Commande publique et données personnelles : les conseils de la CNIL
La question est importante, et pourtant très peu abordée par les acteurs juridiques : celle de savoir déterminer les obligations et les responsabilités en matière de protection des données personnelles lors de commandes publiques. Les dispositions données par le Code de la commande publique (CCP) comme par le Code général des collectivités territoriales (CGCT) sont peu nombreuses.
Pour aider l’ensemble des parties à y voir plus clair, la CNIL a récemment publié un guide pratique court mais très complet. A découvrir dans cet article.
Comment déterminer le responsable du traitement des données ?
En premier lieu, la CNIL rappelle qu’une analyse contextuelle s’impose dans la plupart des cas. Celle-ci doit être réalisée traitement par traitement, c’est-à-dire pour chacun des traitements ayant vocation à intervenir dans le cadre de l’exécution du contrat.
Dans son guide pratique, la CNIL résume la situation : « Un prestataire pourrait être seul ou conjointement responsable d’un traitement mis en œuvre dans le cadre de l’exécution d’un marché public ou contrat de concession, en raison de la liberté dont il jouit dans la définition de ses objectifs et conditions de mise en œuvre. S’il ne fait que se conformer aux directives de l’administration contractante, il n’est que « sous-traitant » ».
Il convient également de préciser que ce n’est pas parce que l’administration fournit initialement les données au prestataire pour traitement, qu’elle est nécessairement responsable de ce traitement.
L’objet du contrat est essentiel lors d’une commande publique
Pour répondre à cette question épineuse de la responsabilité, les différents acteurs doivent s’intéresser à l’objet du contrat. La CNIL distingue trois situations :
- L’administration est responsable du traitement et l’opérateur économique est sous-traitant dans le cas où le traitement de données constitue l’objet même ou l’un des éléments clés du contrat, qui le définit avec précision, dans ses objectifs et conditions de réalisation. L’opérateur économique n’a donc pas d’intérêt propre, il est tenu par le strict cadre établi par l’administration pour le compte de laquelle les opérations sont réalisées.
- L’opérateur économique est seul responsable du traitement des données dans le cas où l’administration ne s’est pas spécifiquement intéressée au traitement des données en cause et n’en a pas spécifiquement besoin. Ici, le traitement n’est pas régi par le contrat, l’opérateur économique a pu définir, de manière libre et indépendante, ses objectifs et conditions de mise en œuvre. Cela comprend, par exemple, les marchés ou concessions de travaux, comme la construction d’ascenseurs dans un bâtiment public.
- Enfin, l’administration et l’opérateur économique sont responsables conjoints du traitement lorsque les objectifs et caractéristiques essentielles du traitement auront fait l’objet, en raison de l’intérêt qu’il revêt pour chacune des parties, d’une co-construction entre l’administration et l’opérateur économique. Ces derniers doivent alors être qualifiés de « responsables conjoints du traitement », au sens du RGPD.
Les conséquences sur le contrat des deux parties
Dans la troisième partie du guide, la CNIL s’intéresse aux conséquences sur les contrats. Si le prestataire est qualifié de sous-traitant au sens du RGPD, l’administration doit, avant de procéder à l’attribution du contrat, s’être bien assurée que l’opérateur économique présente des « garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées », assurant le respect des exigences du RGPD.
D’autre part, lorsque l’opérateur économique est seul « responsable du traitement », l’administration n’est pas tenue par les obligations associées à cette qualité. La Cnil conseille aux acteurs publiques de ne pas se déresponsabiliser complètement sur ce sujet. Elle propose ainsi d’insérer dans les contrats « une clause générale pointant l’obligation pour l’opérateur économique de veiller au respect des règles en matière de protection des données pour les traitements effectués dans l’exécution de ses missions. »
Enfin, en cas de responsabilité conjointe, les parties au contrat doivent déterminer, par voie d’accord, de façon claire, transparente, pragmatique et opérationnelle, leurs obligations respectives.