Le « RGPD », applicable à tous les marchés publics ?
Le « RGPD », de quoi s’agit-il ?
Le RGPD -règlement général sur la protection des données- est un règlement européen adopté en 2016 en vue de renforcer la protection des données à caractère personnel des personnes physiques sur le territoire de l’Union européenne.
Le RGPD octroie une série de droits aux personnes dont les données à caractère personnel sont utilisées et instaure un cadre à respecter par les tiers qui traitent celles-ci. Les tiers sont, selon les cas, qualifiés de responsables de traitement ou de sous-traitants, avec des obligations spécifiques pour chacun d’eux.
Il s’applique à tous les contrats pour lesquels un « responsable de traitement » (1) confie à un « sous-traitant » (2) la gestion d’un ou de plusieurs « traitement (s)» (3) de « données à caractère personnel » (4) (lexique en fin d’actu).
Des sanctions sont prévues par le RGPD en cas de non-respect de celui-ci.
Le RGPD s’applique-t-il aux marchés publics ?
Oui, de même qu’aux contrats de concession. En théorie, le RGPD n’exclut aucun type de marché -travaux /services / fournitures- de son champ d’application.
Il ne prévoit aucun seuil spécifique d’application qui conditionnerait sa mise en œuvre. Le RGPD peut donc s’appliquer même à un marché de faible montant, dès que les conditions reprises ci-dessous sont réunies.
Dois-je intégrer des clauses « RGPD » à tous mes marchés ?
Non pas systématiquement. Ce sera le cas seulement si l’exécution de votre marché implique :
- la gestion, par l’adjudicataire (= sous-traitant au sens du RGPD),
- à titre principal (objet même du marché) ou accessoire (simple conséquence de l’exécution du marché),
- d’un ou de plusieurs traitements de données à caractère personnel,
- pour le compte et selon les instructions du pouvoir adjudicateur (= responsable de traitement au sens du RGPD).
Un simple transfert de données à caractère personnel, par le PA, dans le cadre de la procédure de passation -transmission des coordonnées du fonctionnaire dirigeant ou du point de contact par exemple- ne nécessite pas d’insérer de clauses contractuelles à caractère contraignant pour l’adjudicataire.
- Les marchés de services sont les plus susceptibles d’être soumis au RGPD.
Exemples : « Externalisation d’impressions (si présence de données à caractère personnel), services de call center, désignation de chasseurs de têtes, services d’huissiers, services d’hébergement (cloud), destruction d’archives, services de consultance impliquant l’accès à des données à caractère personnel , création d’applications informatiques contenant des données à caractère personnel ou des données sensibles (gestion des ressources humaines, données médicales, données de contact (ex : marché “tracing Covid 19”)), etc… ».
- Les marchés de fournitures sont rarement concernés par le RGPD.
Vous devrez toutefois appliquer le RGPD et rédiger des clauses adaptées si un marché public qualifié de marché de fournitures inclus également des prestations de services comprenant un tel traitement.
Exemples : « achat/location de logiciels, de caméras avec collectes d’images ou de données, d’appareils connectés à un réseau tels que des imprimantes connectées ou un système de pointage, etc… ».
- Les marchés -exclusivement- de travaux ne sont en principe pas concernés par la mise en œuvre du RGPD (hors hypothèses de marchés “mixtes” contenant différents types de prestations).
Attention, pour rappel, la présente actu a pour vocation de dresser les grandes lignes en la matière. Cela ne dispense pas d’une analyse au cas par cas selon l’objet de votre marché de travaux/services/fournitures. |
Quelles informations reprendre dans ma clause « RGPD » ?
Principalement celles concernant la durée, la nature et les finalités du (des) traitement(s), les types de données à caractère personnel collectées et les catégories de personnes concernées, les droits et obligations du (des) responsable(s) de traitement et du (des) sous-traitant(s) “RGPD”.
Des clauses-types vont seront proposées prochainement.
Lexique : (1) Responsable de traitement : personne physique ou morale qui détermine les finalités et les moyens (essentiels) du traitement, c-à-d qui prend toutes les décisions importantes concernant les opérations de traitement. (2) Sous-traitant : tiers qui agit pour le compte du responsable du traitement et qui suit ses instructions concernant le traitement des données à caractère personnel. (3) Traitement : toute opération ou ensemble d’opérations -automatisées ou non- effectuées sur des données à caractère personnel (collecte, enregistrement, organisation, conservation, adaptation ou modification, extraction, consultation, utilisation, communication, mise à disposition, limitation, effacement ou destruction, etc…). (4) Données à caractère personnel : informations se rapportant à une personne vivante identifiée ou identifiable. Est réputée être une « personne physique identifiable » celle qui peut être identifiée, directement ou indirectement, notamment par référence à un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Réglementation applicable (avec une attention particulière à réserver à l’article 28 §3 de celle-ci): législation européenne RGPD
|