Journal Officiel
Retour dernier bulletin quotidien
Envoyer à un ami
Version imprimable
Partager
Pour tenir compte de l’applicabilité du RGPD aux contrats de la commande publique impliquant des traitements de données personnelles, la direction des Affaires juridiques (DAJ) du ministère de l’Economie et des Finances a procédé, suite à des échanges avec la CNIL, à la mise à jour du formulaire de déclaration de sous-traitance (DC4), ainsi que de sa notice explicative.
Ce formulaire DC4, fourni soit au moment du dépôt de l’offre, soit en cours d’exécution du marché public, est un modèle pouvant être utilisé par les soumissionnaires ou titulaires de marchés publics pour présenter un "sous-traitant", au sens du droit de la commande publique, à l’acheteur public et obtenir l’acceptation de ce dernier.
Le formulaire DC4 actualisé intègre les exigences du RGPD, au sein d’un paragraphe à compléter si le sous-traitant déclaré est amené à traiter des données personnelles. Il s’accompagne d’une notice explicative et d’une fiche technique qui rappelle les impacts du RGPD sur les marchés publics.
Pour les administrations et leurs co-contractants, cette fiche technique permet de :
- traduire la terminologie du RGPD en vocable marchés publics : le "responsable du traitement" est l’acheteur public, et le "sous-traitant" le titulaire du marché public ;
- sensibiliser à la logique de responsabilisation de l’ensemble des organismes traitant des données personnelles (nécessité de mettre en place une gouvernance des données personnelles, suppression totale des déclarations, caractère résiduel du régime d’autorisation,) ;
- rappeler l’obligation d’intégrer dans tous les marchés publics les clauses obligatoires prévues par le règlement (article 28), avec un renvoi au modèle de clauses proposé par la CNIL dans son "Guide du sous-traitant " ;
- préciser les modalités de délivrance, par l’acheteur public, d’une autorisation préalable, spécifique ou générale, pour le recours, par l’attributaire/le soumissionnaire, à un sous-traitant chargé de traiter des données personnelles (un exemple de clause pouvant être insérée dans le cahier des charges du contrat pour délivrer une autorisation écrite générale est proposé) ;
- d’attirer l’attention des acheteurs faisant de l’achat mutualisé sur la nécessité, en cas de "responsables conjoints du traitement" (appréciation à réaliser au cas par cas), de définir de façon transparente et par voie d’accord leurs obligations respectives, notamment en ce qui concerne l’exercice des droits des personnes dont les données seront traitées.
Dans un deuxième temps, à l’occasion de l’actualisation globale des CCAG en 2019 (intégration des nouvelles ordonnances les concernant en particulier), ses dispositions relatives à la protection des données seront mises à jour. Il s’agira, en particulier, de tenir compte de l’élargissement par le RGPD du champ des obligations des sous-traitants, qui ne se limitent plus à la préservation de l’intégrité et de la confidentialité des données, ainsi que l’attribution d’une responsabilité spécifique à ces derniers en cas de non-respect de leurs obligations propres.
CNIL - Article complet - 2018-11-19
Ce formulaire DC4, fourni soit au moment du dépôt de l’offre, soit en cours d’exécution du marché public, est un modèle pouvant être utilisé par les soumissionnaires ou titulaires de marchés publics pour présenter un "sous-traitant", au sens du droit de la commande publique, à l’acheteur public et obtenir l’acceptation de ce dernier.
Le formulaire DC4 actualisé intègre les exigences du RGPD, au sein d’un paragraphe à compléter si le sous-traitant déclaré est amené à traiter des données personnelles. Il s’accompagne d’une notice explicative et d’une fiche technique qui rappelle les impacts du RGPD sur les marchés publics.
Pour les administrations et leurs co-contractants, cette fiche technique permet de :
- traduire la terminologie du RGPD en vocable marchés publics : le "responsable du traitement" est l’acheteur public, et le "sous-traitant" le titulaire du marché public ;
- sensibiliser à la logique de responsabilisation de l’ensemble des organismes traitant des données personnelles (nécessité de mettre en place une gouvernance des données personnelles, suppression totale des déclarations, caractère résiduel du régime d’autorisation,) ;
- rappeler l’obligation d’intégrer dans tous les marchés publics les clauses obligatoires prévues par le règlement (article 28), avec un renvoi au modèle de clauses proposé par la CNIL dans son "Guide du sous-traitant " ;
- préciser les modalités de délivrance, par l’acheteur public, d’une autorisation préalable, spécifique ou générale, pour le recours, par l’attributaire/le soumissionnaire, à un sous-traitant chargé de traiter des données personnelles (un exemple de clause pouvant être insérée dans le cahier des charges du contrat pour délivrer une autorisation écrite générale est proposé) ;
- d’attirer l’attention des acheteurs faisant de l’achat mutualisé sur la nécessité, en cas de "responsables conjoints du traitement" (appréciation à réaliser au cas par cas), de définir de façon transparente et par voie d’accord leurs obligations respectives, notamment en ce qui concerne l’exercice des droits des personnes dont les données seront traitées.
Dans un deuxième temps, à l’occasion de l’actualisation globale des CCAG en 2019 (intégration des nouvelles ordonnances les concernant en particulier), ses dispositions relatives à la protection des données seront mises à jour. Il s’agira, en particulier, de tenir compte de l’élargissement par le RGPD du champ des obligations des sous-traitants, qui ne se limitent plus à la préservation de l’intégrité et de la confidentialité des données, ainsi que l’attribution d’une responsabilité spécifique à ces derniers en cas de non-respect de leurs obligations propres.
CNIL - Article complet - 2018-11-19
Dans la même rubrique
-
Juris - Travaux supplémentaires non prévus dans le marché principal - Droit à paiement du sous-traitant
-
Juris - Limites du contrôle de la personne publique dans le cadre du paiement direct d’un sous-traitant : seule la consistance des travaux peut être vérifiée
-
Juris - Décompte général - L'absence de signature par l'acheteur ne fait pas fait obstacle au déclenchement du délai de contestation
-
Juris - Un document, qui n’expose pas de façon précise et détaillée les chefs de contestation du décompte général du maître d’ouvrage, ne constitue pas un mémoire en réclamation
-
Juris - Irrégularité d’une offre qui ne respecte pas les prescriptions imposées par le CCTP
Déconnexion
