Les marchés publics impliquent parfois l’utilisation de données personnelles, tant par le pouvoir adjudicateur que par le contractant. Ces données doivent être traitées et protégées conformément aux directives du Règlement Général sur la Protection des Données (RGPD). Mais quelles sont les meilleures pratiques pour une bonne conformité à ces règlements dans les marchés publics ?
D’une manière générale, le traitement des données personnelles dans les marchés publics doit être prévu dans le cahier des charges et les éventuelles avenants. Il est important de stipuler que des garanties doivent être données quant au respect de le RGPD par le prestataire. En général, il doit se conformer à l’annexe RGPD du cahier des charges. En fonction de la procédure d’installation, l’entrepreneur peut également négocier à ce sujet.
En général, la solution la plus pratique est l’utilisation d’un modèle d’annexe dans le cas du traitement des données personnelles dans les marchés publics. Cette annexe se compose de deux parties : une qui résume les points de le RGPD et une qui contient les circonstances concrètes du traitement et les instructions concrètes du pouvoir adjudicateur concernant le traitement des données personnelles.
Ce modèle comprend l’objet et la finalité du contrat de traitement, la description du traitement et la durée du contrat. En outre, il est bien sûr important que les obligations du sous-traitant envers le responsable du traitement sont clairement listées. Par exemple, le sous-traitant ne peut jamais traiter les données pour ses propres besoins, mais uniquement pour les besoins du contrat. Ceci afin de garantir la confidentialité des données personnelles traitées dans le cadre de ce contrat.
Les mesures de sécurité constituent un autre élément très important de ce modèle. Cela signifie qu’il faut examiner soigneusement si le sous-traitant peut fournir les garanties appropriées pour le traitement correct des données personnelles. Ces garanties doivent ensuite être respectées par le sous-traitant. De cette manière, il est également plus clair pour le prestataire quelles obligations il doit remplir dans le cadre de la sécurité des données personnelles.
Un piège dans l’utilisation d’un tel modèle est qu’il est souvent copié et collé, sans que l’on examine correctement la situation réelle. Il est bien sûr très important que cela soit examiné pour chaque marché public et non simplement copié à l’aveugle à chaque fois.
Lisez ici également la première partie de ce blog, sur le RGPD et la relation avec les marchés publics.
Souhaitez-vous être tenu au courant de l’actualité des marchés publics et de nos services ? Alors inscrivez-vous dès maintenant à notre newsletter ou suivez-nous sur LinkedIn ou Facebook.