Analyse des spécialistes / Acheteur public

Le nouveau RGPD et ses incidences sur les marchés et plus précisément sur les acheteurs publics

Publié le 9 juillet 2018 à 16h17 - par

Le règlement général sur la protection des données (RGPD – n° 2016/679), ou « RGPD », est entré en application le 25 mai 2018 dans l’ensemble de l’Union européenne.

En France, une loi visant à adapter la loi “Informatique et libertés” du 6 janvier 1978 au RGPD dite, « loi Cnil 3 », a été promulguée le 20 juin 2018, après avoir été validée par le conseil constitutionnel le 12 juin 2018. Cette nouvelle réglementation vise à inciter chaque organisme, public ou privé, à veiller à une meilleure protection des données personnelles des citoyens.

Obligations. En leur qualité de responsables de traitement, il en découle pour les acheteurs publics1, de nouvelles obligations qu’il leur appartient de respecter et ce afin d’éviter les lourdes sanctions auxquelles ils peuvent s’exposer.

Rappelons à ce titre que l’article 45 de loi Cnil 3 permet désormais à la Commission nationale de l’informatique et des libertés (« Cnil ») de prononcer des amendes administratives pouvant aller de 10 à 20 millions d’euros et que seul l’État est exempté de ces sanctions.

Les obligations des acheteurs publics en leur qualité de responsable de traitement ne sont pas différentes de celles incombant aux acteurs privés, sauf en ce qui concerne la désignation d’un délégué à la protection des données personnelles qui, aux termes de l’article 37.1.a du RGPD est obligatoire pour toute autorité publique ou organisme public traitant des données personnelles.

Outre la désignation d’un délégué à la protection des données (qui pourra se faire par le biais d’un marché public de services), qui n’est pas commentée dans le présent article, les acheteurs publics devront ainsi assurer :

  • La tenue d’un registre de traitement (article 30 du RGPD) ;
  • La mise en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (article 32 du RGPD) ;
  • La conduite d’études d’impact si nécessaire (article 35 du RGPD) ;
  • La mise en place de mesures techniques et organisationnelles destinées à garantir l’effectivité des droits garantis par le RGPD aux articles 12 à 22 (droit d’accès, rectification, modification, opposition…) ;
  • La notification à la Cnil dans les 72 heures des cas de violation des données à caractère personnel (article 33 du RGPD) et la communication de cette violation aux personnes concernées dans les meilleurs délais en cas de risque élevé pour les personnes concernées (article 34 du RGPD).

Marché public et RGPD. Étant responsable vis-à-vis des personnes dont les données sont collectées, les organismes publics devront donc faire preuve d’une vigilance particulière dans le choix du sous-traitant qui sera amené à traiter les données personnelles des administrés pour leur compte.

Sous-traitant. À titre liminaire, la notion de sous-traitant au sens du RGPD ne doit pas être confondue avec celle de sous-traitant au sens de la loi n° 75-1334 du 31 décembre 1975 relative à la sous-traitance. La loi de 1975 définit la sous-traitance comme étant une opération par laquelle un entrepreneur confie par un sous-traité, et sous sa responsabilité, à une autre personne appelée sous-traitant l’exécution de tout ou partie du contrat d’entreprise ou d’une partie du marché public conclu avec le maître d’ouvrage (article 1er).

Pour le RGPD, le sous-traitant est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement (article 4 du RGPD).

Dès lors, les titulaires de marchés publics peuvent, alors qu’ils sont considérés comme entrepreneurs vis-à-vis des acheteurs publics au regard de la loi de 1975, être considérés comme des sous-traitants vis-à-vis de l’acheteur public au regard du RGPD dans le cadre de l’exécution du marché public. C’est le cas par exemple dans le cadre de marchés publics passés avec des titulaires traitant des données personnelles pour des finalités et selon des moyens déterminés par l’acheteur public.

Passation du marché public. De manière générale, l’intervention d’un sous-traitant suppose la passation d’un contrat ou d’un autre acte juridique entre le responsable du traitement et le sous-traitant.

