Droit des données
le 23/05/2024
Inès MARCENATInès MARCENAT

Commande publique et RGPD : quelle responsabilité pour quel acteur ?

CNIL, Guide - la responsabilité des acteurs dans le cadre de la commande publique

Lorsque les administrations concluent des marchés publics et des contrats de concession, les cocontractants sont amenés à mettre en œuvre des traitements de données à caractère personnel, en particulier des données relatives au personnel ou aux usagers du service public.  Ces traitements de données doivent nécessairement respecter les exigences posées par le Règlement Général sur la Protection des Données RGPD (ci-après « RGPD »).

En juin 2022, la CNIL a alors publié un guide pratique intitulé « la responsabilité des acteurs dans le cadre de la commande publique » pour accompagner les professionnels concernés à identifier leurs responsabilités. La Commission précise tout d’abord que la qualification des acteurs (responsable de traitement, sous-traitant, responsable conjoint) doit intervenir le plus tôt possible. Pour cela, il est nécessaire d’analyser le contexte contractuel, et de se demander quelle est l’entité qui a initié et organisé le traitement. La qualité retenue pour chaque acteur a une incidente sur la nature et l’étendue de ses responsabilités au regard des données traitées, et ainsi, sur les clauses relatives à la protection des données qui doivent être insérées au contrat.

A titre d’illustration, si l’administration est qualifiée de responsable de traitement, elle devra – après avoir déterminé les finalités de traitement des données et leur durée de conservation – mettre en œuvre les mesures techniques et organisationnelles appropriées pour circonscrire tout risque de violation de données.

Si l’opérateur économique revêt quant à lui la qualité de sous-traitant, l’ensemble des clauses prévues à l’article 28 du RGPD devra figurer dans le contrat, à savoir :

  • L’interdiction pour l’opérateur économique de recruter un autre sous-traitant sans l’accord écrit préalable de l’administration ;
  • L’obligation pour l’opérateur économique de ne traiter les données personnelles que sur instruction documentée de l’administration ;
  • L’obligation pour l’opérateur économique de prendre toutes les mesures pour veiller à la sécurité du traitement.

Le guide publié par la CNIL fournit alors aux administrations et aux opérateurs économiques de nombreux indices pour arriver à déterminer les qualités et responsabilités de chacun.