Marchés Publics & RGPD : comment se mettre en conformité ?

Le RGPD est un règlement de l’Union européenne qui constitue le texte de référence en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l’Union européenne. Ce règlement est applicable aux contrats de la commande publique dès lors que ces derniers comprennent une prestation mettant en œuvre un traitement de données à caractère personnel.

Les notions de « données à caractère personnel », « traitement », « fichier » sont définies au sein de l’article 4 du RGPD. Un traitement peut être constitué à partir du moment ou une simple « consultation » de données à caractère personnel intervient. Le responsable de traitement (art. 4.7 du RGPD) est l’acheteur et le sous-traitant (art. 4.8 du RGPD) est le titulaire du contrat.

Les critères à respecter

Pour faciliter votre mise en conformité avec le RGPD, vous pouvez, en tant qu’acheteur public, faire appel au délégué à la protection des données (DPO). Pensez également à respecter ces différents critères :

– La tenue d’un registre de traitement (article 30 du RGPD) ;
– La mise en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (article 32 du RGPD) ;
– La conduite d’études d’impact si nécessaire (article 35 du RGPD) ;
– La mise en place de mesures techniques et organisationnelles destinées à garantir l’effectivité des droits garantis par le RGPD aux articles 12 à 22 (droit d’accès, rectification, modification, opposition)
– La notification à la Cnil dans les 72 heures des cas de violation des données à caractère personnel (article 33 du RGPD) et la communication de cette violation aux personnes concernées dans les meilleurs délais en cas de risque élevé pour les personnes concernées (article 34 du RGPD).

Se poser les bonnes questions

De nombreuses questions et vérifications peuvent vous aider à respecter le RGPD lors de l’ensemble des étapes de votre marché public.

En amont : Dans un premier temps, lors de la définition du besoin, demandez-vous si votre marché met en œuvre des traitements de données à caractère personnel. Si oui, dans quel objectif et pour quelle durée ? Qu’allez-vous confier à votre titulaire et quelles sont vos obligations à son égard ?

Lors de la rédaction : Insérez des clauses relatives aux données personnelles au sein de votre cahier des charges telles que : les modalités de rédaction et de mise à jour du registre de traitement, les informations sur le stockage, la conservation et la portabilité des données, les obligations du sous-traitant vis à vis du responsable du traitement etc.

Lors de l’exécution : Assurez-vous que le RGPD a bien été respecté par votre titulaire.

En fin d’exécution : Vérifiez que les données collectées ont été traitées conformément aux clauses mentionnées au sein du contrat public (destruction, transmission etc).

Veillez donc à bien respecter le RGPD lorsque vous publiez vos marchés publics sur des portails d’appel d’offre comme France Marchés ou encore E-Marchés Publics afin de ne pas avoir de mauvaises surprises. En effet, en cas de non respect du règlement prévu par le RGPD, des amendes administratives pourront être appliquées par la CNIL et atteindre jusqu’à 20 millions d’euros.

Post author

Journaliste de formation, j'occupe actuellement la fonction de rédacteur au sein du réseau des sites Internet de services aux entreprises du groupe Libbre. Je peux justifier d'une expérience de six ans dans la presse quotidienne angevine au sein de trois quotidiens : la Nouvelle République, Ouest-France puis le journal majoritaire en Maine-et-Loire : le Courrier de l'Ouest (2007-2009).

Laisser une réponse