Dans un récent guide à destination des acteurs de la commande publique, la CNIL prodigue ses conseils afin d’identifier les obligations et responsabilités des parties au regard du RGPD.
Ce guide, intitulé « La responsabilité des acteurs dans le cadre de la commande publique », publié le 2 juin dernier, se donne pour objectif de clarifier les éléments à prendre en compte pour identifier les responsables du traitement des données et les conséquences juridiques à tirer de la qualification de « responsable du traitement », de « sous-traitant » ou « responsable conjoint ».
Ce guide se construit en trois temps :
L’analyse préalable du contexte contractuel pour déterminer le responsable du traitement
L’autorité administrative indépendante rappelle d’abord qu’une analyse au cas par cas s’impose pour chacun des traitements intervenants au cours de l’exécution du contrat en cause afin de déterminer le responsable du traitement des données.
Aussi, « un prestataire pourrait être seul ou conjointement responsable d’un traitement mis en œuvre dans le cadre de l’exécution d’un marché public ou contrat de concession, en raison de la liberté dont il jouit dans la définition de ses objectifs et conditions de mise en œuvre. S’il ne fait que se conformer aux directives de l’administration contractante, il n’est que « sous-traitant ». »
Également, ce n’est pas parce que l’administration fournit initialement les données au prestataire pour traitement qu’elle est nécessairement responsable de ce traitement.
Des responsabilités variables, liées à l’objet du contrat
La CNIL distingue trois situations, selon l’objet du contrat :
1- L’administration est responsable du traitement et l’opérateur économique sous-traitant dans le cas où le traitement de données constitue l’objet même ou l’un des éléments clés du contrat, qui le définit avec précision, dans ses objectifs et conditions de réalisation. L’opérateur économique n’a aucun intérêt propre et n’est tenu que par le strict cadre établi par l’administration pour le compte de laquelle les opérations sont réalisées.
2- L’opérateur économique est seul responsable du traitement des données dans le cas où l’administration ne s’est pas spécifiquement intéressée au traitement des données en cause et n’en a pas spécifiquement besoin. Le contrat ne régit pas le traitement des données, au contraire, l’opérateur économique définit librement les objectifs et conditions de sa mise en œuvre.
3- L’administration et l’opérateur économique sont conjointement responsables du traitement lorsque les objectifs et caractéristiques essentielles du traitement auront fait l’objet, en raison de l’intérêt qu’il revêt pour les deux parties, d’une co-construction entre elles. Ces derniers sont alors être qualifiés de « responsables conjoints du traitement ».
Les conséquences sur les contrats de l’identification du responsable du traitement des données
La troisième et dernière partie du guide s’attache à déterminer les conséquences juridiques à tirer, sur les contrats, de la qualification de « responsable du traitement », de « sous-traitant » ou « responsable conjoint ».
1- Lorsque l’opérateur économique est qualifié de sous-traitant, l’administration doit, avant de procéder à l’attribution du contrat, s’être bien assurée que l’opérateur économique présente des « garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées », assurant le respect des exigences du RGPD.
2- Lorsque l’opérateur est seul « responsable du traitement », l’administration n’est pas tenue par les obligations associées à cette qualité. La Cnil conseille néanmoins les personnes publiques de ne pas se déresponsabiliser complètement sur ces enjeux. Elle propose ainsi d’insérer dans les contrats « une clause générale pointant l’obligation pour l’opérateur économique de veiller au respect des règles en matière de protection des données pour les traitements effectués dans l’exécution de ses missions. »
3- En cas de responsabilité conjointe, les parties au contrat doivent déterminer, par voie d’accord, de façon claire, transparente, pragmatique et opérationnelle, leurs obligations respectives.
Besoin d’une information, d’un conseil juridique ?
Envie de rejoindre notre équipe ?
Pour recevoir les actualités relatives à nos expertises ou plus généralement à l’activité du cabinet.
