[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"$fNwVpCuRWaP9pJkaEug2mm5FuUb2RyQa1abz3tqyDqPY":3},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":7,"wordCount":8,"readTime":9,"title":10,"nbDownloads":11,"excerpt":7,"lang":12,"url":13,"intro":14,"featured":4,"state":15,"author":16,"authorId":17,"datePublication":20,"dateCreation":21,"dateUpdate":22,"mainCategory":23,"categories":38,"metaDatas":65,"imageUrl":66,"imageThumbUrls":67,"id":75},false,"La **CNIL** a publié récemment un guide pour les acteurs de la commande publique afin de les éclairer sur l'implication du RGPD dans les achats. Faisons le point.\r\n\r\n## La nécessité de qualifier les acteurs\r\n\r\nDans le cadre d’un **contrat de commande publique**, il peut être difficile d’en qualifier les différents acteurs. La notion de [**sous-traitant**](https://www.dastra.eu/fr/article/sous-traitant/388) dans le RGPD et cette notion en droit de la commande publique sont sensiblement différentes, mais les deux peuvent se recouper dans ce type de contrat :\r\n \r\n- Le **sous-traitant au sens du RGPD ([article 4](https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679#d1e1559-1-1))** est *« la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement »*\r\n- La **sous-traitance au sens du droit de la commande publique** est le fait pour un donneur d’ordre (entrepreneur principal) de demander à une autre entreprise (sous-traitant) d’accomplir une partie ou la totalité d’un travail qu’il s’était engagé à fournir auprès d’un client (cf. [article L. 2193-2 du code de la commande publique](https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000037703799))\r\n\r\nEn principe, le **[responsable de traitement](https://www.dastra.eu/fr/article/responsable-de-traitement/392) sera l’acheteur public** et le **sous-traitant au sens du RGPD sera le titulaire du contrat** lorsque des données personnelles en sont l’objet, et tous les sous-traitants ultérieurs.\r\n \r\n> [**Quelles sont mes obligations en tant que responsable de traitement ?**](https://www.dastra.eu/fr/article/quelles-sont-mes-obligations-en-tant-que-responsable-de-traitement/33840)\r\n> \r\nL’**article 28 du RGPD** est ainsi susceptible de s’appliquer. Il faudra donc **insérer dans les contrats** un certain nombre de clauses relatives aux **droits et obligations des sous-traitants et du responsable de traitement**.\r\n \r\n\r\n\r\n## Le recrutement de sous-traitants ultérieurs\r\n\r\nUne des obligations les plus intéressantes de cet article est celle concernant le **recrutement des sous-traitants ultérieurs**:\r\n\r\n> L'article 28.2 du RGPD dispose que « Le **sous-traitant** ne recrute pas un autre sous-traitant sans l’**autorisation écrite préalable, spécifique ou générale, du responsable du traitement**. Dans le cas d’une autorisation écrite générale, le sous-traitant **informe** le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements »\r\n\r\n### Une autorisation écrite et préalable\r\n\r\nAinsi, transposé au droit de la commande publique, l’acheteur doit donner son **autorisation écrite et préalable** au recrutement d’un autre sous-traitant, lorsque son sous-traitant est chargé de traiter des données à caractère personnel.\r\n  \r\n### Une autorisation générale ou spécifique\r\n\r\nL’**autorisation** pourra être **générale ou spécifique**, et insérée dans le cahier des charges pour la générale par exemple.\r\n \r\nEn cas d’**autorisation générale**, le titulaire devra **informer l’acheteur de tout ajout ou remplacement de sous-traitants** afin que celui-ci ait la possibilité d'émettre des **objections à l'encontre des sous-traitants** présentés. Il sera **responsable** dans le cas ou les sous-traitants ultérieurs n**e remplissent pas leurs obligations en matière de protections des données personnelles traitées**.\r\n \r\nEn tout état de cause, le titulaire et son ou ses sous-traitants devront renseigner les **activités de traitement faisant l’objet de la sous-traitance** et **toutes les clauses obligatoires de l’article 28** (objet et durée du traitement, nature et finalités etc).\r\n \r\nPour plus de précisions sur la sous-traitance en général, voir notre **article dédié**\r\n \r\nPour aller plus loin, la CNIL a publié le 2 juin 2022 **son [guide sur la commande publique](https://www.cnil.fr/fr/commande-publique-quel-acteur-est-responsable-au-regard-du-rgpd) et la responsabilité des acteurs impliquées.