Le 25 mai 2018, le règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données dit « règlement général sur la protection des données » (RGPD) est entré en application.

Ce règlement, à l’instar de la loi relative à l’informatique, aux fichiers et aux libertés, est applicable aux contrats de marchés publics dès lors que ces derniers comprennent une prestation mettant en œuvre un traitement de données à caractère personnel.

Mais, qu’est-ce qu’une donnée à caractère personnel ? Conformément à l’article 4.1 du RGPD, constitue une donnée à caractère personnel toute information se rapportant à une personne physique identifiée ou identifiable dénommée « personne concernée ».

Un traitement, est, quant à lui, toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

La clarification terminologique ainsi amorcée requiert de s’attarder sur les notions de responsable de traitement, de sous-traitant et de sous-traitant de sous-traitant afin de mieux cerner l’impact du RGPD sur les marchés publics. Par ailleurs, elle sert à traduire les terminologies RGPD en vocable marchés.

Aux termes de l’article 4.7 du RGPD, il résulte que le responsable du traitement est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement. Ainsi défini, l’acheteur public est le responsable du traitement au sens de l’ordonnance marchés publics du 23 juillet 2015.

Concernant le sous-traitant, l’article 4.8 du RGPD définit la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. On en déduit, que le titulaire du marché public est le sous-traitant au sens de l’ordonnance marchés publics du 23 juillet 2015.

Le RGPD s’applique aux marchés publics dont la procédure a été lancée à compter de la date du 25 mai 2018. De même, ce règlement s’applique aux marchés publics en cours d’exécution en ce que ses dispositions sont d’application immédiate. En conséquence, les marchés publics à conclure doivent contenir des clauses relatives au traitement des données personnelles lorsqu’ils comportent comme indiqué ci-dessus des prestations de traitement de données à caractère personnel. Quant aux marchés publics en cours d’exécution, ils doivent donner lieu à la passation d’avenants. En l’espèce, l’avenant pourra se fonder sur l’article 5.2.2 du Cahier des Clauses Administratives Générales (CCAG) pour autant que l’acheteur ait visé un CCAG dans les pièces contractuelles. A contrario, l’avenant pourra se fonder sur 5° de l’article 139 du décret marchés publics du 25 mars 2016.

Dans son guide « RGPD : Guide du sous-traitant » de septembre 2017, la Commission Nationale de l’Informatique et des Libertés (CNIL) a élaboré un clausier type auquel les acheteurs publics pourront se référer pour l’édiction de leurs clauses relatives au traitement des données à caractère personnel. Ces clauses doivent définir les conditions dans lesquelles le sous-traitant s’engage à effectuer pour le compte du responsable de traitement les opérations de traitement de données à caractère personnel. A titre illustratif, elles pourront porter notamment sur la description du traitement (faisant l’objet de la sous-traitance), les obligations du sous-traitant vis-à-vis du responsable de traitement, le droit d’information des personnes concernées, les mesures de sécurité, le sort des données et le registre des catégories d’activités de traitement.

Toutefois, le RGPD prévoit à son article 28.2 que le sous-traitant pourra recruter un autre sous-traitant (soit le sous-traitant au sens du droit des marchés publics tel que défini par la loi du 31 décembre 1975 relative à la sous-traitance). Pour ce faire, le titulaire du marché public doit obtenir l’autorisation écrite préalable de l’acheteur public. L’autorisation peut être générale ou spécifique.

Cependant, lorsque l’acheteur public souhaite accorder au titulaire du marché public une autorisation générale, il est recommandé d’insérer une clause en ce sens dans le cahier des charges du marché public.

En guise de conclusion, les acheteurs publics doivent porter une attention particulière à la nouvelle réglementation relative à la protection des données personnelles afin de sécuriser leurs procédures de passation des marchés publics. A cet effet, ils doivent mettre un point d’honneur à bien rédiger les clauses relatives au traitement de données à caractère personnel devant figurer dans le cahier des charges.