Le paysage de la commande publique, traditionnellement régi par des principes de transparence, d'égalité de traitement et de non-discrimination, a été profondément remodelé par l'avènement du Règlement Général sur la Protection des Données (RGPD). Loin d'être une simple formalité administrative, l'intégration de la protection des données personnelles dans les appels d'offres publics représente un défi réglementaire considérable, souvent perçu comme un véritable "casse-tête". Cet article vise à démystifier cette intersection complexe, en explorant comment les entités publiques et les soumissionnaires privés doivent naviguer les exigences rigoureuses du RGPD, en particulier lorsque des données sensibles sont en jeu.
Comprendre les fondamentaux : appels d'offres publics et données personnelle
Le RGPD établit une distinction fondamentale entre les données personnelles "ordinaires" et les données sensibles, distinction qui impacte directement le niveau d'exigence en matière de conformité.
Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. L'identification peut être directe (par exemple, le nom, le prénom, l'adresse postale, le numéro de téléphone, l'adresse e-mail ou une photo) ou indirecte (par exemple, un numéro de sécurité sociale, une empreinte digitale, une donnée de géolocalisation, une adresse IP, un identifiant en ligne, la voix ou l'image). L'identification peut même résulter du croisement d'un ensemble de données, comme une femme vivant à une certaine adresse, née tel jour et abonnée à un magazine spécifique. Le RGPD s'applique à tous les traitements de données personnelles, qu'ils soient automatisés ou manuels, dès lors que ces données sont contenues ou destinées à être contenues dans un fichier.
Dans le cadre d'un appel d'offres, de nombreuses informations peuvent être qualifiées de données personnelles. Par exemple, pour un marché de services de gestion des ressources humaines, les CV des candidats, leurs coordonnées, leurs diplômes et leurs expériences professionnelles sont des données personnelles. Il est important de noter que même dans une relation B2B (Business to Business), l'adresse e-mail professionnelle et l'identité de la personne physique représentant l'entreprise sont considérées comme des données personnelles.
Les données sensibles, quant à elles, constituent une catégorie particulière de données personnelles qui, en raison de leur nature intrinsèque, révèlent des informations intimes et potentiellement discriminatoires sur un individu. Elles incluent les informations révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques (utilisées à des fins d'identification unique), des données concernant la santé, la vie sexuelle ou l'orientation sexuelle. Le traitement de ces données est en principe interdit par le RGPD, sauf exceptions strictes et expressément prévues. Cette interdiction s'étend également aux données relatives aux condamnations pénales et aux infractions, sauf si un texte spécifique l'autorise.
À titre d'exemple, un recruteur agissant dans le cadre d'un marché public de recrutement ne peut en principe pas demander un extrait de casier judiciaire d'un candidat, à moins qu'une législation spécifique ne l'y autorise. De la même manière, il est interdit de collecter des données sur l'origine raciale ou ethnique, les opinions politiques ou les convictions religieuses, sauf dans des cas très spécifiques et limités, comme le recrutement par une association politique ou religieuse où ces informations sont intrinsèquement liées à la nature de la fonction.
La distinction entre données personnelles et données sensibles n'est pas qu'une simple nuance terminologique ; elle a des implications directes et profondes sur le niveau d'exigence de conformité. Le traitement de données sensibles déclenche des bases légales plus strictes , rend souvent obligatoire la réalisation d'une Analyse d'Impact relative à la Protection des Données (AIPD) , et impose des mesures de sécurité renforcées. Par conséquent, la classification initiale des données dans le cadre d'un appel d'offres est une décision critique qui détermine l'intégralité de la stratégie de conformité et l'allocation des ressources pour l'acheteur public et les entreprises soumissionnaires. Les acheteurs publics doivent donc impérativement procéder à une cartographie détaillée des données dès les premières phases du projet afin d'identifier si des données sensibles seront traitées. Cette démarche proactive leur permet d'anticiper les AIPD obligatoires, de définir des clauses contractuelles appropriées et de prévoir les ressources nécessaires pour une sécurité accrue, évitant ainsi les problèmes de non-conformité et les sanctions ultérieures.
Le RGPD au cœur des marchés publics : Un cadre juridique incontournable
L'intégration du RGPD dans les marchés publics n'est pas une option, mais une obligation légale qui transforme fondamentalement la manière dont les données sont gérées tout au long du cycle de vie du contrat.
Applicabilité du RGPD aux contrats publics
Le RGPD est pleinement applicable aux marchés publics et aux contrats de concession depuis le 25 mai 2018. Cela signifie que tout contrat public impliquant le traitement de données personnelles, dont la procédure a été lancée après cette date, doit impérativement se conformer à ses dispositions. Pour les contrats conclus avant cette date, un avenant est nécessaire pour les mettre en conformité avec les exigences du RGPD.