**","\u003Cp>La \u003Cstrong>CNIL\u003C/strong> a publié récemment un guide pour les acteurs de la commande publique afin de les éclairer sur l'implication du RGPD dans les achats. Faisons le point.\u003C/p>\n\u003Ch2 id=\"la-necessite-de-qualifier-les-acteurs\">La nécessité de qualifier les acteurs\u003C/h2>\n\u003Cp>Dans le cadre d’un \u003Cstrong>contrat de commande publique\u003C/strong>, il peut être difficile d’en qualifier les différents acteurs. La notion de \u003Ca href=\"https://www.dastra.eu/fr/article/sous-traitant/388\">\u003Cstrong>sous-traitant\u003C/strong>\u003C/a> dans le RGPD et cette notion en droit de la commande publique sont sensiblement différentes, mais les deux peuvent se recouper dans ce type de contrat :\u003C/p>\n\u003Cul>\n\u003Cli>Le \u003Cstrong>sous-traitant au sens du RGPD (\u003Ca href=\"https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679#d1e1559-1-1\" rel=\"nofollow\">article 4\u003C/a>)\u003C/strong> est \u003Cem>« la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement »\u003C/em>\u003C/li>\n\u003Cli>La \u003Cstrong>sous-traitance au sens du droit de la commande publique\u003C/strong> est le fait pour un donneur d’ordre (entrepreneur principal) de demander à une autre entreprise (sous-traitant) d’accomplir une partie ou la totalité d’un travail qu’il s’était engagé à fournir auprès d’un client (cf. \u003Ca href=\"https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000037703799\" rel=\"nofollow\">article L. 2193-2 du code de la commande publique\u003C/a>)\u003C/li>\n\u003C/ul>\n\u003Cp>En principe, le \u003Cstrong>\u003Ca href=\"https://www.dastra.eu/fr/article/responsable-de-traitement/392\">responsable de traitement\u003C/a> sera l’acheteur public\u003C/strong> et le \u003Cstrong>sous-traitant au sens du RGPD sera le titulaire du contrat\u003C/strong> lorsque des données personnelles en sont l’objet, et tous les sous-traitants ultérieurs.\u003C/p>\n\u003Cblockquote>\n\u003Cp>\u003Ca href=\"https://www.dastra.eu/fr/article/quelles-sont-mes-obligations-en-tant-que-responsable-de-traitement/33840\">\u003Cstrong>Quelles sont mes obligations en tant que responsable de traitement ?\u003C/strong>\u003C/a>\u003C/p>\n\u003C/blockquote>\n\u003Cp>L’\u003Cstrong>article 28 du RGPD\u003C/strong> est ainsi susceptible de s’appliquer. Il faudra donc \u003Cstrong>insérer dans les contrats\u003C/strong> un certain nombre de clauses relatives aux \u003Cstrong>droits et obligations des sous-traitants et du responsable de traitement\u003C/strong>.\u003C/p>\n\u003Ch2 id=\"le-recrutement-de-sous-traitants-ulterieurs\">Le recrutement de sous-traitants ultérieurs\u003C/h2>\n\u003Cp>Une des obligations les plus intéressantes de cet article est celle concernant le \u003Cstrong>recrutement des sous-traitants ultérieurs\u003C/strong>:\u003C/p>\n\u003Cblockquote>\n\u003Cp>L'article 28.2 du RGPD dispose que « Le \u003Cstrong>sous-traitant\u003C/strong> ne recrute pas un autre sous-traitant sans l’\u003Cstrong>autorisation écrite préalable, spécifique ou générale, du responsable du traitement\u003C/strong>. Dans le cas d’une autorisation écrite générale, le sous-traitant \u003Cstrong>informe\u003C/strong> le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements »\u003C/p>\n\u003C/blockquote>\n\u003Ch3 id=\"une-autorisation-ecrite-et-prealable\">Une autorisation écrite et préalable\u003C/h3>\n\u003Cp>Ainsi, transposé au droit de la commande publique, l’acheteur doit donner son \u003Cstrong>autorisation écrite et préalable\u003C/strong> au recrutement d’un autre sous-traitant, lorsque son sous-traitant est chargé de traiter des données à caractère personnel.\u003C/p>\n\u003Ch3 id=\"une-autorisation-generale-ou-specifique\">Une autorisation générale ou spécifique\u003C/h3>\n\u003Cp>L’\u003Cstrong>autorisation\u003C/strong> pourra être \u003Cstrong>générale ou spécifique\u003C/strong>, et insérée dans le cahier des charges pour la générale par exemple.