Principes fondamentaux relatifs aux données personnelles dans les marchés publics
Le législateur travaille actuellement sur la sortie ultérieure d’une nouvelle version des Cahiers des clauses administratives générales (CCAG). Celle-ci doit être annoncée publiquement pour ce mois d’avril 2021. Ce projet fait suite à la démarche pour l’application du Règlement Général de protection des données (Règlement UE 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 dit « RGPD »).
Ces dispositions du CCAG font que tous les acteurs des marchés publics sont soumis au Règlement Européen relatif à la protection des données à caractère personnel. Les données concernées sont les informations recueillies pendant l’exécution du marché, mais également après son accomplissement. Le transfert de ces informations est interdit, peu importe la forme que cela revêt. D’ailleurs, d’une part, cela peut être considéré comme des manquements à certaines règles impératives des marchés publics, telles que la licéité et la transparence ; d’autre part, les articles 45 et 46 du RGPD imposent l’emploi de ressources juridiques notamment de décision d’adéquation et de garanties appropriées pour la mise en application du RGPD.
Des garanties particulières seront nécessitées dans le cas d’exception, celles-ci avec approbation de la Commission européenne accompagnée d’un code de conduite ratifié, ainsi que d’un système de certification ratifié et appuyé par des mentions légales exécutoires. Si ces conditions ne sont pas réunies, la prohibition restera effective.
Rédaction de clauses particulières
La nouvelle réglementation inclut des paramètres auxquels il faudra se référer dans la rédaction des clauses particulières des marchés publics. Ces paramètres figurent dans une liste dressée à l’article 5.2.3n. Tirée de l’article 28 du RGPD, celle-ci demeure toutefois non exhaustive.
Ces clauses devront contenir l’aboutissement, le descriptif et le temps de traitement par le titulaire du marché. Elles devront rappeler les obligations des parties concernées de s’informer entre elles sur les facteurs de blocage dans l’application de la réglementation et, dans des cas spécifiques, de s’informer mutuellement des points qui nécessitent le recours à un tiers pour la mise en application de la règlementation ou du traitement.
Il faudra par ailleurs que soient prévus les cas de demande de transmission de données et des mesures sécuritaires qui s’y rapportent.
Finalement, le projet porte sur les mesures à prendre en cas de violations, sur comment et quand conserver les données personnelles et sur ce qu’il leur adviendra une fois le marché arrivé à échéance et bien abouti.
Importance de la qualification du rôle du titulaire
Le CCAG ne régit pas les liens entre l’acheteur et le titulaire, mais il demeure important de qualifier ces liens et de qualifier le rôle du titulaire.
Selon le RGPD, la sous-traitance se définit comme l’acte par lequel un organisme traitant des données personnelles délègue ce traitement à un tiers. Et si ce tiers traite aussi les données provenant de ce traitement pour son propre compte (ex : pour de la comptabilité), il sera qualifié de responsable de traitement pour cette opération distincte. Lorsque le titulaire agira en tant que sous-traitant, il devra être convenu des dispositions répondant à l’article 28 du RGPD.En sa qualité de responsable conjoint, il sera conclu un accord sur la base de l’article 26 du RGPD.
Pour une mise en conformité, les responsables conjoints du traitement sont tenus de mettre au point ensemble une organisation quant à cette responsabilité. Les acheteurs publics auront à prévoir dans les documents de consultation, des clauses particulières qui seront compatibles avec les circonstances et la nature des informations traitées.