L'intégration du RGPD est également visible dans les Cahiers des Clauses Administratives Générales (CCAG) des différents types de marchés (Travaux, Prestations Intellectuelles, Technologies de l'Information et de la Communication, Fournitures Courantes et Services, Maîtrise d'Œuvre, Marchés Industriels), qui font explicitement référence au RGPD dans leur article 5.2. Ainsi, tout marché public qui, en tout ou partie, implique le traitement de données personnelles est soumis aux dispositions du règlement européen.
Dès la phase de rédaction des documents contractuels, l'acheteur public est tenu d'analyser précisément les données qui seront traitées, la finalité de ce traitement, et la répartition des responsabilités entre l'acheteur et le prestataire. Il est crucial de comprendre que des clauses générales ne suffisent pas ; elles doivent être spécifiquement adaptées à chaque contrat pour refléter la réalité du traitement des données. À titre d'exemple, un marché de services informatiques pour la gestion des dossiers d'usagers d'une collectivité territoriale est entièrement soumis au RGPD. L'acheteur doit s'assurer que les clauses contractuelles détaillent avec précision les obligations du prestataire en matière de protection des données, la durée de conservation de ces données et les mesures de sécurité spécifiques à mettre en œuvre.
L'application du RGPD aux marchés publics ne se limite pas à une simple conformité au moment de l'exécution du contrat ; elle exige une intégration proactive de la protection des données "dès la conception" (Privacy by Design) et "par défaut" (Privacy by Default). Cette approche marque un changement fondamental, passant d'une conformité réactive à une intégration stratégique et anticipée. Les considérations RGPD deviennent ainsi un élément central de la stratégie d'achat public, influençant chaque étape, de l'évaluation des besoins à la rédaction des contrats et à la sélection des fournisseurs. Cela implique que les acheteurs publics doivent mettre en place des processus internes et des programmes de formation continue pour que leurs équipes d'achat, leurs services juridiques et leurs personnels opérationnels soient pleinement aptes à identifier et à gérer les exigences de protection des données à chaque phase du marché public : préparation, rédaction, publication, sélection, attribution et exécution. Une veille juridique constante est également indispensable pour s'adapter aux évolutions réglementaires.
Les bases légales du traitement des données
Pour qu'un traitement de données personnelles soit licite, il doit impérativement reposer sur l'une des six bases légales définies par l'article 6 du RGPD. Le choix de la base légale est crucial, car il détermine les droits des personnes concernées et les obligations du responsable de traitement. Ces six bases sont :
-
Le consentement : Il s'agit de l'accord explicite, libre, spécifique, éclairé et univoque de la personne concernée pour un traitement précis de ses données. Ce consentement peut être retiré à tout moment.
-
L'exécution d'un contrat : Le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie, ou pour la mise en œuvre de mesures précontractuelles prises à sa demande.
-
L'obligation légale : Le traitement est rendu nécessaire par une obligation légale à laquelle le responsable du traitement est soumis, qu'elle soit issue du droit national ou européen.
-
La protection des intérêts vitaux : Cette base est rarement mobilisée et s'applique uniquement en cas d'urgence, lorsque le traitement est indispensable pour protéger la vie ou l'intégrité physique d'une personne.
-
La mission d'intérêt public ou l'exercice de l'autorité publique : Cette base est spécifiquement utilisée par les organismes publics lorsque le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relève de l'exercice de l'autorité publique dont ils sont investis.
-
L'intérêt légitime : Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent. Il est important de noter que cette base n'est généralement pas applicable aux traitements effectués par les autorités publiques dans l'accomplissement de leurs missions.
Pour les autorités publiques, la "mission d'intérêt public" ou l'"obligation légale" sont les bases légales les plus pertinentes et les plus fréquemment utilisées pour les traitements mis en œuvre dans le cadre de leurs missions. Le consentement est rarement la base principale pour les traitements effectués par les autorités publiques, car il implique une liberté de retrait qui peut être incompatible avec la continuité du service public.
Voici des exemples concrets de choix de base légale dans un contexte d'appel d'offres :
-
Obligation légale : La gestion des données comptables des fournisseurs dans le cadre d'un marché public, qui est nécessaire pour se conformer aux exigences fiscales et comptables, est fondée sur une obligation légale.
-
Mission d'intérêt public : Le traitement des données des usagers pour la gestion d'un service public, tel que l'inscription scolaire ou la gestion des réclamations, relève de la mission d'intérêt public de la collectivité.
-
Exécution d'un contrat : La collecte des coordonnées bancaires d'un titulaire de marché pour le paiement des prestations est fondée sur la nécessité d'exécuter le contrat conclu.
