Impact du RGPD sur la sous-traitance

publié le 16 nov. 2018 à 07:06 par Cédric Imache
Le règlement général sur la protection des données n° 2016/679 (RGPD), entré en application le 25 mai 2018, n'est pas dénué d'impact en matière de commande publique puisque chaque acteur (acheteur, titulaire, sous-traitant) peut être confronté aux traitements des données à caractère personnel (voir notre article "préparer les marchés au RGPD").

A cet égard, la Direction des affaires juridiques a récemment mis à jour le formulaire DC4 (déclaration d’un sous-traitant) afin que celui-ci réponde aux prescriptions du RGPD.

La nouvelle déclaration de sous-traitance contient désormais une rubrique intitulée « sous-traitance de traitement de données à caractère personnel » à remplir uniquement dans l’hypothèse où serait confié sous-traitant (au sens de la commande publique) le traitement de données à caractère personnel.

Par conséquent, dans la mesure où le sous-traitant est amené à traiter des telles données, son intervention dans l’exécution des prestations objet du marché sera conditionnée à l’autorisation écrite du responsable du traitement (i.e l'acheteur public, en général), qu’elle soit spécifique ou générale.

En outre, au sein de la nouvelle rubrique, se trouvent les informations à renseigner par le titulaire et le sous-traitant, à savoir notamment :

  • les différents services pour lesquelles le sous-traitant est autorisé à traiter les données personnelles,
  • l’objet, la durée, la finalité du traitement,
  • le type de données,
  • les catégories de personnes concernées par le traitement.

A noter que le titulaire (ou le soumissionnaire si la déclaration de sous-traitance est émise au stade de la consultation) doit cocher 2 cases déclaratives qui garantissent que :

  • le sous-traitant présente des garanties suffisantes pour la mise en œuvre des mesures techniques et organisationnelles propres à assurer la protection des données personnelles ;
  • le contrat de sous-traitance conclut entre le titulaire et son sous-traitant intègrera les clauses obligatoires prévues à l’article 28 du RPGD (clauses rédigées en miroir de celles devant être intégrées dans le marché conclu entre l’acheteur et le titulaire).

Enfin, on notera que le titulaire engage sa responsabilité vis-vis de l’acheteur en cas de défaillance du sous-traitant dans la mise en œuvre de la protection des données à caractère personnel.

 

Pages connexes

Comments