Commande publique : quel acteur est responsable au regard du RGPD ?
Afin d’aider les professionnels concernés à identifier leurs responsabilités dans différents contextes de commande publique, la CNIL clarifie les éléments à prendre en compte et les conséquences juridiques à tirer de la qualification de « responsable du traitement », de « sous-traitant » ou « responsable conjoint ».
Administrations, prestataires : une responsabilité à déterminer
Les administrations confient souvent à un autre organisme (opérateur économique) la mission de répondre à des besoins en matière de travaux, fournitures ou services, par exemple pour la gestion des services périscolaires, de l’eau, des transports ou du stationnement.
Pour exécuter ces marchés publics ou contrats de concession, les opérateurs économiques sont amenés à collecter et à utiliser des données personnelles qui peuvent concerner des personnels ou des usagers du service public : ces traitements de données doivent respecter le règlement général sur la protection des données (RGPD).
Le rôle joué par chaque acteur a une influence sur la nature et l’étendue de ses responsabilités vis-à-vis des données. A cet égard, la qualification des acteurs de « responsable du traitement », « sous-traitant » ou « responsable conjoint » doit intervenir le plus tôt possible et être effectuée au regard d’éléments factuels et en prenant en compte chaque contexte contractuel. Elle permettra notamment d’identifier le niveau de responsabilité de chacun et de définir en conséquence les clauses relatives à la protection des données qui devront être insérées dans le contrat (par ex. : prise en compte de l’ensemble des clauses obligatoires prévues à l’article 28 du RGPD dans le cas où l’administration doit être qualifiée de « responsable du traitement » et l’opérateur économique de « sous-traitant »).
Une étape clé pour l’application effective de l’ensemble des obligations prévues par le RGPD
La qualification des acteurs lors de la rédaction du contrat constitue une première étape essentielle : elle permet de déterminer qui devra garantir le respect des grands principes du RGPD, en particulier :
- l’existence d’un objectif (finalité) explicite et légitime pour chaque utilisation de données ;
- une collecte de données pertinentes et non excessives ;
- la sécurité des données ;
- une durée de conservation limitée des données ;
- la bonne prise en compte des droits des personnes.
Pour accompagner les professionnels dans l’identification de leurs responsabilités, la CNIL publie un guide comportant des précisions sur les critères légaux à prendre en compte, les différentes qualifications pouvant être retenues en fonction de l’objet des contrats et de la nature des traitements qu’ils impliquent, ainsi que sur les conséquences à en tirer lors de la rédaction des documents contractuels.
Si ce document n’est pas un guide RGPD complet pour les administrations et opérateurs économiques auxquelles elles font appel, il devrait leur permettre de mieux caractériser l’existence et la portée de leurs obligations respectives en matière de protection des données, d’initier sur une base claire les démarches de mise en conformité au RGPD, et de renforcer ainsi leur sécurité juridique.