le 19/09/2018

Protection des données personnelles et commande publique

La réforme du droit des données personnelles a pour effet de contraindre l’ensemble des collectivités locales à mettre en place des mesures techniques et organisationnelles permettant de garantir l’effectivité de l’ensemble des droits garantis par les articles 12 à 22 du RGPD mais aussi à tenir un registre des activités de traitement effectuées sous leur responsabilité (article 30 du RGPD).

En effet, étant amenés à procéder à des traitements de données à caractère personnel, les collectivités territoriales et leurs établissements publics sont qualifiés de responsable de traitement, lequel est défini par l’article 4 du RGPD comme étant « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».

Dans ce contexte, les acheteurs publics doivent s’assurer, notamment, que l’exécution de leurs marchés publics et de leurs contrats de concession respecte l’ensemble des règles prévues par le RGPD et la loi CNIL.

Précisons que les obligations en matière de protection des données personnelles et donc les clauses visant à assurer leur respect dans le cadre de ces contrats dépendront des missions confiées au co-contractant et donc de la qualification de celui-ci – qualification qui ne peut être effectuée qu’à partir d’un faisceau d’indices – de responsable du traitement, de coresponsable du traitement, de sous-traitant ou, enfin, de destinataire tiers, au sens du RGPD.

Le cas d’un co-contractant ayant la qualité de coresponsable du traitement

Le coresponsable du traitement correspond, au sens du RGPD, au cas où « deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d’accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l’accord ».

Il y a donc coresponsabilité en cas d’interdépendance de moyens ou de décision sur le traitement, soit lorsqu’une des entités ne peut décider seule des finalités et caractéristiques du traitement ou et/ou a besoin des moyens de l’autre pour le mettre en œuvre.

Dans cette hypothèse, une contractualisation spécifique pourrait être envisagée via une clause ou un contrat distinct sur la répartition des rôles et des responsabilités à l’égard du traitement, sauf par exemple à ce qu’une telle répartition soit issue d’un texte réglementaire.

Le cas d’un co-contractant ayant la qualité de sous-traitant au sens du RGPD

Le statut de sous-traitant au sens du RGPD et de la loi CNIL ne correspond pas à la notion de sous-traitant donnée par la loi n° 75-1334 du 31 décembre 1975.

En effet, alors que la sous-traitance est, aux termes de l’article 1 de la loi du 31 décembre 1975, une opération par laquelle un entrepreneur confie l’exécution de tout ou partie du contrat d’entreprises dont il est titulaire à un tiers dénommé sous-traitant, l’article 4 du RGPD qualifie quant à lui de sous-traitant « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement ».

Un co-contractant peut être identifié comme sous-traitant lorsque sont réunis les éléments suivants :

  • instructions écrites émanant de l’acheteur public dans le contrat ou hors contrat au cours de l’exécution de la prestation relative aux mesures de sécurité ou aux modalités d’un traitement ;
  • absence d’autonomie du co-contractant dans la définition des finalités et des moyens du traitement ;
  • contrôle effectué par l’acheteur public sur les opérations de traitement.

C’est essentiellement dans ce cas que les acheteurs et les autorités concédantes devront faire preuve d’une attention particulière dans la rédaction des clauses relatives, d’une part, aux obligations en matière de protection des données à caractère personnel incombant à chaque partie et, d’autre part, aux sanctions applicables en cas de manquement à ces obligations (pénalités et/ou résiliation du contrat pour faute du titulaire).

Pour ce faire, les acheteurs et autorités concédantes pourront s’adjoindre l’expertise d’un avocat, d’autant que si la CNIL a édité un guide du sous-traitant à l’automne 2017, celui-ci ne saurait suffire, à lui seul, à régir la pluralité des relations contractuelles pouvant être initiées par un acheteur ou une autorité concédante.

Enfin, précisons que les acheteurs et les autorités concédantes doivent veiller à modifier, par le biais d’avenants, leurs marchés publics et leurs contrats de concessions en cours d’exécution – y compris, le cas échéant, les règlements des services publics –, afin d’assurer leur mise en conformité avec le nouveau régime de protection des données à caractère personnel.

Relevons d’ailleurs que les acheteurs sont contractuellement tenus de le faire pour leurs marchés faisant référence aux cahiers des clauses administratives générales (ci-après, « CCAG ») applicables aux marchés de travaux (ci-après, « CCAG-Travaux »), aux marchés de prestations intellectuelles (ci-après, « CCAG-PI »), aux marchés de fournitures courantes et de services (ci-après, « CCAG-FCS ») et aux marchés publics industriels (ci-après, « CCAG-MI »), ces CCAG stipulant tous en leur article 5.2.2 qu’en « cas d’évolution de la législation sur la protection des données à caractère personnel en cours d’exécution du marché, les modifications éventuelles demandées par le pouvoir adjudicateur afin de se conformer aux règles nouvelles donnent lieu à la signature d’un avenant par les parties au marché ».

Par ailleurs, s’agissant de la passation de leurs marchés publics et de leurs contrats de concession faisant intervenir un traitement de données à caractère personnel, les acheteurs et les autorités concédantes pourront bien évidemment définir et utiliser des critères de sélection des offres qui permettent de prendre en compte la manière dont les soumissionnaires proposent d’assurer la conformité du contrat aux dispositions du RGPD et de la loi CNIL.

Pour ce faire, les acheteurs publics pourront légitimement recourir au sourcing, autorisé par l’article 4 du décret n° 2016-360 du 25 mars 2016, afin de mieux définir les conditions de passation et donc les critères de sélection des offres ainsi que les conditions d’exécution des contrats de la commande publique portant sur des prestations de traitement de données à caractère personnels ou faisant intervenir, dans le cadre de leur exécution, un tel traitement.

En conclusion, la réforme de la protection des données à caractère personnel, basée sur une responsabilisation de l’ensemble des acteurs, conduit nécessairement les acheteurs publics et les autorités concédantes à prévoir, dans tous leurs contrats faisant intervenir un traitement de données à caractère personnel, des conditions de passation et surtout d’exécution qui permettent d’assurer une conformité aux dispositions du RGPD et de la loi CNIL.

Le cas d’un co-contractant ayant la qualité de tiers au sens du RGPD

Un tiers est défini par le RGPD comme « une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel ».

A notre sens, le statut de tiers peut concerner les co-contractants qui sont seulement conduits à recevoir un fichier de données à caractère personnel, de façon très accessoire à la mission pour laquelle ils ont contractualisé avec l’acheteur public ou l’autorité concédante. Ce statut peut être régulièrement formalisé par une inscription du co-contractant, en qualité de destinataire du traitement, au registre de l’acheteur ou de l’autorité concédante.

Dans une telle situation, il pourra être utile de prévoir une clause stipulant de manière assez générique que le co-contractant doit assurer la confidentialité et la sécurité des données à caractère personnel qui lui sont communiquées et qu’il ne peut les utiliser pour une finalité autre que l’exécution du contrat.