CNIL : Commande publique : quel acteur est responsable au regard du RGPD ?

Christophe BARDY - GRACES community
23/6/2022
Propulsé par Virginie
Cet article est réservé aux membres GRACES.community

2 juin 2022

Afin d’aider les professionnels concernés à identifier leurs responsabilités dans différents contextes de commande publique, la CNIL clarifie les éléments à prendre en compte et les conséquences juridiques à tirer de la qualification de « responsable du traitement », de « sous-traitant » ou « responsable conjoint ».

Administrations, prestataires : une responsabilité à déterminer

Les administrations confient souvent à un autre organisme (opérateur économique) la mission de répondre à des besoins en matière de travaux, fournitures ou services, par exemple pour la gestion des services périscolaires, de l’eau, des transports ou du stationnement. Pour exécuter ces marchés publics ou contrats de concession, les opérateurs économiques sont amenés à collecter et à utiliser des données personnelles qui peuvent concerner des personnels ou des usagers du service public : ces traitements de données doivent respecter le règlement général sur la protection des données (RGPD). Le rôle joué par chaque acteur a une influence sur la nature et l’étendue de ses responsabilités vis-à-vis des données. A cet égard, la qualification des acteurs de « responsable du traitement », « sous-traitant » ou « responsable conjoint » doit intervenir le plus tôt possible et être effectuée au regard d’éléments factuels et en prenant en compte chaque contexte contractuel. Elle permettra notamment d’identifier le niveau de responsabilité de chacun et de définir en conséquence les clauses relatives à la protection des données qui devront être insérées dans le contrat (par ex. : prise en compte de l’ensemble des clauses obligatoires prévues à l’article 28 du RGPD dans le cas où l’administration doit être qualifiée de « responsable du traitement » et l’opérateur économique de « sous-traitant »).

Une étape clé pour l’application effective de l’ensemble des obligations prévues par le RGPD

La qualification des acteurs lors de la rédaction du contrat constitue une première étape essentielle : elle permet de déterminer qui devra garantir le respect des grands principes du RGPD, en particulier :

Pour accompagner les professionnels dans l’identification de leurs responsabilités, la CNIL publie un guide comportant des précisions sur les critères légaux à prendre en compte, les différentes qualifications pouvant être retenues en fonction de l’objet des contrats et de la nature des traitements qu’ils impliquent, ainsi que sur les conséquences à en tirer lors de la rédaction des documents contractuels. Si ce document n’est pas un guide RGPD complet pour les administrations et opérateurs économiques auxquelles elles font appel, il devrait leur permettre de mieux caractériser l’existence et la portée de leurs obligations respectives en matière de protection des données, d’initier sur une base claire les démarches de mise en conformité au RGPD, et de renforcer ainsi leur sécurité juridique.

Tous les jours, GRACES.community sélectionne, gratuitement, pour vous le ou les articles importants pour votre prochaine veille réglementaire.

A propos de GRACES.community : pionner et leader des recrutements en Compliance, Ethiques, Gouvernance, Risques !

Proposer une offre de job : https://graces.community/recruteur/

Consulter les offres qui vous correspondent : https://app.graces.community/register/

Envie de lire la suite de l’article ?
Il vous reste 50% de l’article à lire
Inscrivez-vous sur GRACES.community pour profitez de toute l’actualité compliance
directement depuis votre espace Membre !
M'inscrire

Plus de 200 sociétés ont trouvé leur compliance officer avec GRACES.community,

et si c’était vous ?