La CNIL a publié récemment un guide pour les acteurs de la commande publique afin de les éclairer sur l'implication du RGPD dans les achats. Faisons le point.
La nécessité de qualifier les acteurs
Dans le cadre d’un contrat de commande publique, il peut être difficile d’en qualifier les différents acteurs. La notion de sous-traitant dans le RGPD et cette notion en droit de la commande publique sont sensiblement différentes, mais les deux peuvent se recouper dans ce type de contrat :
- Le sous-traitant au sens du RGPD (article 4) est « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement »
- La sous-traitance au sens du droit de la commande publique est le fait pour un donneur d’ordre (entrepreneur principal) de demander à une autre entreprise (sous-traitant) d’accomplir une partie ou la totalité d’un travail qu’il s’était engagé à fournir auprès d’un client (cf. article L. 2193-2 du code de la commande publique)
En principe, le responsable de traitement sera l’acheteur public et le sous-traitant au sens du RGPD sera le titulaire du contrat lorsque des données personnelles en sont l’objet, et tous les sous-traitants ultérieurs.
Quelles sont mes obligations en tant que responsable de traitement ?
L’article 28 du RGPD est ainsi susceptible de s’appliquer. Il faudra donc insérer dans les contrats un certain nombre de clauses relatives aux droits et obligations des sous-traitants et du responsable de traitement.
Le recrutement de sous-traitants ultérieurs
Une des obligations les plus intéressantes de cet article est celle concernant le recrutement des sous-traitants ultérieurs:
L'article 28.2 du RGPD dispose que « Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements »
Une autorisation écrite et préalable
Ainsi, transposé au droit de la commande publique, l’acheteur doit donner son autorisation écrite et préalable au recrutement d’un autre sous-traitant, lorsque son sous-traitant est chargé de traiter des données à caractère personnel.
Une autorisation générale ou spécifique
L’autorisation pourra être générale ou spécifique, et insérée dans le cahier des charges pour la générale par exemple.
En cas d’autorisation générale, le titulaire devra informer l’acheteur de tout ajout ou remplacement de sous-traitants afin que celui-ci ait la possibilité d'émettre des objections à l'encontre des sous-traitants présentés. Il sera responsable dans le cas ou les sous-traitants ultérieurs ne remplissent pas leurs obligations en matière de protections des données personnelles traitées.
En tout état de cause, le titulaire et son ou ses sous-traitants devront renseigner les activités de traitement faisant l’objet de la sous-traitance et toutes les clauses obligatoires de l’article 28 (objet et durée du traitement, nature et finalités etc).
Pour plus de précisions sur la sous-traitance en général, voir notre article dédié
Pour aller plus loin, la CNIL a publié le 2 juin 2022 son guide sur la commande publique et la responsabilité des acteurs impliquées.