Depuis le 25 mai 2018, le RGPD est applicable à tous les contrats de la commande publique, y compris ceux déjà en cours à cette date, et ce quelle que soit la nature et le montant du marché.
Les acheteurs publics doivent ainsi s‘assurer qu‘en cas de sous-traitance de données personnelles au titulaire du marché, le contrat contient des clauses relatives au traitement de données conforme aux dispositions du RGPD.
A ce titre, les acheteurs publics devront prévoir des avenants pour les contrats en cours et des annexes spécifiques pour les contrats à venir.
Les CCAG seront normalement mis à jour dans le courant de l‘année 2021 pour intégrer les exigences applicables en matière de données personnelles. Mais dans l‘intervalle, l‘acheteur public doit mettre en place les annexes précitées.
Par ailleurs, si le titulaire du marché confie le traitement de données à un sous-traitant ultérieur, il doit s‘assurer que ce sous-traitant
a été préalablement présenté et accepté par l‘acheteur au moyen du formulaire DC4 récemment actualisé pour se conformer au RGPD. Ce formulaire est toutefois insuffisant pour encadrer la relation de sous-traitance de données personnelles et doit être complété par un contrat relatif au traitement de données.
Les questions à se poser
En tant qu‘acheteur public
- Vos contrats de commande publique impliquent-ils le traitement de données personnelles par le titulaire du marché ?
- Le cas échéant, le contrat contient-il des clauses de traitement des données conforme aux exigences du RGPD ?
- Etes-vous concerné par des cas d‘achats mutualisés (auquel cas des dispositions spécifiques en matière de co-traitance des données sont susceptibles de s‘appliquer) ?
En tant que titulaire de marché public
- Vos contrats de commande publique impliquent-ils le traitement de données personnelles pour le compte de l‘acheteur public ?
- Le cas échéant, disposez-vous d‘un modèle d‘accord de sous-traitance de données ?
- Avez-vous recours à des sous-traitants ultérieurs chargés de réaliser des traitements de données personnelles dans le cadre du marché ?
- Le cas échéant, avez-vous reçu une autorisation écrite et préalable de l‘acheteur de recourir à ces sous-traitants ultérieurs ?
- Cette sous-traitance de données personnelles est-elle encadrée conformément aux exigences du RGPD ?
Taylor Wessing peut vous assister pour
- Auditer votre situation spécifique et mettre en place un plan d’action pragmatique, que vous soyez acheteur public ou titulaire de marché ;
- Mettre en place les outils nécessaires pour encadrer la sous-traitance de données personnelles dans le cadre des relations acheteur public/ titulaire du marché et/ou titulaire du marché/sous-traitant ;
- Le cas échéant, vérifier que l‘ensemble des sous-traitants du titulaire du marché ont été acceptés par l‘acheteur public et mettre en place les outils nécessaires pour encadrer la relation de sous-traitance de données personnelles ;
- Conclure les contrats nécessaires en matière de traitement de données dans l‘hypothèse d‘achats mutualisés ;
- Et bien plus encore…