Dans une note publiée le 25 octobre 2018 [1], la Direction des Affaires Juridiques (DAJ) précise les modalités d’application du Règlement Européen sur la Protection des données [2] dans le cadre des marchés publics.
Ce règlement est entré en application le 25 mai 2018 et fixe la législation applicable en matière de protection des données personnelles. La France a pris en compte ce texte européen en adaptant la loi « informatique et libertés » du 6 janvier 1978 par une loi du 20 juin 2018 [1].
La communication faite par le Ministère de l’Economie est intéressante à plusieurs titres. Tout d’abord, elle rappelle que le Règlement Général sur la Protection des Données s’applique dès lors que la prestation comprend des données personnelles ou réalise un traitement de données personnelles.
Selon l’article 4.1 du RGPD, une donnée personnelle est « toute information se rapportant à une personne physique identifiée ou identifiable ». Le traitement est, quant à lui, « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».
Ainsi, le spectre du règlement européen et la notion de données personnelles doivent être comprises de manière très large. Par ailleurs, tout organisme public est concerné, quelles que soient son activité et sa taille.
La fiche technique de Bercy précise ensuite la terminologie du RGPD pour la rendre compatible au droit de la commande publique. En effet, le règlement européen mentionne les termes de responsables du traitement (art. 4.7), de sous-traitant (art.4.8), et de sous-traitant du sous-traitant (art. 28.2). Néanmoins, ces termes n’ont pas les mêmes définitions en marchés publics, ce qui peut engendrer des erreurs et difficultés d’interprétation. Le tableau ci-dessous reprend les terminologies utilisées par le RGPD et leur correspondance dans le cadre de la commande publique :
Responsables du traitement >>> Acheteur
Sous-traitant >>> Titulaire
Sous-traitant du sous-traitant >>> Sous-traitant
S’agissant de l’application du RGPD, la fiche technique de la DAF rappelle que la RGPD s’applique pleinement pour tous les contrats conclus après le 25 mai 2018.
Pour ceux signés avant le 25 mai 2018, dès lors que l’acheteur fait référence à un des cinq Cahiers des Clauses Administratives Générales [4], il convient de se référer à leur article 5.2.2 qui prévoit qu’en « cas d’évolution de la législation sur la protection des données à caractère personnel en cours d’exécution du marché, les modifications éventuelles, demandées par le pouvoir adjudicateur afin de se conformer aux règles nouvelles, donnent lieu à la signature d’un avenant par les parties au marché. »
En l’absence de référence à un CCAG, Bercy recommande de conclure un avenant pour prendre en compte les évolutions liées au RGPD.
La rédaction des clauses relatives au RGPD doit prendre en compte les principes directeurs du règlement mais aussi les particularités de chaque marché (sous-traitance fonctionnelle ou technique, présence de données sensibles) et le contexte dans lequel les clauses s’appliqueront. De manière générale, une discussion entre les parties sera nécessaire afin de clarifier la qualité et les responsabilités de chacune.
Ainsi, dans le cadre de la rédaction d’un Cahier des Clauses Administratives Particulières (CCAP), l’acheteur devra ajouter différentes clauses relatives aux données personnelles et notamment :
L’intérêt de ces clauses est de permettre d’identifier les points de criticité relatifs aux données personnelles et d’établir les responsabilités pour chacune des parties. Le contenu doit être adapté en fonction de la nature de chaque opération et de l’importance des données personnelles dans celle-ci.
Pratiquement, ces différents éléments peuvent être intégrés au sein du CCAP ou faire l’objet d’une annexe particulière.
L’entrée en vigueur du RGPD ne bouleverse pas, à priori, le droit de la commande publique. Néanmoins, il convient d’être vigilant quant au respect de son application puisqu’une non-conformité pourrait engager la responsabilité de la personne publique dès lors que le dommage subi est imputable au non-respect des dispositions sur la protection des données personnelles. Cette responsabilité peut aussi s’appliquer au sous-traitant ainsi qu’au sous-traitant du sous-traitant.
Enfin, la CNIL, autorité administrative de contrôle, peut prononcer à l’égard d’une personne publique une sanction administrative pouvant aller jusqu’à 20 millions d’euros.
Au delà du risque de sanctions, la prise en compte du RGPD permet aux personnes publiques d’engager une dynamique vertueuse de protection des données personnelles.
Elle servira également à renforcer la confiance et la transparence envers les usagers.
[1] L’impact du RGPD sur le droit de la commande publique, DAJ, Mise à jour le 25 octobre 2018.
[2] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l’intérêt pour l’EEE), disponible à l’adresse http://data.europa.eu/eli/reg/2016/679/oj
[3] Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles.
[4] Les Cahiers des clauses administratives générales concernent les marchés de fournitures courantes et services, les marchés publics de prestations intellectuelles, les marchés publics de travaux, les marchés publics industriels et les marchés publics de techniques de l’information et de la communication.