Le Règlement Général sur la Protection des Données (RGPD - n°2016/679) a été adopté le 27 avril 2016, et sera applicable à compter du 25 mai 2018 dans tous les Etats membres de l’Union Européenne. Cette réforme a vocation à inciter chaque entreprise, publique ou privée, à s’adapter aux nouvelles réalités du numérique pour mieux protéger les données personnelles des citoyens.

L’enjeu est d’autant plus important dans le domaine public dès lors que les données traitées constituent le plus souvent des données sensibles du point de vue des libertés et des droits fondamentaux. C’est le cas par exemple des établissements dédiés à la santé, au logement, ou ceux répondant à une solidarité sociale.

L’application prochaine du RGPD doit pousser les acteurs publics à prendre connaissance des objectifs du règlement européen et à introduire dans les marchés les obligations qui en découlent.

Quels sont objectifs du RGPD pour le secteur public

L’objectif annoncé du règlement européen consiste à changer les pratiques des entreprises publiques en matière de données personnelles pour plus de protection, marquant le passage d’une logique déclarative basée sur des formalités administratives à une logique de responsabilisation de tous les acteurs. Ainsi, les acteurs privés et publics devront être capables de démontrer qu’ils assurent un niveau optimal de protection des données personnelles. En outre, la personne publique disposera de moyens lui permettant d’être assistée, alertée et conseillée en cas de violation des règles en matière de protection des données.

Les exigences imposées par le RGPD sont renforcées par l’application d’amendes administratives pouvant atteindre les 20 millions d’euros. La CNIL sera alors en charge d’apprécier le caractère intentionnel ou de négligence du manquement ainsi que les mesures prises par l’établissement pour atténuer les dommages.

Concrètement les actions à mener consistent principalement à :

• Désigner un délégué à la protection des données (DPD, ou Data protection Officer - DPO), chargé de recenser tous les traitements de données à caractère personnel et de faire appliquer le règlement au sein de l’établissement ;
• Intégrer le principe de protection de données dès la phase de conception du produit ou du service, notamment dans le cadre des systèmes d’information ;
• Tenir un registre des activités de traitement et des opérations de sous-traitance, et formaliser des politiques de confidentialité pour prouver la conformité de l’établissement au RGPD ;
• Déclarer auprès de la CNIL toute violation aux données à caractère personnel, dans un délai de 72h après l’incident.

 

Quelles sont les mesures contractuelles à entreprendre

Les objectifs affichés par le règlement vont imposer à l’acheteur public (nommé « responsable de traitement » dans le RGPD) d’adapter ses clauses contractuelles pour s’assurer que ses fournisseurs (le RGPD parle de « sous-traitant ») sont eux aussi capables de garantir une qualité complète de protection des données personnelles transmises par l’acheteur public, mais détenus et/ou gérés par le fournisseur. (Nota : la désignation de « sous-traitant » ne correspond pas ici à la notion issue de la Loi de 1975).

Dans ses futurs contrats, ou par le biais d’avenant pour les contrats existants, l’acheteur public devra instaurer des clauses relatives à :

• La description du traitement des données que le fournisseur aura à traiter dans le cadre du marché (objet et durée du traitement, nature et finalité, types de données) ;
• Les obligations du fournisseur dans l’usage des données :
• Ne traiter les données que sur instruction de l’acheteur public ;
• Faire intervenir des personnes soumises à une obligation légale et appropriée de confidentialité et ayant reçu une formation adaptée ;
• Prendre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ;
• Détruire ou renvoyer sans copie toutes les données personnelles soumises au traitement ;
• L’obligation de conseil et d’assistance (techniques et/ou opérationnels) du fournisseur dans le cadre d’une demande d’exercice des droits des personnes concernées (droit d’information, droit d’accès, de rectification, d’effacement, d’opposition, etc…) ;
• La notification des violations de données à caractère personnel auprès de l’acheteur public et/ou de la CNIL ;
• L’établissement des éléments de preuves de conformité au règlement européen (notamment par le biais de code de conduite ou de mécanisme de certification adopté par le fournisseur) ;
• L’encadrement de la sous-traitance des activités de traitement par le fournisseur titulaire du marché ;
• Les sanctions en cas de non respect des dispositions liées à la protection des données personnelles.

Par la suite, ces clauses pourront être remplacées par les clauses types comme le prévoit l’article 28 du règlement européen, qui devraient faire l’objet d’une modification des CCAG. En outre, la CNIL a publié un guide élaborant les principales clauses à prévoir dans un contrat présentant des données à caractère personnel.

Article rédigé par Khouloude CHIHI 

• Guide du sous-traitant – CNIL septembre 2017