Entrée en application du RGPD : quelles conséquences pour la sous-traitance du traitement de données à caractère personnel dans les marchés publics ?
Le 25 mai 2018, le règlement général sur la protection des données (ci-après RGPD) entre en application au niveau européen, remplaçant la directive 95/46/CE [1]. Ce règlement change la donne en matière de protection des données, en imposant une série de nouvelles obligations à toute personne traitant des données à caractère personnel [2]. Sont ici visés toute une série d’acteurs, allant des grosses sociétés internationales au commerce de proximité qui répertorie ses clients pour un programme de fidélité par exemple, et en passant bien sûr par les pouvoirs locaux.
Ces derniers, en effet, sont amenés au quotidien, dans le cadre de leurs missions, à faire du traitement de données à caractère personnel (impression et envoi d’avertissements-extraits de rôle, marchés publics, état civil, …).
Le présent article va plus particulièrement traiter de la relation entre les responsables du traitement et les sous-traitants, auxquels est éventuellement délégué le traitement des données, dans le cadre d’un marché public. Nos propos concerneront donc le pouvoir adjudicateur local considéré comme responsable du traitement et le sous-traitant qui est aussi adjudicataire d’un marché public [3]. Le RGPD instaure un régime particulier pour encadrer les relations entre eux, en leur imposant toute une série d’obligations mais aussi en prévoyant des régimes de responsabilité spécifiques avec, à la clé, des sanctions.
Pour appuyer concrètement les réflexions ici livrées, nous proposons aussi un canevas de clauses à modaliser et à insérer dans les documents de marché [4].
Mais tout d’abord, commençons par un rappel utile à la bonne compréhension de cet article [5].
La notion de traitement est entendue de manière très large (« la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction » [6]) et la notion de données à caractère personnel reprend « toute information se rapportant à une personne physique identifiée ou identifiable » [7]. Les noms, prénoms et numéros de téléphone sont évidemment des données à caractère personnel. Les adresses, numéros d’identification et données financières aussi. La notion de personne concernée définit la personne physique dont les données sont traitées, à laquelle le RGPD octroie plusieurs droits et que la réglementation entend défendre à travers la protection de ses données personnelles.
Il est aussi intéressant de préciser les notions de responsable du traitement et de sous-traitant. Le responsable du traitement (ou ici, pouvoir adjudicateur) est celui qui détermine les finalités (pour quoi ?) et les moyens (comment ?) du traitement des données [8] et le sous-traitant (ou adjudicataire), celui qui effectue le traitement sur la base des instructions du responsable du traitement [9].
Il n’est, en pratique, pas toujours évident de déterminer si on est plutôt un responsable du traitement ou un sous-traitant. Pour cela, une série d’indices peut être utilisée [10], toujours en partant d’une analyse au cas par cas. On peut ainsi citer :
- le niveau d’instructions données par le client au prestataire, en sachant que plus le prestataire dépend du client, plus on se trouve face à un rapport de sous-traitance ;
- le degré de contrôle sur la prestation et son exécution : plus on est soumis à la surveillance du client et plus on a des chances d’être considéré comme son sous-traitant ; la valeur ajoutée éventuellement fournie par le prestataire ou encore le degré de transparence sur le recours à un prestataire [11].
Du reste, et maintenant que les notions de bases ont été posées, il s’agit d’examiner les obligations particulières [12] auxquelles les pouvoirs locaux, entre autres, devront se plier car elles sont imposées par le RGPD aux relations de sous-traitance, ainsi que les responsabilités en cas de manquement.
Obligations du responsable du traitement
Le RGPD impose une série d’obligations aux responsables de traitement dans leur(s) relation(s) avec leur(s) sous-traitant(s). Les pouvoirs locaux sont à la fois pouvoirs adjudicateurs, contraints de respecter la réglementation des marchés publics, mais aussi des responsables de traitement qui doivent respecter les règles du RGPD.
Tout d’abord, au moment du choix du sous-traitant (ou adjudicataire), les responsables de traitement doivent agir avec précaution en faisant appel à ceux qui présentent des garanties suffisantes (au niveau des connaissances, des ressources, de la fiabilité, …) quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, de sorte que le traitement soit conforme au RGPD et garantisse bien à cet égard la protection des droits de la personne concernée [13].
En d’autres termes, le pouvoir adjudicateur, par ailleurs responsable de traitement, ne peut choisir un adjudicataire qui ne présenterait pas les garanties suffisantes en termes de protection des données et qui ne se conformerait donc pas aux obligations découlant de l’article 32 du RGPD et applicables par ricochet à l’adjudicataire grâce à l’article 28, § 3, c) du RGPD. Sous l’angle de la réglementation des marchés publics, cette exigence pourrait très certainement relever d’une condition d’exécution du marché public, c’est-à-dire d’une condition dont le respect est imposé à l’adjudicataire durant l’exécution du marché. Une clause reprenant ces exigences en ce sens est donc requise [14].
