Les marchés publics impliquent parfois l’utilisation de données personnelles, tant par le pouvoir adjudicateur que par le contractant. Ces données doivent être traitées et protégées conformément aux directives du Règlement Général sur la Protection des Données (RGPD). Dans ce blog, vous apprendrez ce que signifie le RGPD et comment ce règlement se rapporte aux marchés publics.
1. Qu’est-ce que le RGPD exactement ?
Le RGPD (Règlement Général sur la Protection des Données – en abrégé GDPR) couvre la réglementation du traitement et de la protection des données personnelles par les entreprises privées et le secteur public dans l’Union Européenne. Le règlement a remplacé la directive sur la protection des données de 1995, car elle n’était plus à jour pour la société numérique d’aujourd’hui.
Le RGPD est mise en place en mai 2016, après quoi les organisations ont eu jusqu’à mai 2018 pour s’y adapter. Les organisations qui ne se conforment pas à ces réglementations risquent des amendes élevées.
2. Le RGPD et les marchés publics
Outre l’obligation de respecter la loi sur les marchés publics, les pouvoirs adjudicateurs doivent également se conformer à la RGPD. Pour les marchés publics, une procédure de passation se compose de plusieurs phases, dont la prospection, l’attribution et l’exécution du contrat. Pendant chacune de ces phases, des données personnelles peuvent être traitées et vous serez soumis aux directives de RGPD.
Une première étape importante consiste à définir la mission : qui va traiter les données personnelles ? Une distinction est faite entre les rôles possibles suivants : processeur, contrôleur et contrôleur conjoint. Un sous-traitant est une personne (morale), une agence gouvernementale, un service ou un autre organisme qui traite les données personnelles pour le compte du responsable du traitement.
La différence entre un sous-traitant et un responsable du traitement est que ce dernier (seul ou avec d’autres parties) détermine les objectifs et les moyens du traitement des données personnelles. Ainsi, le sous-traitant n’effectuera que la sortie, tandis que les parties responsables détermineront pourquoi et comment ce traitement aura lieu.
Le pouvoir adjudicateur est souvent le contrôleur (conjoint). Les contractants peuvent être à la fois des processeurs et des contrôleurs de données, ou les deux. Ils peuvent traiter des données pour le pouvoir adjudicateur dans le cadre d’un marché public, mais ils peuvent également traiter eux-mêmes des données afin d’optimiser l’exécution du marché. Il est également possible qu’un tiers, tel qu’un sous-traitant, assume le rôle de sous-traitant. Cela ne doit pas toujours être le cas.
3. Convention de traitement
Les sous-traitants doivent fournir des garanties suffisantes pour le traitement sûr et approprié des données personnelles. À cet égard, le pouvoir adjudicateur doit procéder à une évaluation des contractants (potentiels). De cette façon, ils peuvent s’assurer que l’entrepreneur est non seulement disposé à se conformer aux règles, mais qu’il est également réellement capable de le faire.
Dès que la finalité et les moyens du traitement sont déterminés, il est possible de déterminer qui est le responsable du traitement des données ou selon quels critères celui-ci est désigné. Un accord doit être établi entre le pouvoir adjudicateur et le contractant, reprenant les points contenus dans le RGPD. Ces points doivent être prévus dans le cahier des charges et il est également possible d’y inclure diverses clauses dans le cadre du RGPD. Un accord de traitement doit également être conclu pour tous les tiers, tels que les sous-traitants, qui traitent des données personnelles dans le cadre du marché public.
Lisez ici également la deuxième partie de ce blog, sur les meilleures pratiques pour la conformité RGPD dans les marchés publics.
