Comme nous le savons, le RGPD (Règlement Général sur la Protection des Données)[1] occupe une place primordiale à l’ère du partage massif des données. Or, il est admis que l’acheteur public est soumis à un devoir d’exemplarité. C’est pourquoi, la Direction des Affaires Juridiques est venue préciser l’impact de ce texte sur la commande publique.
Tout d’abord, il convenait de clarifier la terminologie du RGPD qui pouvait sembler ambigüe par rapport à celle de la commande publique. En effet, le texte n’évoque ni la notion d’acheteur, ni celle de titulaire. La DAJ aborde le problème de manière pragmatique en s’attachant à la définition des différentes notions. La précision n’est donc pas révolutionnaire mais elle présente un intérêt pédagogique. On retrouve les équivalences suivantes :
- Le responsable du traitement = L’acheteur
- Le sous-traitant = Le titulaire du marché
- Le sous-traitant du sous-traitant = Le sous-traitant
- L’autorité de contrôle = La CNIL
- Responsables conjoints du traitement = Hypothèse des achats mutualisés.
Ensuite, la DAJ s’attache à clarifier l’application dans le temps du RGPD.
Au-delà de son application pour les marchés conclus après son entrée en vigueur, le 25 mai 2018, la question de la rétroactivité se posait.
Le RGPD ayant délaissé les notions de « déclarations et autorisations administratives », cela entraine la caducité de l’article 5.2.3 des CCAG. Ainsi, il crée un vide juridique dans les marchés existants. Ici, deux cas se distinguent pour les marchés donnant lieu à des traitements de données personnelles, mais l’attitude à adopter reste la même.
Dès lors que le marché se réfère à un CCAG, il faudra nécessairement passer un avenant pour combler ce vide juridique.
Dès lors qu’il n’y a pas de référence à un CCAG, le RGPD est d’application directe mais, par prudence, la DAJ invite à passer un avenant afin de prendre en compte la nouvelle règlementation.
Pour tout nouveau marché il conviendra d’insérer des clauses RGPD dans les CCAP.
Dans la présente fiche, la DAJ fait un rappel utile sur la modification du formulaire DC4. Cette modification avait déjà fait l’objet d’une analyse (voir en ce sens notre article du 21 septembre dernier intitulé « le formulaire DC4 toiletté pour la rentrée« ).
Enfin, on retrouve un avertissement sur les pratiques d’achats mutualisés. La DAJ insiste sur la nécessité de prévoir en amont (dans la convention de constitution de groupement par exemple) les obligations respectives afin de satisfaire les obligations du RGPD.
Fiche DAJ « Impact du RGPD sur le droit de la commande publique » 25 octobre 2018
[1] Règlement (UE) 2016/679 du Parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit « règlement général sur la protection des données » – RGPD