
RGPD : ce que les acheteurs publics doivent faire
Cet article fait partie du dossier :
RGPD
Désormais, on ne plaisante plus ! Certes, le RGPD (règlement général sur la protection des données personnelles) est applicable depuis le 25 mai 2018. Mais la commission Informatique et libertés l'a annoncé clairement : après un an de patience et de tolérance, la CNIL va maintenant faire preuve de fermeté. Message entendu ? Emeline Vandeven, Consultante juridique DAJ de Bercy, livre aux acheteurs publics les conseils de base : " Le RGPD doit devenir une thématique comme une autre, parmi toutes les règlementations dont a à connaître un acheteur public au quotidien".

Achatpublic.info : En quelques mots, à quoi correspond le RGPD ?
Le RGPD renforce des droits existants (droit à l’oubli… ) et en créé de nouveaux (droit à la portabilité des données…). Il augmente considérablement les sanctions financières pouvant être mises en œuvre en cas de non-respect de cette règlementation par les responsables de traitement et sous-traitants qui y sont soumis. Le RGPD opère un véritable changement de culture : on passe d’une logique de contrôle a priori basé sur des formalités administratives à une logique de responsabilisation des acteurs publics et privés.Le RGPD opère un véritable changement de culture : on passe d’une logique de contrôle a priori basé sur des formalités administratives à une logique de responsabilisation.
Achatpublic.info : En quoi le RGDP concerne-t-il les acheteurs publics ?
Le responsable de traitement (art. 4.7 du RGPD) est l’acheteur (au sens de l’entité publique et non de la personne physique représentant sa structure) et le sous-traitant (art. 4.8 du RGPD) est le titulaire du contrat.Le RGPD s’applique aux marchés publics pour lesquels l’acheteur va confier, de manière principale ou accessoire, un ou plusieurs traitement de données à caractère personnel à son titulaire, ou aux sous-traitants du titulaire.
L’article 28 du RGPD trouve donc à s’appliquer aux marchés publics pour lesquels l’acheteur va confier, de manière principale ou accessoire, un ou plusieurs traitement de données à caractère personnel à son titulaire, ou aux sous-traitants du titulaire (« le sous-traitant recruté par un autre sous-traitant » de l’article 28.2 du RGPD) .
Le RGPD ne prévoit pas d’exclusion des marchés publics et s’applique à toutes les natures de marchés : fournitures, travaux et services.