Bien qu'une seule base légale doive être choisie pour une finalité de traitement donnée , un marché public complexe peut impliquer plusieurs activités de traitement, chacune ayant sa propre finalité et, par conséquent, nécessitant une base légale distincte. Par exemple, la gestion des contrats avec les fournisseurs relève de la base contractuelle, la tenue de la comptabilité s'appuie sur une obligation légale, et la collecte de retours d'expérience pour l'amélioration des services pourrait, pour une entité publique, relever de la mission d'intérêt public. Cette nature multifacette ajoute une complexité significative à la conformité, exigeant une analyse granulaire de chaque flux de données. Les acheteurs publics et leurs équipes juridiques doivent donc cartographier méticuleusement toutes les activités de traitement de données au sein d'un marché, en identifiant chaque finalité spécifique et en lui attribuant la base légale appropriée. Cela implique la tenue rigoureuse d'un "registre des activités de traitement" et l'établissement d'une méthodologie interne robuste pour garantir la cohérence et la capacité à démontrer la conformité.
Identification des rôles : responsable de traitement et sous-traitant
Le RGPD établit une distinction claire entre le responsable de traitement et le sous-traitant, distinction dont la qualification précise est fondamentale pour la répartition des responsabilités et la gestion de la conformité.
Le responsable de traitement (RT) est la personne morale (une entreprise, une commune, etc.) ou physique qui détermine les finalités (les objectifs) et les moyens (comment les données sont traitées) du traitement des données personnelles. Dans le contexte des marchés publics, l'acheteur public est généralement le responsable de traitement pour les données traitées pour ses propres besoins.
Le sous-traitant (ST), quant à lui, est la personne physique ou morale (une entreprise ou un organisme public) qui traite des données à caractère personnel pour le compte et selon les instructions documentées du responsable de traitement. Le titulaire d'un marché public peut ainsi être qualifié de sous-traitant au sens du RGPD s'il traite des données pour le compte de l'acheteur public.
La qualification précise de ces rôles est d'une importance capitale car elle détermine la nature et l'étendue des obligations et des responsabilités de chaque acteur vis-à-vis des données. Cette qualification doit être clairement définie et documentée dans les clauses contractuelles du marché.
Prenons un exemple concret : si une collectivité territoriale (responsable de traitement) confie à une entreprise privée (sous-traitant) la gestion de son système de paie, l'entreprise traitera les données personnelles des employés (noms, salaires, informations bancaires) pour le compte de la collectivité. Le contrat de marché public doit alors spécifier en détail l'objet, la durée, la nature et la finalité du traitement, les types de données concernées, les catégories de personnes dont les données sont traitées, et les obligations et droits de chaque partie. Le sous-traitant aura des obligations spécifiques, telles que la mise en œuvre de mesures de sécurité appropriées, la notification immédiate de toute violation de données, et la coopération avec l'autorité de contrôle.
Il est également possible que l'acheteur et le prestataire soient "responsables conjoints" s'ils déterminent conjointement les objectifs et les moyens du traitement des données. Dans ce cas, leurs responsabilités doivent être définies de manière explicite dans les documents contractuels pour assurer le respect des exigences du RGPD, notamment en ce qui concerne l'exercice des droits des personnes concernées.
Les marchés publics impliquent souvent des chaînes complexes de sous-traitance. Le titulaire principal du marché, qui agit comme sous-traitant pour l'acheteur public, peut lui-même faire appel à des sous-traitants de second rang. Le RGPD exige que l'acheteur public donne son autorisation écrite préalable, qu'elle soit spécifique ou générale, pour le recrutement de ces sous-traitants de second rang impliqués dans le traitement de données personnelles. Cette structure crée une chaîne de responsabilité où une violation commise par un sous-traitant de rang inférieur peut, en fin de compte, engager la responsabilité de l'acheteur public. La CNIL insiste sur le fait que le titulaire principal doit informer ses propres sous-traitants des obligations de confidentialité et de sécurité et s'assurer de leur conformité. Il est donc impératif pour les acheteurs publics de ne pas se limiter à une vérification superficielle de leurs cocontractants directs, mais d'exiger une visibilité et un contrôle sur l'ensemble de la chaîne de sous-traitance. Cela passe par des clauses contractuelles robustes qui étendent les obligations du RGPD à tous les niveaux de la chaîne d'approvisionnement, incluant des droits d'audit et des protocoles clairs de notification en cas de violation de données. L'absence d'une telle diligence expose l'entité publique à des risques de responsabilité significatifs, même pour des actions échappant à son contrôle direct.
Retrouvez la suite de notre sujet de la semaine dès jeudi sur notre blog !! Nous parlerons notamment de quelles sont les précautions et techniques pour éviter la non-conformité !