Si le pouvoir adjudicateur entendait « cadenasser » (davantage) cette exigence d’exécution, il pourrait ériger certains éléments au titre de critère de sélection [15]. L’on songe de prime abord à l’indication de titre d’étude et professionnel qui constitue un critère de sélection relatif à la capacité technique et professionnelle [16]. D’autres éléments de sélection qualitative pourraient être envisagés comme des certifications ISO ou autres. En outre, l’existence d’un code de conduite conforme aux exigences des articles 40 ou 42 du RGPD pourrait servir d’élément pour établir la conformité du traitement. Toutefois, ces critères de sélection (ainsi que leurs niveaux d’exigence minimale) paraissent a priori difficilement démontrables par les soumissionnaires et vérifiables par le pouvoir adjudicateur, compte tenu du caractère très récent des inquiétudes liées à la protection des données à caractère personnel. Il faudra sans doute attendre une certaine expertise des opérateurs économiques et un certain recul par rapport au RGPD.
Enfin, l’on pourrait aussi envisager une solution plus pratique qui consiste à édicter en exigence de régularité de l’offre l’explication rapportée par le soumissionnaire des mesures de mise en conformité au RGPD prises par lui. Il ne s’agirait pas d’une démonstration complète ni exhaustive d’une conformité parfaite en tous points au RGPD par le soumissionnaire mais bien de son intérêt pour la protection des données à caractère personnel. Ainsi, le soumissionnaire communiquerait une note reprenant la description des mesures prises par lui (notamment à travers l’adoption de politiques de sécurité des systèmes d’information, de la tenue d’un registre des activités de traitement ou encore de la nomination d’un délégué à la protection des données, particulièrement si le soumissionnaire va effectuer des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées) [17]. L’on pourrait aussi exiger que l’ensemble du personnel des soumissionnaires soit/ait été sensibilisé à cette thématique.
Qu’en est-il des critères d’attribution ? Ils ne permettent pas de s’assurer que l’adjudicataire présente des garanties suffisantes puisque le choix de l’adjudicataire dépendra de l’ensemble des critères d’attribution. Ces critères restent toutefois utiles pour d’autres éléments d’appréciation.
Ensuite, une fois le contrat conclu, rappelons que l’adjudicataire ne peut traiter les données qu’en suivant les instructions qui lui sont données. Le pouvoir adjudicateur local doit donc fournir des instructions spécialement documentées [18] de manière à ce que l’adjudicataire puisse agir selon celles-ci. Les deux parties ont par ailleurs tout intérêt à conserver ces documents puisque, dans le cadre d’une éventuelle action en responsabilité, ils peuvent leur servir à démontrer qu’ils ont agi en conformité avec le RGPD. Il paraît donc utile, dans les documents de marché, de rappeler que l’adjudicataire respecte les instructions du pouvoir adjudicateur [19]. Ces instructions pourraient être données directement dans le cahier des charges ou dans une annexe à celui-ci ou ultérieurement. La réglementation des marchés publics n’impose pas nécessairement que les ordres soient donnés par écrit. Toutefois, le RPGD l’exige [20]. En tout état de cause, dans une optique de documentation des instructions données par le pouvoir adjudicateur (ici responsable de traitement) et de préservation d’une preuve écrite, il paraît hautement souhaitable que ces instructions soient écrites. De plus, sous l’angle de la réglementation des marchés publics, l’on se rappellera utilement que le constat de manquement à l’égard de l’adjudicataire ne se fait que « lorsque les prestations ne sont pas exécutées dans les conditions définies par les documents du marché » ou « lorsque l’adjudicataire ne suit pas les ordres écrits, valablement donnés par le [pouvoir] adjudicateur » [21]. De même, les ordres modificatifs doivent, en principe, aussi être donnés par écrit [22].
Enfin, et de manière plus générale, les pouvoirs adjudicateurs doivent prendre les mesures appropriées pour assurer mais aussi pour pouvoir démontrer que le traitement est globalement conforme au RGPD [23]. Ils doivent donc s’assurer que l’adjudicataire lui-même respecte tant le contrat que le RGPD et, dès lors, il est utile de prévoir contractuellement la possibilité d’effectuer des audits ou des investigations, de manière à se ménager cette option au besoin et quitte à s’en passer si ce n’est pas nécessaire [24].
