Données personnelles : rappel des responsabilités des acteurs de la commande publique

Un guide a été publié pour aider les acteurs de la commande publique à identifier leurs responsabilités en matière de traitement des données personnelles.

La commande publique n’échappe pas au règlement général sur la protection des données (RGPD). En effet, lors de la mise en œuvre d’un marché public ou d’un contrat de concession confié par une administration, les professionnels concernés peuvent être amenés à récolter des données personnelles d’usagers de services publics ou d’équipes qui en assurent la gestion.

La commission nationale de l’informatique et des libertés (CNIL) rappelle donc que le traitement de ces données doit respecter le cadre juridique établi par le RGPD, et publie un guide pour aider tous les acteurs concernés à identifier leurs responsabilités dans différents contextes.

Dans tous les cas, chaque marché public doit identifier contractuellement l’acteur garant du respect de principes du RGPD, notamment de l’existence d’un objectif explicite et légitime pour chaque utilisation de données, d’une collecte de données pertinente et non-excessive, d’une durée de conservation des données limitées dans le temps et dans un espace de stockage sécurisé.

De nombreux cas de figures attribuent à l’administration le rôle de responsable de traitement, notamment lorsque l’objet du contrat est la mise en œuvre d’un traitement de données, lorsqu’elle exige le déploiement d’un tel traitement dans le cadre de la fourniture du bien, du service ou des travaux prévue par le contrat, ou encore quand elle a porté une attention explicite aux objectifs et conditions des traitements de données personnelles en validant celles proposées par l’opérateur économique exécutant.

Ce dernier pourra dans ces cas précis, avoir la responsabilité de « responsable conjoint » s’il a également participé à la définition et la mise en œuvre du traitement des données personnelles, ou de « sous-traitant » s’il traite les données dans le strict cadre défini par l’administration.

En revanche, si aucune responsabilité RGPD ne peut être attribuée à l’administration, c’est l’opérateur économique qui aura nécessairement la qualité de seul responsable du traitement des données.

Le guide clarifie ces différents rôles pour mieux appréhender les conséquences juridiques de ces qualifications dans toutes les configurations possibles.