L’exécution des marchés publics est impactée par le règlement général sur la protection des données (RGPD). D’ailleurs, les nouveaux CCAG 2021 procèdent à une actualisation pour tenir compte des règles introduites par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Néanmoins, à chaque fois que le marché a en tout ou partie pour objet un traitement de données personnelles, il est nécessaire, pour l’acheteur, de procéder en amont de la rédaction des documents du marché à une réflexion sur l’étendue des données traitées, les finalités du traitement et les responsabilités partagées entre l’acheteur et le prestataire. Pour accompagner les professionnels dans l’identification de leurs responsabilités, la Cnil publie un guide comportant des précisions sur les critères légaux à prendre en compte, les différentes qualifications pouvant être retenues en fonction de l’objet des contrats et de la nature des traitements qu’ils impliquent, ainsi que sur les conséquences à en tirer lors de la rédaction des documents contractuels. Le guide clarifie les conséquences juridiques à tirer de la qualification de « responsable du traitement », de « sous-traitant » ou « responsable conjoint ».
Déterminer contractuellement l’acteur qui a initié le traitement des données
Les administrations confient à des opérateurs économiques la mission de répondre à leurs besoins en matière de travaux, fournitures et services au travers de à la conclusion de marchés publics et de contrats de concession définis et régis par le Code de la commande publique. La question de savoir qui doit veiller au respect des règles en matière de protection des données personnelles revêt une grande importance en raison du risque juridique et d’image s’attachant au non-respect des obligations légales. Selon le RGPD, toute entité qui a déterminé, seule ou conjointement avec une/des autre(s), les objectifs (finalité) et les moyens du traitement en est responsable : elle est, dans ce cas, comptable du respect de l’ensemble des principes protecteurs de la réglementation. Autrement dit, toute entité qui a décidé du « pourquoi », ainsi que du « comment » les données seront traitées est responsable. Pour autant, les dispositions de droit commun du Code de la commande publique (CCP) restent silencieuses sur la question des responsabilités RGPD des parties au contrat. Une analyse contextuelle s’impose dans la plupart des cas. Elle doit être réalisée traitement par traitement, c’est-à-dire pour chacun des traitements ayant vocation à intervenir dans le cadre de l’exécution du contrat. La qualification des acteurs a des conséquences juridiques qui doivent être définies dans le contrat (identification des obligations, partage des responsabilités s’il y a lieu). Il est donc essentiel que cette réflexion soit menée en amont de la conclusion des marchés et concessions.
L’administration est responsable du traitement lorsque certaines conditions sont remplies
L’administration ne peut être considérée comme responsable d’un traitement de données personnelles réalisé par l’opérateur économique dans le cadre de l’exécution du marché ou de la concession que si elle s’est spécifiquement intéressée à ses objectifs et conditions de mise en œuvre. Le fait que le contrat soit signé pour répondre à un besoin d’une administration, et soit ensuite exécuté sous le contrôle de celle-ci, a logiquement pour effet qu’on pourra bien souvent considérer que l’opérateur économique met en œuvre « un traitement pour le compte du responsable du traitement » qu’est l’administration en question. Cependant, cette circonstance ne permet pas, à elle seule, de qualifier en toute hypothèse l’administration de « responsable du traitement. Les prestataires, qui traitent de telles données pour satisfaire les contrats les liant à leurs clients, ne sont pas nécessairement des « sous-traitants » au sens du RGPD : ils sont parfois pleinement responsables des traitements qu’ils mettent en œuvre pour offrir leurs services à un client. C’est la nature du service sollicité dans le marché ou la concession et le fait que les principales composantes d’un ou plusieurs traitements de données y ont été encadrées qui vont déterminer si les opérations de traitement en cause ont été suffisamment décidées par l’administration et relèvent, à ce titre, de sa responsabilité. La décision de cette dernière doit avoir porté non seulement sur la finalité du traitement (ce qui est généralement le cas puisqu’il est lié à l’objet du marché) mais aussi sur ses « moyens essentiels » : quelles personnes et données concernées, quelle durée de conservation, quels destinataires ?
En pratique, l’administration pourra être qualifiée de « responsable de traitement » lorsque l’objet même du contrat est la mise en œuvre d’un traitement de données. L’administration est également responsable si elle a initialement exigé, le déploiement du traitement ou encore si elle a porté une attention particulière aux objectifs et conditions de traitement des données personnelles, en validant celles proposées par l’opérateur économique. Lorsqu’il apparaît qu’aucune responsabilité RGPD ne peut être attribuée à l’administration, l’opérateur économique aura nécessairement la qualité de seul responsable du traitement de données.
En résumé, le choix du prestataire doit s’accompagner d’une clarification du statut des acteurs au regard des règles de la protection des données personnelles, afin d’en tirer les conséquences contractuelles.
Source : La responsabilité des acteurs dans la commande publique, Guide de la Cnil, juin 2022