Obligations de l’adjudicataire
Avec le RGPD, les sous-traitants (ou adjudicataires de marchés publics) se voient imposer toute une série d’obligations dans le cadre de leur relation avec le responsable de traitement (pouvoir adjudicateur). Nous les avons classées en trois catégories.
1. Contrôle par le pouvoir adjudicateur/responsable du traitement
Certaines obligations se basent sur le fait que l’adjudicataire agit pour le compte du pouvoir local en cause et donc sous son contrôle.
D’une part, l’adjudicataire ne peut en effet traiter les données à caractère personnel que sur instructions documentées du pouvoir adjudicateur, en ce compris pour ce qui est du transfert de ces données vers un pays tiers ou une organisation internationale. Une exception à ce cas de figure est toutefois prévue si le transfert est juridiquement imposé. L’adjudicataire doit alors en informer son client avant le traitement, sauf si le droit concerné l’interdit pour des motifs d’intérêt public [25]. La directive 95/46/CE prévoyait déjà une obligation d’agir selon les instructions du responsable du traitement [26].
D’autre part, l’adjudicataire, qui traite des données à caractère personnel pour le compte du pouvoir adjudicateur, ne peut sous-traiter librement ce traitement. Le RGPD aborde la question de la sous-traitance au second degré (cas où l’adjudicataire sous-traite à son tour tout ou partie du traitement) et impose à l’adjudicataire d’obtenir l’autorisation écrite préalable, spécifique (accordée pour un sous-traitant particulier) ou générale (par marché public), du pouvoir adjudicateur. Dans le cas d’une autorisation générale, l’adjudicataire doit informer son client de tout ajout ou suppression de sous-traitant, avec, pour le responsable du traitement, un droit d’objection à l’encontre de ces changements [27]. Les motifs valables de ce droit d’objection ne sont pas précisés par le RGPD. Pourrait-il être question d’une objection quelconque ? A tout le moins, l’une des raisons pourrait relever d’un manque au niveau des mesures de sécurité appliquées par ce sous-traitant puisque le RGPD exige de l’adjudicataire qu’il impose les mêmes mesures de sécurité que celles exigées par le pouvoir adjudicateur [28].
La réglementation des marchés publics n’envisage pas la sous-traitance de la même manière [29].
D’abord, elle interdit à l’adjudicataire de sous-traiter à un sous-traitant la totalité du marché qui lui a été confié [30] et de confier tout ou partie du marché à un opérateur économique qui se trouverait dans un des cas visés par l’article 67 de la loi relative aux marchés public, hormis le cas où ce sous-traitant, conformément à l'article 70 de cette loi, démontre vis-à-vis du pouvoir adjudicateur avoir pris les mesures suffisantes afin de prouver sa fiabilité [31].
Ensuite, l’adjudicataire ne doit pas d’initiative – mais uniquement sur demande du pouvoir adjudicateur – communiquer l’identité des sous-traitants sauf dans les marchés publics passés dans un secteur sensible à la fraude [32].
Par ailleurs, le pouvoir adjudicateur peut (mais ne doit pas) vérifier l’existence de motifs d’exclusion dans le chef du sous-sous-traitant, voire plus loin dans la chaîne de sous-traitance [33]. Si cette vérification aboutit au constat d’un motif d’exclusion, le pouvoir adjudicateur doit demander à l’adjudicataire le remplacement du sous-traitant.
Enfin, le pouvoir adjudicateur peut exiger que les sous-traitants, où qu'ils interviennent dans la chaîne de sous-traitance et proportionnellement à la partie du marché qu'ils exécutent, satisfassent aux exigences minimales en matière de capacité technique et professionnelle imposées par les documents du marché [34].
En considérant à la fois le RGPD et la réglementation des marchés publics, il nous apparaît que :
- En cas d’autorisation générale, le pouvoir adjudicateur sera tenu informé de la sous-traitance et peut s’opposer à un sous-traitant en raison d’un manquement au niveau des mesures de protection des données, de l’existence d’un motif d’exclusion ou encore parce que le sous-traitant ne remplit pas le critère de sélection de manière proportionnelle à la part sous-traitée ;
- En cas d’autorisation spécifique, le pouvoir adjudicateur devra agréer chaque sous-traitant, à tout le moins sous l’angle du RGPD ; il n’est pas certain qu’il puisse se dispenser d’une vérification de l’absence de motifs d’exclusion puisque le sous-traitant doit être spécifiquement accepté [35] ; si les exigences de sélection sont également imposées aux sous-traitants, elles devront être respectées à proportion de la part sous-traitée ;
- Lorsque la liste des sous-traitants a été annexée à l’offre de l’adjudicataire, l’on pourrait prévoir que ces sous-traitants ont déjà bénéficié d’une autorisation ;
- L’autorisation générale de sous-traitance est manifestement plus praticable et ne devrait pas, sauf évolution moins favorable des pratiques ou de la jurisprudence, contraindre le pouvoir adjudicateur à vérifier l’existence de motifs d’exclusion auprès des sous-traitants (puisqu’il s’agit d’une faculté). Toutefois, elle présente plus de risques en termes de contrôle de la sous-traitance, encore que le pouvoir adjudicateur puisse encore s’opposer à l’un des sous-traitants.
