Le Règlement Général sur la Protection des Données (RGPD - n°2016/679) a été adopté le 27 avril 2016, et sera applicable à compter du 25 mai
2018 dans tous les Etats membres de l’Union Européenne. Cette réforme a vocation
à inciter chaque entreprise, publique ou privée, à s’adapter aux nouvelles
réalités du numérique pour mieux protéger les données personnelles des citoyens.
L’enjeu est d’autant plus important dans le domaine public dès lors que les données traitées constituent le plus souvent des données sensibles du point de vue des libertés et des droits fondamentaux. C’est le cas par exemple des établissements dédiés à la santé, au logement, ou ceux répondant à une solidarité sociale. L’application prochaine du RGPD doit pousser les acteurs publics à prendre connaissance des objectifs du règlement européen et à introduire dans les marchés les obligations qui en découlent. Quels sont objectifs du RGPD pour le secteur public L’objectif annoncé du règlement européen consiste à changer les pratiques des entreprises publiques en matière de données personnelles pour plus de protection, marquant le passage d’une logique déclarative basée sur des formalités administratives à une logique de responsabilisation de tous les acteurs. Ainsi, les acteurs privés et publics devront être capables de démontrer qu’ils assurent un niveau optimal de protection des données personnelles. En outre, la personne publique disposera de moyens lui permettant d’être assistée, alertée et conseillée en cas de violation des règles en matière de protection des données. Les exigences imposées par le RGPD sont renforcées par l’application d’amendes administratives pouvant atteindre les 20 millions d’euros. La CNIL sera alors en charge d’apprécier le caractère intentionnel ou de négligence du manquement ainsi que les mesures prises par l’établissement pour atténuer les dommages. Concrètement les actions à mener consistent principalement à :
Quelles sont les mesures contractuelles à entreprendre Les objectifs affichés par le règlement vont imposer à l’acheteur public (nommé « responsable de traitement » dans le RGPD) d’adapter ses clauses contractuelles pour s’assurer que ses fournisseurs (le RGPD parle de « sous-traitant ») sont eux aussi capables de garantir une qualité complète de protection des données personnelles transmises par l’acheteur public, mais détenus et/ou gérés par le fournisseur. (Nota : la désignation de « sous-traitant » ne correspond pas ici à la notion issue de la Loi de 1975). Dans ses futurs contrats, ou par le biais d’avenant pour les contrats existants, l’acheteur public devra instaurer des clauses relatives à :
Par la suite, ces clauses pourront être remplacées par les clauses types comme le prévoit l’article 28 du règlement européen, qui devraient faire l’objet d’une modification des CCAG. En outre, la CNIL a publié un guide élaborant les principales clauses à prévoir dans un contrat présentant des données à caractère personnel. Article rédigé par Khouloude CHIHI
|