Comment adapter la commande publique au RGPD ?

L'articulation entre marchés publics et sous-traitance

[vc_row][vc_column][vc_column_text]

Chers lecteurs,

Le RGPD, applicable depuis le 25 mai 2018, uniformise la protection des données de chaque individu sur le territoire de l’Union européenne. L’entrée en vigueur de ses dispositions a des effets conséquents sur les entreprises privées qui peinent à se mettre en conformité. Les entreprises ne sont toutefois pas les seules concernées. Comment l’administration intègre-t-elle ces nouvelles obligations ?

Les acheteurs publics soumis au RGPD

Véritable outil de renforcement des droits des administrés en matière de traitement des données personnelles, le RGPD soumet tous les services de l’administration à ses dispositions : RH, DSI, commande publique…

Le décret n°2018-687 du 6 août 2018 contient diverses mesures d’application de la loi du 20 juin 2018 qui intéressent le secteur public.

L’administration est responsable du traitement des données à caractère personnel. La gestion de ces données doit répondre à plusieurs principes « le droit d’accès, de demande de suppression ou d’oubli, la licéité, la transparence, la confidentialité, la minimisation, la durée de conservation limitée et la responsabilité ».

Les données des personnes morales entrent-elles dans le cadre de la protection des données personnelles ?

Il apparaît aujourd’hui qu’un simple envoi de mail professionnel dans le cadre de l’exécution d’un marché public permet d’identifier les coordonnées de l’interlocuteur. Une TPE cocontractante de l’administration peut être une entreprise individuelle.

L’acheteur public aura, par conséquent, accès à toutes les données du dirigeant, y compris ses déclarations d’ordre fiscal.

Que ce soit pour un dossier de candidature (CV, photo, date de naissance) ou au cours de l’exécution ou de la résiliation d’un achat public, les données sensibles des personnes physiques sont traitées par les acheteurs publics. Ils devront à l’avenir réduire le nombre de renseignements exigés dans le cadre de la passation, pour qu’ils aient un lien direct avec l’objet du contrat.

Certains avocats encouragent les acheteurs publics à intégrer une clause relative à l’exploitation limitée des informations récoltées dans le cadre d’un contrat de la commande publique.

La conformité de la commande publique au RGPD

Les acheteurs doivent se trouver en mesure de démontrer la conformité du traitement des données à caractère personnel (collectées dans le cadre du cycle de vie des achats publics) au règlement européen.

Cela signifie que les services de la commande publique devraient déjà avoir adopté une politique de protection des données comprenant la cartographie des données à collecter, la durée de conservation, les modalités d’archivage etc.)

Ce document annexe aux documents de la consultation permettrait de ne pas alourdir le clausier complexe des contrats de la commande publique.

L’équipe de la lettre BJCPonline[/vc_column_text][/vc_column][/vc_row]