2. Des obligations d’assistance, de conseil et d’alerte
L’adjudicataire est associé [36] à une série d’obligations imposées, en matière de sécurité, au pouvoir local et pour lesquelles il doit lui apporter son aide. Il doit donc, entre autres, lui fournir des informations utiles, mais surtout l’aider quand une analyse d’impact [37] est réalisée (les modalités de l’assistance sont à prévoir dans le contrat), ou encore l’aider à répondre aux demandes des personnes concernées exerçant leurs droits [38] (droit d’accès, de rectification, d’effacement, …). De plus, il peut être prévu que les informations qui doivent être fournies par le pouvoir adjudicateur aux personnes concernées en vertu des articles 13 et 14 du RGPD le soient par l’adjudicataire, en prévoyant quand même que le format et la formulation de l’information devront être convenus avec le pouvoir adjudicateur [39].
L’adjudicataire a aussi l’obligation de notifier, dans les meilleurs délais, au pouvoir adjudicateur (qui aura lui-même 72 heures pour le notifier à l’Autorité de contrôle [40] si la violation présente un risque pour les droits et libertés des personnes [41]), après en avoir pris connaissance, toute violation des données à caractère personnel [42]. Il est nécessaire de fixer un délai précis de notification [43].
La notification comprendra, entre autres, la nature (destruction, perte, accès non autorisé, …) et l’ampleur de la violation, ses conséquences probables, les mesures envisagées et les coordonnées du DPO [44]. Le pouvoir adjudicateur prévoira, à cet égard, que son adjudicataire lui transmette des documents détaillant les violations de données subies puisqu’il pèse sur lui une obligation de documentation de chaque violation de données [45]. Il est de plus possible de prévoir explicitement dans le contrat qu’en cas de violation de données, ce soit l’adjudicataire qui fasse la notification pour le compte du pouvoir local à l’Autorité de contrôle et si besoin aux personnes concernées [46].
En effet, les violations doivent aussi être notifiées par le pouvoir local dans les meilleurs délais aux personnes concernées, s’il existe un risque élevé pour les droits et libertés de celle-ci, sauf exceptions [47], cette obligation de notifier pouvant elle aussi être déléguée à l’adjudicataire [48].
L’adjudicataire doit enfin mettre à disposition du pouvoir local toutes les informations nécessaires pour apporter la preuve du respect de ses obligations et pour permettre la réalisation d’audits. Concernant ce point en particulier, le RGPD impose à l’adjudicataire d’informer immédiatement le pouvoir adjudicateur si, à son avis, une instruction de celui-ci est contraire aux dispositions sur la protection des données [49].
3. Obligations en matière de sécurité
Si l’adjudicataire est lui-même obligé de respecter l’article 32 du RGPD, il doit en plus collaborer avec le pouvoir local pour qu’il s’y conforme, le but étant de garantir un niveau de sécurité adapté en fonction du contexte (coûts, mesures possibles, …) et du risque qu’ils ont pris en considération (perte, divulgation, destruction des données, accès accidentel, …). L’article 17 de l’ancienne directive 95/46/CE prévoyait déjà que le sous-traitant (ou adjudicataire) devait présenter des garanties suffisantes en matière de sécurité.
Ensuite, l’adjudicataire a encore l’obligation de détruire les copies des données existantes qu’il possède au terme du contrat, à moins que le droit n’exige leur conservation [50].
Finalement, le contrat liant l’adjudicataire à son sous-traitant doit contenir les mêmes obligations que celles imposées par le pouvoir adjudicateur à son adjudicataire, particulièrement pour ce qui est des garanties suffisantes en matière de mesures techniques et organisationnelles appropriées pour répondre aux exigences du règlement [51] (ce qui peut notamment être démontré par le biais de l’adoption, par le sous-traitant, d’un code de conduite selon les procédures des articles 40 ou 42 du RGPD).
En cas de non-respect des obligations
Le RGPD rétablit un équilibre entre le sous-traitant (ou adjudicataire) et le responsable du traitement (ou pouvoir adjudicateur) par rapport à la directive 95/46/CE. Il prévoit en effet de manière claire la possibilité d’engager la responsabilité du sous-traitant en cas de manquement de celui-ci à ses obligations, l’exposant dès lors, et comme c’était déjà le cas de manière explicite pour le responsable du traitement, à la réparation du préjudice causé ainsi qu’éventuellement à une amende administrative qui peut être très lourde, pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaire annuel mondial de l’entreprise [52], en retenant le montant le plus élevé des deux [53].
