dernier. Le formulaire DC4 actualisé intègre les exigences du RGPD, au sein d'un paragraphe à compléter si le sous-traitant déclaré est amené à traiter des données personnelles. Il s'accompagne d'une notice explicative et d'une fiche technique qui rappelle les impacts du RGPD sur les marchés publics.
Pour les administrations et leurs co-contractants, cette fiche technique permet de :
traduire la terminologie du RGPD en vocable marchés publics : le « responsable du traitement » est l'acheteur public, et le « sous-traitant » le titulaire du marché public ;
. sensibiliser à la logique de responsabilisation de l'ensemble des organismes traitant des données personnelles (nécessité de mettre en place une gouvernance des données personnelles, suppression totale des déclarations, caractère résiduel du régime d'autorisation,) ;
. rappeler l'obligation d'intégrer dans tous les marchés publics les clauses obligatoires prévues par le règlement (article 28), avec un renvoi au modèle de clauses proposé par la CNIL dans son « Guide du sous-traitant » ;
. préciser les modalités de délivrance, par l'acheteur public, d'une autorisation préalable, spécifique ou générale, pour le recours, par l'attributaire/le soumissionnaire, à un sous-traitant chargé de traiter des données personnelles (un exemple de clause pouvant être insérée dans le cahier des charges du contrat pour délivrer une autorisation écrite générale est proposé) ;
. d'attirer l'attention des acheteurs faisant de l'achat mutualisé sur la nécessité, en cas de « responsables conjoints du traitement » (appréciation à réaliser au cas par cas), de définir de façon transparente et par voie d'accord leurs obligations respectives, notamment en ce qui concerne l'exercice des droits des personnes dont les données seront traitées.
Dans un deuxième temps, à l'occasion de l'actualisation globale des CCAG en 2019 (intégration des nouvelles ordonnances les concernant en particulier), ses dispositions relatives à la protection des données seront mises à jour. Il s'agira, en particulier, de tenir compte de l'élargissement par le RGPD du champ des obligations des sous-traitants, qui ne se limitent plus à la préservation de l'intégrité et de la confidentialité des données, ainsi que l'attribution d'une responsabilité spécifique à ces derniers en cas de non-respect de leurs obligations propres.