Commande publique et protection des données : une combinaison pour l'usager

Alors que le droit de la commande publique et les enjeux de protection des données personnelles semblaient s’opposer par leurs natures, il apparait cependant qu’une interaction se dégage de manière évidente entre les traitements de données et la conclusion de concession ou de marché public.

Une vocation commune

La première similarité que l’on peut relever se trouve dans la finalité même de leurs missions. Là où la commande publique a notamment pour objet de répondre aux besoins des collectivités pour réaliser leurs missions de service publique, la protection des données personnelles vient quant à elle garantir la vie privée des individus. Dès lors, l’administré se trouve systématiquement au centre des préoccupations.

De manière plus factuelle, une grande quantité de données personnelles est susceptible de faire l’objet de traitements alors même qu’il ne s’agit pas de l’objet principal du marché ou de la concession. Ainsi, les candidatures et les relations entre l’acheteur et l’entreprise suggèrent inévitablement que des données personnelles soient traitées, à l’instar du curriculum vitae.

Les usagers sont également concernés et ce de manière encore plus prégnante que les contractants. Que ce soit pour la gestion du scolaire ou du périscolaire, des ordures ménagères, de l’eau et de l’assainissement, l’activité réalisée dans le cadre de ces marchés ou concessions impliquent nécessairement des traitements de données personnelles des usagers. Ainsi, des catégories particulières de données telles que les données de mineurs ou les données de santé sont parfois ciblées. Bien évidemment, ces traitements sont nécessaires à la réalisation de la mission. Cependant, un encadrement demeure primordial pour qu’ils puissent être réalisés de manière sécurisée et pour les seules finalités qui ont été définies.

Une qualification essentielle

Le Règlement Général sur la Protection des Données (RGPD) est venue renforcer le formalisme contractuel en la matière. Cela implique tout d’abord de réaliser un important travail de qualification des parties afin que les acteurs connaissent leurs obligations et responsabilités. Cette variété de qualification va avoir des conséquences sur le document contractuel à rédiger et sur les fondements juridiques mobilisés.

En matière de commande publique, le pouvoir adjudicateur sera dans la grande majorité des cas considéré comme Responsable de traitement. Comme l’indique la CNIL, l’administration pourra revêtir cette qualité lorsque :

Le contrat porte spécifiquement sur la réalisation d’un traitement de données
L’administration a exigé le déploiement du traitement aux fins de réaliser la mission
L’administration a porté une attention particulière aux traitements de données proposé par l’opérateur économique.

Dans une telle situation, le co-contractant peut avoir plusieurs qualifications dont la situation la plus courante est celle de sous-traitant.

Une pluralité de relations

Même si la terminologie employée en matière de protection des données correspond dans les grandes lignes à celles prévue dans la commande publique, une précision semble nécessaire.

Une telle qualification ne porte que sur les traitements de données envisagés indépendamment de celle retenu en droit public. Ainsi, la seule qualification de titulaire d’un contrat ne permet pas d’affirmer la qualité de sous-traitant ultérieur au sens du RGPD.

Comme le souligne la CNIL, l’opérateur économique est considéré comme sous-traitant lorsqu’il n’a pas d’intérêt propre et qu’il est tenu par le strict cadre établi ou validé par l’administration. Dès lors, un encadrement spécifique devra être réalisé sur la base de l’article 28 du RGPD.

A contrario, lorsque l’opérateur économique exerce une telle influence sur le traitement qu’il semble participer activement à la détermination des objectifs et des éléments essentiels du traitements alors il devra être qualifié de responsable conjoint. Cette fois sur la base de l’article 26 du RGPD, un accord devra être réalisé afin d’établir, par écrit, les tenants et aboutissant du traitement.

Cependant, lorsque le titulaire réalise un traitement pour lequel l’acheteur n’est pas concerné ou n’a pas d’intérêt dans sa mise en œuvre, ce premier devra être considéré comme unique Responsable de traitement. En pratique, certains traitements qui participent à la réalisation de la mission mais qui n’ont qu’un caractère accessoire à l’égard de celui-ci sortent des relations contractuelles établies avec le pouvoir adjudicateur et ne dépendent que de la seule responsabilité du titulaire.

Dans la mesure où vous seriez confronté à cette problématique, Achille-Solutions vous aide et vous conseille dans vos démarches.