En un mot comme en cent, le respect du RGPD incombe en premier lieu au responsable de traitement mais aussi directement au sous-traitant.
1. Responsabilité du sous-traitant/adjudicataire
L’adjudicataire pourra d’abord être considéré comme un responsable du traitement si, dans le cadre d’un traitement particulier, il détermine les finalités et les moyens du traitement à la place ou en violation des instructions du pouvoir adjudicateur [54].
Il est en conséquence plus sûr, pour l’adjudicataire, d’obtenir une confirmation de son client avant de mener une action sur laquelle il a un doute, sous peine de se retrouver soumis aux obligations et au régime de responsabilité d’un responsable du traitement.
Du reste, l’article 82 du RGPD prévoit la responsabilité du sous-traitant (adjudicataire) en tant que tel : il sera responsable des dommages matériels et moraux causés par le traitement mais dans des cas de figure limités. Il faudra ainsi démontrer, en plus du dommage et d’une non-conformité au RGPD, qu’il a manqué à une obligation légale spécifique ou contractuelle [55]. Il peut toutefois s’exonérer de sa responsabilité en démontrant que le dommage en question ne lui est pas imputable.
En cas de recours à la sous-traitance au second degré, si le sous-sous-traitant ne respecte pas ses obligations, l’adjudicataire en sera responsable vis-à-vis du pouvoir adjudicateur.
2. Responsabilité du responsable du traitement/pouvoir adjudicateur
La responsabilité du responsable du traitement est elle aussi prévue à l’article 82 du RGPD. Son régime de responsabilité est cependant plus sévère que celui du sous-traitant (adjudicataire) puisqu’il va être responsable de tout dommage causé par le traitement des données qui constitue une violation du RGPD. Comme le sous-traitant toutefois, il peut s’exonérer de sa responsabilité en démontrant que le dommage ne lui est pas imputable.
3. Nature de la responsabilité et difficultés liées
Le RGPD instaure une responsabilité solidaire entre le responsable du traitement et le sous-traitant. Dès lors, la personne lésée peut réclamer la totalité de la réparation de son dommage à l’un comme à l’autre, à charge pour celui qui aura avancé plus que sa part de la récupérer par la suite [56]. Cette responsabilité solidaire, en plus du fait que les sous-traitants ont parfois un poids financier important, fait que les contrats risquent d’être de plus en plus compliqués à négocier.
En effet, le sous-traitant (adjudicataire) doit être vigilant puisqu’il est exposé aussi bien à une action directement dirigée contre lui qu’à une action en responsabilité solidaire, alors même qu’il n’a pas la maîtrise de l’ensemble de la légalité du traitement (choix du fondement légal par exemple), ce qui fait que la négociation de ses relations avec le pouvoir adjudicateur responsable du traitement peut être plus compliquée, les dispositions devant être plus détaillées et plus nombreuses et le contrat devant régler la question du partage des responsabilités [57]. Il faut dès lors, et ce, malgré les difficultés, tâcher de bien définir le champ d’application des responsabilités de l’adjudicataire et prévoir des mécanismes de résolution des litiges par rapport aux obligations respectives de chacun dans le but de pouvoir régler les actions en réparation qui pourraient se présenter [58].
Le contrat comme instrument pour préciser les obligations et responsabilités [59]
Afin d’organiser toutes les obligations dont nous venons de parler et de prévoir concrètement comment elles vont être mises en place, les parties doivent conclure un contrat [60] qui contient une série de mentions obligatoires [61], partageables en deux catégories : des précisions d’ordre général et des descriptions des devoirs du sous-traitant dans le cadre de l’exécution du contrat.
Pour les mentions d’ordre général, le contrat détermine :
- l’objet [62] et la durée [63] du traitement des données ;
- sa nature (par exemple, lister des données, les comparer, …) et sa finalité (objectif principal du traitement : par exemple, gestion du recrutement ou des clients, surveillance des locaux, …) [64] ;
- le type de données traitées (sensibles, nominatives, …) [65] ;
- les catégories de personnes concernées (employés, participants à un concours, actionnaires, …) [66] ;
- les obligations et les droits du responsable du traitement.
