Espace client

La brève juridique n°52 13/11/2018

L'effet papillon du RGPD (Règlement Européen sur la Protection des Données).
Faisant suite à quatre années de négociations législatives, le règlement général sur la protection des données émerge du Parlement européen le 14 avril 2016. Bien que loin de s'apparenter à une "petite chose"…les "grandes conséquences" du renforcement et de l'unification de la protection des données des individus au sein de l'Union européenne déploie ses ailes au sein du droit de la commande publique.
Focus sur l'appréhension de ce texte majeur depuis ces dernières semaines.

▶Semaine 35 : Toilettage du formulaire DC4
▶Semaine 39 : Attention au "cumul des mandats" dans le cadre du RGPD
▶Semaine 43 : L’impact du RGPD sur la commande publique vu par la DAJ

Semaine 35 : Toilettage du formulaire DC4

Mardi 11 septembre, la DAJ publiait en fin de journée, sur son site, la dernière version du formulaire de déclaration de sous-traitance ainsi que sa notice explicative.
Cet imprimé standard du MINEFI tant apprécié des acheteurs a été mis à jour suite à l’entrée en vigueur du RGPD le 25 mai 2018.
En effet, conformément à son article 28, le « responsable du traitement » c’est-à-dire l’acheteur public, doit donner son autorisation « écrite préalable, spécifique ou générale », quant au traitement de ses données à caractère personnel par le titulaire et son sous-traitant dans le cadre de l’exécution du marché public.
Ainsi, l’ancienne rubrique « F – Nature et prix des prestations sous-traitées » a été relookée pour être scindée en deux parties. Désormais le formulaire comporte la rubrique F « Nature des prestations sous-traitées » et la rubrique G « Prix des prestations sous-traitées ».
A présent, le sous-traitant ou son titulaire peuvent remplir, « le cas échéant », la partie « sous-traitance de traitement de données à caractère personnel » qui a été ajoutée au sein de la rubrique F, lorsqu’ils se voient confier le traitement de données à caractère personnel concernant la personne publique.
Ils renseignent les activités sous-traitées et notamment l’objet, la durée, la nature et la finalité du traitement, le type de données et les catégories de personnes concernées.
Il convient de préciser que le titulaire coche les deux cases déclaratives (de manière cumulative) qui ont pour but de lui rappeler qu’il lui appartient de s’assurer, d’une part, que son sous-traitant présente des garanties suffisantes pour la mise en œuvre de mesures techniques et organisationnelles propres à assurer la protection des données personnelles et d’autre part, que, le sous-traité intègre les clauses obligatoires prévues par l’article 28 du RGPD.
Il va de soi que le nouveau DC4 peut d’ores et déjà être utilisé pour tout nouveau contrat de sous-traitance.

Formulaire Déclaration de sous-traitance (DC4) et sa notice explicative.

Semaine 39 : Attention au "cumul des mandats" dans le cadre du RGPD

Suite à l'entrée en vigueur du RGPD, les acheteurs publics ont dû attribuer deux nouveaux rôles pour assurer la protection des données : le responsable du traitement (RT), et le délégué à la protection des données (DPD).
Rappelons que le responsable du traitement doit "mettre en œuvre des mesures techniques et organisationnelles appropriées" afin de s'assurer que les données sont traitées en conformité avec le règlement.
Dans les faits, cela se traduit généralement par la désignation à cette fonction du chef de l'exécutif de l'entité publique ou privée.
En sus de ce rôle, le délégué doit quant à lui contrôler, conseiller et informer le responsable de traitement des mesures à prendre pour se conformer au RGPD.
Le sénateur Masson a donc interrogé le ministre de l'intérieur sur la faculté pour un maire de cumuler le rôle de RT et de DPD, ou s'il était indispensable d'externaliser la fonction de délégué à la protection des données.
La réponse du ministre se fait donc en deux temps :
- Il n'est pas possible pour le chef de l'exécutif de cumuler les fonctions de RT et de DPD : il résulte en effet des dispositions du RGPD, éclairées par les instances européennes, qu'il y aurait dans ce cas conflit d'intérêts.
Une même personne ne peut être à la fois conseil et décisionnaire.
- En revanche, nulle obligation d'externaliser cette fonction : un membre du personnel de l'organisme acheteur peut tout à fait s'en charger, sous réserve d'avoir l'indépendance nécessaire pour accomplir cette fonction.
Précision terminale s'agissant des collectivités : il est possible pour plusieurs acheteurs manipulant des données personnelles de se doter d'un seul et unique délégué pour un ensemble de collectivités.

Réponse ministérielle publiée au JO du Sénat le 27/09/2018

Semaine 43 : L’impact du RGPD sur la commande publique vu par la DAJ

Tout d’abord, il convenait de clarifier la terminologie du RGPD qui pouvait sembler ambigüe par rapport à celle de la commande publique. En effet, le texte n’évoque ni la notion d’acheteur, ni celle de titulaire. La DAJ aborde le problème de manière pragmatique, en s’attachant à la définition des différentes notions. La précision n’est donc pas révolutionnaire mais elle présente un intérêt pédagogique. On retrouve les équivalences suivantes :
- Le responsable du traitement = L’acheteur
- Le sous-traitant = Le titulaire du marché
- Le sous-traitant du sous-traitant = Le sous-traitant
- L’autorité de contrôle = La CNIL
- Responsables conjoints du traitement = Hypothèse des achats mutualisés.
Ensuite, la DAJ s’attache à clarifier l’application dans le temps du RGPD.
Au-delà de son application pour les marchés conclus après son entrée en vigueur le 25 mai 2018, la question de la rétroactivité se posait.
Le RGPD ayant délaissé les notions de « déclarations et autorisations administratives », cela entraine la caducité de l’article 5.2.3 des CCAG. Ainsi, il crée un vide juridique dans les marchés existants. Ici, deux cas se distinguent pour les marchés donnant lieu à des traitements de données personnelles, mais l’attitude à adopter reste la même.
Dès lors que le marché se réfère à un CCAG, il faudra nécessairement passer un avenant pour combler ce vide juridique.
En l'absence de référence à un CCAG, le RGPD est d’application directe mais, par prudence, la DAJ invite à passer un avenant afin de prendre en compte la nouvelle règlementation.
Il convient par ailleurs d'insérer des clauses RGPD dans les CCAP.
Enfin, on retrouve un avertissement sur les pratiques d’achats mutualisés. La DAJ insiste sur la nécessité de prévoir en amont (dans la convention de constitution de groupement par exemple) les obligations respectives afin de satisfaire les obligations du RGPD.

Fiche de la DAJ relative à l'Impact du RGPD sur le droit de la commande publique