Quels sont les prérequis à respecter ?
Depuis le 25 mai 2018, le RGPD est applicable à tous les contrats de la commande publique, et ce quelle que soit la nature et le montant du marché. Ainsi, tous les marchés publics comportant des traitements de données à caractère personnel dont la procédure a été lancée depuis le 25 mai 2018 doivent contenir des clauses relatives aux traitements de données à caractère personnel en cas de sous-traitance au titulaire du marché.
Il est donc impératif de respecter le RGPD si vous répondez à un marché public grâce à un portail d’appel d’offre comme France Marchés.
Conformément à l’article 28, § 1er, du RGPD, l’adjudicateur (responsable du traitement) doit uniquement faire appel à des adjudicataires (sous-traitants) qui présentent des garanties suffisantes, de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protections des droits de la personne concernée.
En application de l’alinéa 2 de l’article 28 du RGPD4, l’acheteur doit ainsi donner son autorisation écrite au recrutement d’un sous-traitant lorsque ce dernier est chargé de traitements de données à caractère personnel.
Le formulaire DC4 (formulaire de sous-traitance) a donc été mis à jour dans ce sens mais n’est pas suffisant puisqu’il doit s’accompagner d’un contrat relatif au traitement de données qui lie l’adjudicataire (sous-traitant) à l’égard de l’adjudicateur (responsable du traitement).
En cas de violation de données à caractère personnel, le responsable de traitement doit notifier la violation concernée à l’autorité de contrôle compétente dans les meilleurs délais, et si possible, 72 heures au plus tard après en avoir pris connaissance.
L’adjudicateur (responsable du traitement) peut s’exposer à une amende pouvant atteindre 20 millions d’euros ou 4% du chiffre annuel mondial de l’entreprise en cas de non respect du RGPD.
La réforme des CCAG renforce la protection des données personnelles
Bien qu’il existait déjà un article concernant les CCAG et la protection des données à caractère personnel, son contenu n’était plus au goût du jour. Celui-ci demandait simplement aux acheteurs publics de respecter la réglementation, d’avenanter les marchés publics en cas de modification de la réglementation et de bien réaliser les déclarations préalables auprès de la CNIL.
En vigueur depuis le 1er avril 2021, les nouveaux CCAG donnent plus de précisions sur la protection des données personnelles. A savoir que les acheteurs publics peuvent continuer à se baser les anciens CCAG jusqu’au 30 septembre 2021.
Quels changements ?
- L’article 5.2.1 des CCAG rappelle que toute transmission de données à des tiers, y compris pour des entités établies hors de l’Union européenne, qui ne serait pas strictement conforme à la réglementation en vigueur est formellement interdite.
- Les CCAG mentionnent que l’acheteur est « responsable de traitement » dans la mesure où il détermine les finalités et les moyens du traitement des données, tandis que le titulaire est généralement « sous-traitant » au sens du RGPD en tant que personne traitant des données personnelles pour le compte de l’acheteur.
- L’article 5.2.3 précise les informations essentielles à mentionner sur les documents particuliers du marché afin que le traitement réponde aux exigences du RGPD. Nous pouvons notamment retrouver la finalité et la durée du traitement, les obligations de l’acheteur et du titulaire du marché ou encore le sort des données à la fin de l’exécution du marché.
- Les CCAG rappellent également que le marché peut être résilié en cas de manquement par le titulaire ou son sous-traitant concernant les obligations légales et contractuelles relatives à la protection des données personnelles.
Si le RGPD peut paraître complexe, il est néanmoins impératif de se former sur le sujet au risque de s’exposer à des sanctions lourdes en cas de non-respect. Alors, profitez de la période plus calme de l’été pour vous mettre à jour si ce n’est pas déjà fait !