Les précisions sur les obligations du sous-traitant quant à elles portent sur :
- le respect des instructions du responsable du traitement par le sous-traitant ;
- le respect des dispositions du RGPD en matière de sous-traitance au second degré ;
- la garantie de confidentialité pour ceux qui traitent les données (modalités en fonction de la sensibilité de celles-ci) ;
- la prise de mesures appropriées en matière de sécurité (chiffrement, pseudonymisation des données, plan de reprise des activités, copies de sauvegarde, …) ;
- l’aide que le sous-traitant doit fournir au responsable du traitement pour donner suite aux demandes des personnes concernées et pour qu’il puisse globalement assurer ses obligations en matière de sécurité ;
- le sort des données au terme de la prestation de service ;
- la mise à disposition des informations nécessaires au responsable du traitement par le sous-traitant pour vérifier si ce dernier se conforme bien au règlement.
Qu’en est-il des marchés publics en cours ?
Le RGPD apporte certaines nouveautés dans la relation de sous-traitance par rapport à la directive 95/46/CE et à la loi du 8 décembre 1992. L’on songe sommairement à l’autorisation des sous-sous-traitants, au respect par ces sous-sous-traitants des mesures de sécurité appropriées applicables au sous-traitant, à la tenue d’un registre des activités par ces sous-traitants, aux obligations d’assistance et d’alerte incombant désormais au sous-traitant, aux régimes de responsabilité individuelle du sous-traitant ou solidaire du responsable de traitement et du sous-traitant.
Ces nouveautés impliquent-elles que l’on modifie le marché public en cours d’exécution au jour du 25 mai 2018 ?
La question est épineuse et la réponse délicate, le RGPD étant d’application directe dès le 25 mai 2018 sans aucune mesure transitoire [67].
D’abord parce que celle-ci dépend des éventuelles prescriptions relatives à la protection des données déjà prévues dans les documents de marché. Si elles sont présentes et conformes au RGPD, aucune modification de marché n’est évidemment à prévoir.
Ensuite, parce que ces documents de marché auraient déjà dû prévoir des dispositions spécifiques telles que la présentation par le sous-traitant de garanties suffisantes au regard des mesures de sécurité technique et d'organisation [68].
De plus, la réglementation des marchés répugne à permettre une modification de marché, considérée comme une atteinte à la mise en concurrence.
Enfin, parce que la plupart des nouveautés relèvent de la responsabilité du responsable de traitement, c’est-à-dire du pouvoir adjudicateur et qu’à défaut de conformité au RGPD, ces contrats de sous-traitance ou de marché public pourraient être pointés du doigt. Par contre, certaines nouveautés sont du ressort du sous-traitant et n’ont pas un lien direct avec le marché public en cours, par exemple l’obligation pour le sous-traitant de tenir un registre des activités [69].
Que faut-il faire alors ?
Juridiquement, trois ébauches de solutions se dessinent [70] :
- appliquer l’hypothèse de modification « de minimis » [71] si la modification envisagée est inférieure aux seuils visés par la réglementation ;
- avoir recours à l’hypothèse de modification relative aux événements imprévisibles dans le chef du pouvoir adjudicateur [72], pour autant bien évidemment que les marchés publics soient antérieurs à la publication du RGPD [73] ;
- faire application de l’hypothèse de modification qui concerne les événements imprévisibles dans le chef de l’adjudicataire [74], pour peu que ses conditions strictes soient remplies, ce dont on peut douter.
A défaut, l’on pourrait résilier le marché public sur pied de l’article 62/1, 1°, des RGE [75].
Autre question : faut-il l’accord de l’adjudicataire pour procéder à de telles modifications ?
Pratiquement, l’on peut douter que l’adjudicataire accepte, voire propose, une modification de marché dont il n’est pas certain de respecter, dans un avenir proche, les obligations nouvelles lui incombant. Son accord n’est certes pas nécessaire sous l’angle de la réglementation des marchés publics du fait du principe de mutabilité des contrats administratifs mais, en ce cas, la modification paraît d’une certaine manière vaine.
Documenter les démarches entreprises par le pouvoir adjudicateur et les réactions des adjudicataires reste en tout état de cause indispensable pour justifier des mesures de mises en conformité effectuées en faveur du respect du RGPD.
Conclusion
Le RGPD plante un tout nouveau décor en matière de protection des données à caractère personnel et notamment, comme nous venons de le voir, en matière de sous-traitance. Bon nombre d’acteurs sont concernés, en ce compris les pouvoir locaux quand ils sont face à une procédure d’attribution de marché public.
En effet, là où la directive antérieure ne donnait quasiment aucune précision sur la relation de sous-traitance en matière de données à caractère personnel, le RGPD a innové en prévoyant toute une série d’obligations pour le responsable de traitement et le sous-traitant.
Dans le contexte de la réglementation des marchés publics applicable aux pouvoirs adjudicateurs, les documents de marché doivent nécessairement contenir certaines précisions relatives à la manière dont l’exécution du marché public va se dérouler, permettant ainsi de donner un vrai cadre et un contenu concret aux obligations imposées aux parties par le RGPD.
