La responsabilité des acteurs dans le cadre de la commande publique. CNIL, juin 2022
Les administrations confient à des opérateurs économiques la mission de répondre à leurs besoins en matière de travaux, fournitures et services au travers de à la conclusion de marchés publics et de contrats de concession définis et régis par le code de la commande publique (CCP). C’est ainsi, par exemple, que les collectivités territoriales et leurs groupements délèguent à des tiers, appelés titulaires ou concessionnaires suivant la nature du contrat, tout ou partie de la gestion de services publics relevant de leur compétence (services périscolaires, eau et assainissement, transports, stationnement, etc.). Pour l’exécution de ces contrats, les opérateurs économiques sont amenés à mettre en œuvre des traitements de données personnelles, en particulier de données relatives au personnel ou aux usagers du service public. Ces traitements doivent nécessairement être réalisés dans le respect des dispositions du RGPD, qui fixent, au bénéfice des personnes concernées (administrés, employés du service public, etc.), un certain nombre d’obligations à la charge des organismes qui y procèdent : détermination de finalités explicites et légitimes ; collecte de données pertinentes et non excessives ; sécurisation et conservation limitée de celles-ci ; respect des droits des personnes. La question de savoir qui doit veiller au respect des règles en matière de protection des données personnelles revêt une grande importance en raison du risque juridique et d’image s’attachant au non-respect des obligations légales.
Pour y répondre, les organismes concernés doivent analyser les faits de façon concrète et tenir compte des critères d’attribution des responsabilités posés par le RGPD dès le stade de la rédaction des contrats. En effet, des clauses relatives à la protection des données personnelles, plus ou moins étoffées et à contenu variable devront, à partir de cette analyse, être insérées dans le contrat liant l’administration et l’opérateur économique (par ex. : prise en compte de l’ensemble des clauses obligatoires prévues à l’article 28 du RGPD dans le cas où l’administration doit être qualifiée de « responsable du traitement » et l’opérateur économique de « sous-traitant »).
Ce guide pratique vise à accompagner les organismes concernés dans l’identification de leurs qualités et obligations au regard des dispositions du RGPD (voir articles 4, 26 et 28 précisés par le Comité européen de la protection des données (CEPD) dans ses lignes directrices relatives aux notions de « responsable du traitement », de « responsables conjoints » et de « sous-traitant »).