Open data et RGPD : le secteur public en retard ?

L'articulation entre marchés publics et sous-traitance

[vc_row][vc_column][vc_column_text]Chers lecteurs,

Le Règlement Général sur la Protection des Données n°2016/679 adopté le 27 avril 2016 a fait beaucoup de bruit. Cette nouvelle réglementation applicable depuis le 25 mai dernier dans tous les États membres de l’Union européenne touchera les entreprises, mais également tous les organismes publics, puisque le droit de l’Union n’effectue pas de distinction entre le public et le privé.

 

Un règlement pourquoi faire ?

Les nombreux scandales intervenus ces dernières années ont poussé les autorités à faire face aux réalités du numérique afin de renforcer la protection des données personnelles des usagers.

Le secteur public qui pensait bénéficier d’une dérogation en matière de délai d’application du RGPD ne sera finalement pas épargné. Il faut dire que les enjeux sont considérables pour les organisations publiques, car les données recueillies et traitées sont particulièrement sensibles (santé, logement, aides sociales.)

Il est temps de vous informer sur vos nouvelles obligations et de les mettre en place.

 

Quels sont les objectifs du RGPD pour le secteur public ?

La logique déclarative qui prédominait jusqu’à maintenant est remise en cause pour passer à une logique de responsabilisation de tous les acteurs.

Le RGPD impose à tous les secteurs de prouver qu’ils sont en capacité d’assurer un niveau optimal de protection des données personnelles. Contrairement au secteur privé, chaque entité publique disposera d’une assistance, d’alertes et de conseils si son dispositif de protection des données n’est pas conforme à ses obligations. Rappelons que personne ne sera exempté des risques d’amendes administratives qui pourront atteindre jusqu’à 20 millions d’euros.

 

Quelles sont les mesures à mettre en place le plus rapidement ?

Si vous n’avez pas encore désigné de DPO, il est urgent de le faire. Le délégué à la protection des données a un rôle majeur dans chaque organisme, puisqu’il est chargé de recenser chaque traitement de données et de veiller à ce que ces traitements respectent le RGPD.

Tous les services touchant au traitement des données doivent être informés et formés aux nouvelles obligations (DSI, SI, directions des achats…). Attention, il est essentiel de rédiger une politique de confidentialité pour prouver que vous respectez le RGPD, et n’oubliez pas que tout constat de violation de la réglementation en vigueur doit être déclaré à la CNIL dans les 72h.

 

Open data, RGPD et clauses contractuelles

Chaque acteur a également l’obligation de s’assurer que ses fournisseurs et sous-traitants répondent aux critères et obligations fixés par le RGPD. Les contrats publics doivent également s’adapter au RGPD. Les acheteurs devront à l’avenir insérer des avenants pour les contrats en cours ou des clauses contractuelles avec pour objet de décrire le traitement des données qui a lieu dans le cadre des relations contractuelles avec leurs fournisseurs ou sous-traitants.

Le guide édicté par la CNIL liste les obligations liées à l’usage des données. Le traitement des données personnelles liées au contrat en cours n’est possible qu’après accord de l’acheteur public. Les cocontractants choisis par l’administration doivent répondre à une obligation légale de confidentialité. En fonction de la nature des données, il est essentiel de garantir un niveau de sécurité adapté pour tous les risques identifiés.

En cas de violation avérée des données à caractère personnel, l’acheteur public et la CNIL doivent être prévenus au plus tôt et des éléments de preuve sur l’obligation de conformité au RGPD seront instaurés.

La CNIL aura publié de nombreux guides à destination des entreprises, des fournisseurs ou encore des sous-traitants. Néanmoins, toutes les études démontrent que les opérateurs économiques et les acteurs publics ne respectent pas le RGPD.

 

La rédaction de la lettre BJCPonline[/vc_column_text][/vc_column][/vc_row]