Ces conditions contractuelles, en ce qu’elles doivent être rédigées pour délimiter les obligations des parties, sont de plus un des outils les plus utiles pour déterminer si un des deux acteurs est responsable d’un éventuel dommage puisqu’elles devraient permettre d’identifier plus précisément les devoirs de chacun et donc qui doit éventuellement réparer le dommage en cas de manquement et/ou se voir imposer une amende pouvant être très lourde.
Néanmoins, à l’heure où nous écrivons ces lignes, nous manquons encore de recul pour pouvoir apprécier dans les faits comment toute ces obligations seront mises en œuvre et comment le responsable du traitement et le sous-traitant se partageront les responsabilités en découlant. La confrontation entre le RGPD et sa mise en oeuvre, d’une part, et son application particulière dans les marchés publics, d’autre part, ne manquera pas de poser beaucoup de questions en pratique, de sorte qu’il nous semble que c’est au fur et à mesure que se dessineront vraiment les contours des nouvelles obligations entre responsable du traitement (pouvoir adjudicateur) et sous-traitant (adjudicataire).
[1] Dir. 95/46/CE du Parlement européen et du Conseil, du 24.10.1995, rel. à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
[2] RGPD, art. 1-3.
[3] Il n’est toutefois pas impossible que le pouvoir local soit déjà lui-même sous-traitant. Le présent article et le canevas de clauses n’envisagent pas cette hypothèse.
[4] Disponible en accès restreint à nos membres : http://www.uvcw.be/publications/modeles/
[5] Pour un aperçu résumé ou plus complet du RGPD, le lecteur consultera utilement les précédents articles : http://www.uvcw.be/actualites/3,724,2,0,6908.htm
[6] RGPD, art. 4, 2).
[7] RGPD, art. 4, 1).
[8] RGPD, art. 4, 7).
[9] RGPD, art. 4, 8).
[10] Groupe de l’article 29, Avis 1/2010 sur les notions de « responsable du traitement » et de « sous-traitant », WP 169, 16.2.2010.
[11] CNIL, « Guide du sous-traitant », septembre 2017, p. 3, disponible sur : https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf
[12] Principalement contenues à l’art. 28 du RGPD.
[13] RGPD, art. 28, § 1.
[14] Point III.3 du canevas de clauses.
[15] A.R. 28.4.2017, art. 68, rel. à la passation des marchés publics dans les secteurs classiques, ci-après ARP.
[16] ARP, art. 68, § 4, 6°.
[17] RGPD, art. 37, § 1, b).
[18] C. De Terwangne, K. Rosier, B. Losdyck, Le règlement européen relatif à la protection des données à caractère personnel : quelles nouveautés ?, J.D.E., 2017/8, n° 242, p. 308.
[19] Point III.1 du canevas de clauses.
[20] RGPD, art. 28, § 9.
[21] A.R. 14.1.2013, art. 44, § 1er, 1° et 3°, établissant les règles générales d'exécution des marchés publics, ci-après RGE.
[22] RGE, art. 80, 121 et 151 ; voyez aussi l’art. 10 des RGE rel. aux moyens de communications électroniques durant l’exécution des marchés publics.
[23] Principe d’« accountability » prévu à l’art. 24 du RGPD.
[24] Points III.10 et III.12 du canevas de clauses.
[25] RGPD, art. 28, § 3, a).
[26] Dir. 95/46/CE, art. 17, § 3.
[27] RGPD, art. 28, § 2.
[28] RGPD, art. 28, § 4.
[29] Notons au niveau terminologique que la notion de sous-traitance n’est pas définie dans la réglementation des marchés publics, ce qui n’est pas sans susciter des interrogations.
[30] RGE, art. 12/3 ; point III.4 du canevas de clauses.
[31] RGE, art. 13 ; point III.4 du canevas de clauses.
[32] RGE, art. 12/1, al. 3 ; cela ne concerne actuellement que certains marchés de travaux et les marchés de services de nettoyage.
[33] RGE, art. 12/2, §§ 1er et 2.
[34] RGE, art. 12/4 ; point III.4 du canevas de clauses.
[35] La pratique confirmera ou infirmera cette réflexion.
[36] RGPD, art. 28.
[37] RGPD, art. 35.
[38] RGPD, art. 28, § 2, f).
[39] CNIL, « Guide du sous-traitant », septembre 2017, p. 15, disponible sur https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf
[40] L’art. 51 du RGPD impose aux Etats membres de créer une ou plusieurs Autorités de contrôle chargées de veiller au respect du RGPD afin de protéger les libertés et droits fondamentaux des personnes physiques à l'égard du traitement.
