Il faut adapter ses marchés à la réglementation générale sur la protection des données personnelles

Publié le 2 novembre 2018 à 10h47 - par

La réglementation générale sur la protection des données personnelles issue du règlement européen n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel est entrée en vigueur le 25 mai 2018. Ce dispositif a des incidences sur la rédaction des marchés à conclure et sur les marchés en cours d’exécution dès lors que ces derniers comprennent une prestation mettant en œuvre un traitement de données à caractère personnel.

Il faut adapter ses marchés à la réglementation générale sur la protection des données personnelles

Une fiche conseil aux acheteurs du ministère de l’Économie fait le point sur la nécessité pour les acheteurs d’introduire des clauses spécifiques dans les contrats et de procéder à la modification des marchés en cours par voie d’avenant.

Prévoir des clauses spécifiques dans la rédaction de ses marchés

L’acheteur est le responsable du traitement des données au sens de la réglementation des données. Le titulaire du marché, dans une terminologie qui n’est pas celle de la réglementation des marchés, est considéré comme le sous-traitant qui traite des données à caractère personnel pour le compte du responsable du traitement. Selon Bercy, « tous les marchés publics comportant des traitements de données à caractère personnel dont la procédure a été lancée depuis le 25 mai 2018 doivent comporter des clauses relatives aux traitements de données à caractère personnel ». Pour aider les acheteurs dans la rédaction de clauses en fonction de l’objet du marché, la fiche conseil aux acheteurs renvoie au guide de la Commission nationale informatique et liberté (CNIL) intitulé « Guide du sous-traitant ».

L’impact du RGPD sur les marchés publics en cours d’exécution

Pour les marchés publics conclus avant le 25 mai 2018, les marchés publics donnant lieu à des traitements de données à caractère personnel doivent donner lieu à la passation d’un avenant, pour autant que l’acheteur ait visé un cahier des clauses administratives générales (CCAG) dans les pièces contractuelles.

Pour les marchés publics ne faisant pas référence à un CCAG, les dispositions issues du RGPD étant d’application immédiate (mesure d’ordre public) aux contrats en cours d’exécution, il est vivement recommandé de conclure des avenants afin de prendre en considération la nouvelle règlementation européenne.

Pour les marchés publics conclus depuis l’entrée en vigueur de la réforme du droit de la commande publique de mars 2016, ces avenants pourront être conclus sur le fondement du 5° de l’article 139 du décret n° 2016-360 du 25 mars 2016 lequel autorise la passation d’actes modificatifs lorsque les modifications, quel qu’en soit leur montant, ne sont pas substantielles.

Dominique Niay

Sources :

« L’impact du RGPD sur le droit de la commande publique », Fiche conseil aux acheteurs de la direction des Affaires juridiques du 25 octobre 2018

Guide du sous-traitant, CNIL, éditions septembre 2017