Dans le cadre d’un marché public dont l’exécution suppose que le titulaire traite des données à caractère personnel pour le compte de l’acheteur public en tant que sous-traitant de ce dernier, le marché public qui lie l’acheteur public au titulaire devra donc également faire office de contrat entre le responsable de traitement et le sous-traitant au regard du RGPD.

Le cas échéant, l’acheteur public pourra instaurer des critères et exigences au stade de la sélection des candidatures afin de s’assurer de la capacité technique du futur titulaire du marché pour traiter les données personnelles (ex : les candidats auront dans certains cas l’obligation de désigner un délégué à la protection des données ainsi que l’obligation de tenir un registre).

Contenu du marché public. La question est dès lors de savoir ce que l’acheteur public doit inclure dans les clauses contractuelles qu’il sera amené à rédiger.

Le marché public (et plus particulièrement le cahier des clauses administratives particulières ou le cahier des clauses techniques particulières) devra contenir des principes permettant de veiller à ce que le sous-traitant mette en œuvre des mesures techniques et organisationnelles appropriées afin que le traitement réponde aux exigences du RGPD et garantisse la protection des droits des personnes concernées.

L’acheteur public devra ainsi insérer des clauses visant à :

  • Informer le sous-traitant de la nature de la finalité du traitement, du type de données à caractère personnel et des catégories de personnes concernées par les données à caractère personnel concernées par le marché ;
  • Déterminer les mesures techniques et organisationnelles de sécurité et de confidentialité mises en œuvre ;
  • Prévoir une obligation de notification sans délai de tout incident sur des données à caractère personnel ;
  • Prévoir une obligation de faire agréer par l’acheteur public tout sous-traitant de second rang (au regard du RGPD) ;
  • Prévoir une obligation de conseil et d’assistance (techniques et/ou opérationnels) du sous-traitant ;
  • Prévoir une obligation de fournir les éléments de preuves de conformité au règlement européen (notamment par le biais de code de conduite ou de mécanisme de certification adopté par le sous-traitant) ;
  • Prévoir une obligation de ne traiter les données que sur instruction de l’acheteur public ;
  • Prévoir une obligation de détruire ou renvoyer sans copie toutes les données personnelles soumises au traitement ;
  • Prévoir les sanctions en cas de non-respect des dispositions liées à la protection des données personnelles.

En outre, l’acheteur public devra veiller à ce qu’en sa qualité de sous-traitant, le titulaire respecte ses propres obligations au regard du RGPD.

Sanction. En cas de non-respect du RGPD, l’acheteur public et le sous-traitant encourront chacun au titre de leur manquement respectif une amende administrative, étant précisé qu’ils seront solidairement responsables du dommage causé par le traitement vis-à-vis de la personne concernée.

Dès lors, le marché public devra contenir des sanctions contractuelles spécifiquement liées au non-respect par le titulaire de ses obligations RGPD, telles que des pénalités et/ou la possibilité de résilier unilatéralement le marché pour faute du titulaire.

Sébastien Pinot Avocat associé et Élise Dufour Of counsel chez Bignon Lebray


Notes :

1. Les acheteurs publics ou privés sont les pouvoirs adjudicateurs et les entités adjudicatrices définis respectivement aux articles 10 et 11 de l’ordonnance n° 2015-899 du 23 juillet 2015 (Article 9).

Auteurs :

Élise Dufour

Élise Dufour

Of counsel chez Bignon Lebray

Spécialiste en droit des nouvelles technologies, Élise Dufour accompagne une clientèle française et internationale dans leurs projets numériques (droit de l’informatique, droit des données personnelles, droit du commerce électronique).
Sébastien Pinot

Sébastien Pinot

Avocat associé chez Bignon Lebray

Avocat spécialisé en droit public des affaires depuis plus de 15 ans, Sébastien Pinot a passé plusieurs années au sein du département Droit public/Financement de projets de Linklaters, et a intégré le bureau parisien de Bignon Lebray en février 2010 pour renforcer le Département Droit public et de l’environnement.