[41] RGPD, art. 33, § 1.
[42] RGPD, art. 33, § 2.
[43] Point III.7 du canevas de clauses.
[44] J. Dupré, RGPD et sous-traitance : des questions et leurs réponses, disponible sur https://www.village-justice.com/articles/rgpd-sous-traitance-des-questions-leurs-reponses,25724.html, 29 août 2017.
[45] C. De Terwangne, K. Rosier, B. Losdyck, op. cit., p. 311.
[46] CNIL, « Guide du sous-traitant », septembre 2017, p. 11, disponible sur https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf
[47] RGPD, art. 34.
[48] CNIL, « Guide du sous-traitant », septembre 2017, p. 16, disponible sur https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf
[49] RGPD, art. 28, § 3, h) ; point III.1. du canevas de clauses.
[50] RGPD, art. 28, § 3, g) ; point III.11 du canevas de clauses.
[51] RGPD, art. 28, § 4 ; point III.4 du canevas de clauses.
[52] RGPD, art. 83, §§ 4-5.
[53] RGPD, art. 83, § 3.
[54] RGPD, art. 28, § 10.
[55] C. De Terwangne, K. Rosier, B. Losdyck, op. cit., p. 36.
[56] RGPD, art. 82.
[57] C. De Terwangne, K. Rosier, B. Losdyck, op. cit., p. 37.
[58] Bird & Bird, Guide sur le Règlement Européen relatif à la protection des données personnelles, Avril 2017, p. 65, disponible sur :
https://www.twobirds.com/~/media/pdfs/gdpr-pdfs/gdpr_frenchversionbookletdataprotectiona4digital_v03.pdf?la=fr; point V du canevas de clauses à compléter en fonction des catégories de données concernées, des traitements confiés à l’adjudicataire, de la répartition des tâches, des risques et des mesures techniques et organisationnelles en matière de sécurité.
[59] A noter que le RGPD offre à la Commission européenne ainsi qu’à une Autorité de Contrôle la possibilité d’établir des clauses contractuelles types : RGPD, art. 28, §§ 7 et 8.
[60] Dans le cas de l’application de la réglementation des marchés publics, il s’agira généralement du cahier de charges, éventuellement de l’offre et parfois d’une convention dans les cas où la réglementation permet la signature d’une telle convention : ARP, art. 95 et 100.
[61] RGPD, art. 28, § 3.
[62] Point I du canevas de clauses.
[63] Qui devrait a priori coïncider avec la durée du marché.
[64] Point II du canevas des clauses.
[65] Idem.
[66] Idem.
[67] RGPD, art. 99, § 2.
[68] L. 8.12.1992, art. 16, § 1er, 1°.
[69] RGPD, art. 30, § 2.
[70] Les idées de solutions sont analysées au regard de la nouvelle réglementation des marchés et spécifiquement des nouvelles RGE applicables depuis le 30 juin 2017 ; pour les marchés antérieurs, seules les hypothèses développées aux anciens articles 37 et 56 des RGE paraissent utiles.
[71] RGE, art. 38/4 ; une analyse au cas par cas des conditions est requise.
[72] RGE, art. 38/2 ; il convient de respecter les conditions strictes de la disposition.
[73] Le RGPD a été publié au J.O.U.E. le 4.5.2016.
[74] RGE, art. 38/10.
[75] « […] l'adjudicateur peut résilier le marché dans les cas suivants : 1° lorsque le marché a fait l'objet d'une modification substantielle qui aurait requis une nouvelle procédure de passation sur la base des articles 37 à 38/19 ».
Marchés publics : Elodie Bavay - Mathieu Lambert - Marie-Laure Van Rillaer
Lire aussi en Management de la donnée
Formations - Management de la donnée
- Déployer l'IA - L’enjeu de la gestion de vos données et les impacts internes
- Plateforme DPD
- Cybersécurité : mails, publicités frauduleuses, ... ne vous faites plus piéger
- En tant que DPO, comment mener le projet de protection des données à caractère personnel de mon organisation ?
- La gestion des données à caractère personnel : obligations et enjeux pour les administrations locales
- Open data : quels principes et quelles obligations pour les autorités publiques locales?
- Comment garantir la protection des données sensibles de votre personnel ?
- Comment mettre en place le registre de traitement de mon organisation ?
- Comment protéger les données à caractère personnel traitées par votre service Population/Etat civil ?
- Comment se préparer à un contrôle de l’Autorité de protection des données ?
- Comment veiller au respect de la réglementation RGPD dans vos contrats et conventions ?
- Focus sur l'analyse d’impact
- Que faire en cas de fuite de données à caractère personnel ?