\u003C/p>\n\u003Cp>En cas d’\u003Cstrong>autorisation générale\u003C/strong>, le titulaire devra \u003Cstrong>informer l’acheteur de tout ajout ou remplacement de sous-traitants\u003C/strong> afin que celui-ci ait la possibilité d'émettre des \u003Cstrong>objections à l'encontre des sous-traitants\u003C/strong> présentés. Il sera \u003Cstrong>responsable\u003C/strong> dans le cas ou les sous-traitants ultérieurs n\u003Cstrong>e remplissent pas leurs obligations en matière de protections des données personnelles traitées\u003C/strong>.\u003C/p>\n\u003Cp>En tout état de cause, le titulaire et son ou ses sous-traitants devront renseigner les \u003Cstrong>activités de traitement faisant l’objet de la sous-traitance\u003C/strong> et \u003Cstrong>toutes les clauses obligatoires de l’article 28\u003C/strong> (objet et durée du traitement, nature et finalités etc).\u003C/p>\n\u003Cp>Pour plus de précisions sur la sous-traitance en général, voir notre \u003Cstrong>article dédié\u003C/strong>\u003C/p>\n\u003Cp>Pour aller plus loin, la CNIL a publié le 2 juin 2022 \u003Cstrong>son \u003Ca href=\"https://www.cnil.fr/fr/commande-publique-quel-acteur-est-responsable-au-regard-du-rgpd\" rel=\"nofollow\">guide sur la commande publique\u003C/a> et la responsabilité des acteurs impliquées.\u003C/strong>\u003C/p>\n",null,607,3,"Commande publique, sous-traitance et RGPD, la CNIL fournit de nouvelles ressources",0,"fr","commande-publique-sous-traitance-et-rgpd-la-cnil-fournit-de-nouvelles-ressources","Commande publique, sous-traitance et RGPD, la CNIL fournit de nouvelles ressources. A lire ici⏬","Published",{"id":17,"displayName":18,"avatarUrl":7,"bio":7,"blogUrl":7,"color":7,"userId":17,"creationDate":19},763,"2bb2b961-a995-46c5-84fe-1d6179fbb47f","2021-09-29T09:44:57","2022-07-04T06:00:00","2022-06-14T13:31:27.1510751","2026-04-20T12:17:28.8362396",{"id":24,"name":25,"description":26,"url":27,"color":28,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":29},2,"Blog","A list of curated articles provided by the community","blog","#28449a",[30,32,35],{"lang":12,"name":25,"description":31},"Une liste d'articles rédigés par la communauté",{"lang":33,"name":25,"description":34},"es","Una lista de artículos escritos por la comunidad",{"lang":36,"name":25,"description":37},"de","Eine Liste von Artikeln, die von der Community verfasst wurden",[39,44],{"id":24,"name":25,"description":26,"url":27,"color":28,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":40},[41,42,43],{"lang":12,"name":25,"description":31},{"lang":33,"name":25,"description":34},{"lang":36,"name":25,"description":37},{"id":45,"name":46,"description":47,"url":48,"color":49,"parentId":24,"count":7,"imageUrl":7,"parent":50,"order":55,"translations":56},69,"Expertise","Gain insights from our experts on GDPR compliance, data protection, and privacy challenges. In-depth articles, professional analysis, and real-world best practices.","indepth","#000000",{"id":24,"name":25,"description":26,"url":27,"color":28,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":51},[52,53,54],{"lang":12,"name":25,"description":31},{"lang":33,"name":25,"description":34},{"lang":36,"name":25,"description":37},5,[57,59,62],{"lang":12,"name":46,"description":58},"Bénéficiez des conseils de nos experts sur la conformité RGPD, la protection des données et les enjeux privacy. Articles de fond, analyses et retours d’expérience métier.",{"lang":36,"name":60,"description":61},"Fachwissen","Entdecken Sie die Artikel unserer DSGVO-Experten",{"lang":33,"name":63,"description":64},"Experiencia","Descubre los artículos de nuestros expertos en Privacy",[],"https://static.dastra.eu/content/3f9bcbb5-bcf5-4728-b4bb-aa0203dbbcfb/marchs-publics-et-sous-traitnats-1000.png",[68,69,70,71,72,73,74],"https://static.dastra.eu/content/3f9bcbb5-bcf5-4728-b4bb-aa0203dbbcfb/marchs-publics-et-sous-traitnats-1000.webp","https://static.dastra.eu/content/3f9bcbb5-bcf5-4728-b4bb-aa0203dbbcfb/marchs-publics-et-sous-traitnats.webp","https://static.dastra.eu/content/3f9bcbb5-bcf5-4728-b4bb-aa0203dbbcfb/marchs-publics-et-sous-traitnats-1500.webp","https://static.dastra.eu/content/3f9bcbb5-bcf5-4728-b4bb-aa0203dbbcfb/marchs-publics-et-sous-traitnats-800.webp","https://static.dastra.eu/content/3f9bcbb5-bcf5-4728-b4bb-aa0203dbbcfb/marchs-publics-et-sous-traitnats-600.webp","https://static.dastra.eu/content/3f9bcbb5-bcf5-4728-b4bb-aa0203dbbcfb/marchs-publics-et-sous-traitnats-300.webp","https://static.dastra.eu/content/3f9bcbb5-bcf5-4728-b4bb-aa0203dbbcfb/marchs-publics-et-sous-traitnats-100.webp",52283]