Achatpublic.info : Les acheteurs publics sont-ils avertis de ces obligations ?
En effet, l’entrée en application du RGPD au 25 mai 2018 a donné lieu à la mise à jour du formulaire de déclaration de sous-traitance (DC4) puisque concernant la sous-traitance de traitement de données à caractère personnel. L’acheteur doit donner une « autorisation écrite préalable spécifique ou générale » à de telles opérations.Le RGPD doit dorénavant s’insérer dans la politique achat des acheteurs publics comme une thématique à part entière et pris en compte dans la totalité du processus achat.
Le RGPD a été un sujet de préoccupation secondaire pour les acheteurs publics qui ont été monopolisés par la mise en œuvre de la dématérialisation obligatoire des procédures de marchés publics au 1er octobre 2018. Ce sujet est donc demeuré éloigné de leur préoccupation quotidienne. Mais le RGPD doit dorénavant s’insérer dans la politique achat des acheteurs publics comme une thématique à part entière. Elle doit être prise en compte dans la totalité du processus achat (de la définition du besoin à la fin de l’exécution contractuelle).
La CNIL a annoncé sa stratégie de contrôle pour l’année 2019 dans laquelle figure notamment la répartition des responsabilités entre responsable de traitement et sous-traitant. La CNIL sera ainsi amenée à contrôler l’existence et le respect des contrats de sous-traitance et donc potentiellement des marchés publics.
Achatpublic.info : Quels sont les contrats concernés ?
Pour l’application du RGPD, les seuils classiques de la commande publique ne trouvent pas à s’appliquer. Les marchés publics inférieurs à 25 000 € HT sont donc concernés si, bien entendu, ils confient au titulaire un traitement de données à caractère personnel sur instruction documentée du responsable de traitement.Les seuils classiques de la commande publique ne s’appliquent pas : les marchés publics inférieurs à 25 000 € HT sont donc concernés.
Achatpublic.info : L’insertion d’une clause type suffit-elle ?
Pour une meilleure lisibilité par les opérateurs économiques et pour une exécution contractuelle efficace, il est conseillé au moment de l’intégration de ce clausier dans les pièces contractuelles d’adapter le vocabulaire du RGPD au droit de la commande publique. Pour être opérante et confier pleinement au titulaire les traitements externalisés sur instruction documentée, les clauses relatives au respect du RGPD nécessitent de définir précisément les droits et obligations tant du titulaire que du responsable de traitement (art. 28 du RGPD).
Achatpublic.info : Les obligations portent-elles aussi sont les marchés en cours d’exécution ?
Emeline Vandeven : Oui, depuis le 25 mai 2018, tous les marchés publics comprenant une externalisation de traitement de données à caractère personnel sont concernés, y compris ceux qui étaient déjà conclus et en cours d’exécution à cette date. Pour tous ces marchés, il est vivement recommander de conclure un avenant visant à insérer cette « nouvelle » règlementation.Achatpublic.info : Quels conseils pratiques souhaitez-vous donner aux acheteurs publics ?
Je leur recommande, si ce n’est pas déjà fait, de prendre un temps de prise en main de ce texte. La CNIL a développé une formation gratuite en ligne accessible à tous (MOOC) intitulée « L’atelier RGPD » qui est très bien faite pour bien comprendre les enjeux du RGPD et les actions à mener pour le mettre en œuvre.Le partenaire indispensable de l'acheteur public, c'est le délégué à la protection des données (DPO)
Le respect du RGPD doit être un réflexe à toutes les phases de passation et d’exécution d’un marché concerné par cette règlementation :
- en amont, lors de la définition du besoin : le marché met-il en œuvre des traitements de données à caractère personnel ? Lesquelles ? Pour quelles finalités et quelle durée ? Que vais-je confier au titulaire ? Qui fait quoi ? Que dois-je imposer à mon titulaire ? Quelles sont mes obligations à son égard ?
- lors de la rédaction : insérer des clauses spécifiques et les rédiger de manière la plus précise possible (cf clausier type de la CNIL) ;
- à l’exécution : s’assurer du respect du RGPD par mon titulaire ;
- en fin d’exécution contractuelle : le sort des données (destruction, transmission au nouveau titulaire…) défini dans le contrat a-t-il été bien mis en œuvre ?
Sur le même sujet


Envoyer à un collègue
Chargé de la commande publique (f/h)
- 30/03/2025
- Communauté d'agglomération du Pays de Fontainebleau
- 29/03/2025
- Ville Fontenay sous Bois
Comptable - Responsable Marchés Publics (f/h)
- 29/03/2025
- Ville de Châteauneuf-sur-Loire
TA Nantes 19 février 2025 Mme A B
-
Article réservé aux abonnés
- 04/04/25
- 11h04
CAA Toulouse, 1er avril 2025, req. n° 23TL01301
-
Article réservé aux abonnés
- 03/04/25
- 05h04
CAA Nantes, 21 mars 2025, Rec. 25NT00066
-
Article réservé aux abonnés
- 03/04/25
- 12h04
Sous-critères prix dans un marché public : procédure de passation en péril
-
Article réservé aux abonnés
- 27/03/25 06h03
- Mathieu Laugier
Demande de précision en marché public : une modification sans incidence financière, mais qui ne passe pas
-
Article réservé aux abonnés
- 03/04/25 07h04
- Mathieu Laugier
Achat public durable : le kit de la DAJ pour accompagner les acheteurs publics est arrivé !
-
Article réservé aux abonnés
- 26/03/25
- 04h03
Refus de communiquer les pièces d’un marché public : une explication qui ne passe pas
-
Article réservé aux abonnés
- 31/03/25
- 06h03
Pondération identique : pas de sous-sous-critère dans la passation d’un marché public
-
Article réservé aux abonnés
- 27/03/25
- 06h03