Anne-Laure Villedieu
Avocat Associé
CMS Francis Lefebvre Avocats
La nouvelle version des Cahiers des clauses administratives générales (CCAG) devrait être publiée en avril 2021. L’article 5.2 du projet, relatif au traitement des données à caractère personnel, vise à prendre en compte l’entrée en vigueur, au mois de mai 2018, du Règlement général de protection des données (Règlement UE 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 dit « RGPD »).
Rappel de quelques principes essentiels
Les articles 5.2.1 et 5.2.2 des CCAG rappellent que chaque partie au marché est tenue au respect des règles, européennes et françaises, applicables aux traitements de données à caractère personnel mis en œuvre aux fins de l’exécution du marché. Il souligne notamment que toute transmission de données à des tiers, y compris au bénéfice d’entités établies hors de l’Union européenne, qui ne serait pas strictement conforme à la réglementation en vigueur est formellement prohibée.
En effet, le RGPD encadre précisément le transfert des données. Au sein de l’Espace économique européen, le transfert est soumis aux mêmes règles de licéité, de transparence et de proportionnalité que tout autre traitement.
En dehors de l’Espace économique européen, divers outils juridiques devront être utilisés tels que la décision d’adéquation prévue par l’article 45 du RGPD ou des « garanties appropriées » prévues par l’article 46 du même Règlement, constituées essentiellement de décisions des autorités de contrôle prises à la lumière des engagements des organismes concernés.
En l’absence de telles garanties appropriées, le transfert ne pourra être réalisé, par dérogation à ces outils globaux d’encadrement, que s’il est encadré par des garanties particulières, qui peuvent consister dans la conclusion de clauses contractuelles types approuvées par la Commission européenne, dans un code de conduite approuvé (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées), dans un mécanisme de certification approuvé (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées) ou encore dans un arrangement administratif ou d’un texte juridiquement contraignant et exécutoire pris pour permettre la coopération entre autorités publiques (Mémorandum of Understanding dit MOU ou MMOU, convention internationale…).
À défaut d’un tel encadrement, un transfert de données personnelles à destination d’un État tiers à l’Espace économique européen ne pourrait être réalisé licitement.
Précisions sur les informations à fournir dans les clauses particulières
L’article 5.2.3 du projet vient rappeler certaines informations essentielles que les documents particuliers du marché devront venir préciser pour que le traitement réponde aux exigences de la réglementation.
La liste des informations requises fournie à l’article 5.2.3, non exhaustive, s’inspire de l’article 28 du RGPD. Elle souligne notamment l’obligation d’indiquer la finalité, la description et la durée du traitement dont la réalisation est confiée au titulaire, celle de décrire les obligations de l’acheteur et du titulaire vis-à-vis de ce dernier, en particulier, l’obligation de l’informer de toute difficulté dans l’application de la réglementation, de tout projet de recours à un tiers pour la mise en œuvre du traitement, ou encore de toute demande de communication de données, l’obligation de décrire les mesures de sécurité mises en œuvre pour garantir l’intégrité, la confidentialité et la disponibilité des données, ainsi que les conditions de notification des violations, la durée et les modalités de conservation des données et le sort de celles-ci au terme de l’exécution du marché.
Pour autant, les CCAG ne qualifient pas la relation entre l’acheteur et le titulaire. Or, s’il est probable que l’acheteur et le titulaire rentreront généralement dans une relation de responsable de traitement à sous-traitant, les situations dans lesquelles le titulaire pourrait agir en qualité de responsable conjoint du titulaire ou même de responsable autonome ne doivent pas être écartées.
Il conviendra donc, pour chaque marché, de qualifier la relation qu’il encadre entre l’acheteur et le titulaire. Pour mémoire, le responsable de traitement est défini par le RGPD comme la personne morale ou physique qui détermine les finalités et les moyens du traitement. Lorsqu’un organisme traite des données personnelles pour le compte d’un responsable de traitement et sur instruction de celui-ci, il est considéré comme son sous-traitant au sens du RGPD. À l’inverse, si le sous-traitant traite également les données issues de ce traitement pour son propre compte (par exemple, à des fins de gestion de la relation client ou encore de comptabilité), il sera considéré comme responsable de traitement pour ce traitement spécifique.
Les responsables conjoints du traitement sont les entités qui déterminent conjointement les finalités et les moyens d’un traitement. Conformément à l’article 26 du RGPD, les responsables conjoints de traitement ont obligation d’organiser ensemble, de manière « transparente », les obligations respectives de chacun d’eux pour assurer la conformité au RGPD du traitement concerné.
Pour déterminer le rôle précis dans lequel le titulaire sera amené à traiter des données à caractère personnel dans le cadre du marché, il conviendra de s’interroger notamment sur :
- Le niveau d’instruction donné par l’acheteur au titulaire : quelle est l’autonomie de ce dernier dans la réalisation de sa prestation ? ;
- Le degré de contrôle par l’acheteur de l’exécution de la prestation : quel est le degré de contrôle de l’acheteur sur la prestation rendue ? ;
- La valeur ajoutée fournie par le titulaire: celui-ci dispose-t-il d’une expertise approfondie ou particulière dans le domaine ? ;
- Le degré de transparence sur le recours à un prestataire : l’identité du titulaire est-elle connue des personnes concernées par les traitements ?
Les acheteurs devront tirer les conséquences de la qualification du rôle du titulaire. Lorsque celui-ci agira en qualité de sous-traitant, un accord conforme aux exigences de l’article 28 du RGPD devra être conclu. Si le titulaire agit en qualité de responsable conjoint, une convention conforme à l’article 26 du RGPD sera rédigée. Les CCAG ne prévoient qu’un cadre très général de traitement des données et ne dispensent aucunement l’acheteur de prévoir, dans les documents particuliers du marché, les clauses particulières adaptées à la situation et à la nature des données traitées.