Une atmosphère curieuse règne dans les services des acheteurs publics ou dans les entreprises attributaires de marchés publics et de concessions : malgré l'agitation liée à l'entrée en vigueur du Règlement Général pour la Protection des Données (RGPD) depuis le 25 mai, beaucoup estiment que les nouvelles obligations ne concernent pas la commande publique. Rien n'est plus faux, même si jusqu'au 25 mai, les règles relatives au traitement des données personnelles ne s'appliquaient effectivement pas en raison d'une dérogation ... de la CNIL elle-même. Ce sentiment d'immunité - voire pour le plus réticents d'impunité - fait écho au silence assourdissant de la Direction des Affaires Juridique de Bercy sur cette question particulière, pourtant en pleine promotion de la dématérialisation totale au 1 octobre 2018.
FIN DE LA DISPENSE DE LA CNIL POUR LES MARCHES PUBLICS
Ce silence s'explique probablement par le souhait de ne pas surcharger les acheteurs d'obligations concernant le RGPD, en plein chantier de cette dématérialisation totale dont le calendrier à marche forcée vient se heurter au calendrier obligatoire des obligations en matière de protection des données ; ce d'autant plus que l'immunité en question est fondée sur un avis de la CNIL du 13 janvier 2005 (!) prononçant la dispense d'application de la Loi Informatique et Liberté à la dématérialisation des marchés publics, toujours référencée tant par ladite CNIL que les services de BERCY sous la référence Dispense DI 03.
Toutefois, cette dispense se trouve désormais obsolète au regard des nouvelles obligations résultant du RGPD applicable à tous les détenteurs de données personnelles, y compris les acheteurs publics, aucune exception n'étant prévue à ce titre.
ABSENCE DE DISPENSE POUR LES ACHETEURS PUBLICS DANS LE CADRE DE LA RECENTE LOI FRANCAISE SUR LA PROTECTION DES DONNEES
Malgré une tentative des sénateurs, les personnes publiques n'ont pas été autorisées à bénéficier d'une exception particulière d'application du RGPD, ni en terme de contenu, ni en terme de sanction. La nouvelle loi sur la protection des données, combinée avec les dispositions du RGPD d'application directe dans les pays de l'Union, impose donc le respect de toutes les prescriptions qui en découlent depuis le 25 mai 2018.
De sorte que la plupart des acheteurs publics, détenteurs de nombreuses données personnelles, sont dans l'obligation de mettre en place les mesures de conformité à très bref délai au risque de se voir sanctionnés.
OPPORTUNITE DE TRAITER LA DEMATERIALISATION ET LA PROTECTION DES DONNEES DANS UN MEME ELAN
Les enjeux techniques et organisationnels sont stratégiques à double titre, tant en terme d'obligation de dématérialisation totale (passation et exécution) qu'en terme de sécurisation de la protection des données personnelles recueillies à cette occasion au regard des nouvelles obligations suivantes :
IMPACTS SUR LES ENTREPRISES TITULAIRES DES MARCHES
Les entreprises titulaires de contrats de la commande publique d'une manière plus large d'ailleurs que les seuls marchés publics (on pense aux délégataires de services publics), sont elles même détentrices de données personnelles soit de leurs clients et interlocuteurs habituels (personnes physiques) soit au titre du périmètre des prestations objet du contrat impliquant le traitement d'un certain nombre de données personnelles.
Les sous-traitants des opérateurs économiques titulaires de contrats de la commande publique doivent également veiller, comme les acheteurs, à faire respecter les obligations liées à la protections des données de la part de leurs personnels, de leurs sous-traitants et ainsi de suite, pour tous les détenteurs de ces données.
De sorte que non seulement les acheteurs doivent mettre en place toutes les démarches spécifiques concernant le traitement des données particulières liées à leurs marchés publics et concessions (audit interne, charte interne concernant la protection des données, mesures de sécurité etc...), mais également veiller dans leurs contrats en cours (avenant) et en cours de passation, à insérer les clauses qui s'imposent dans les cahiers des clauses administratives particulières (CCAP).
Le chantier de la dématérialisation est donc plus vaste qu'imaginé. Les obligations fondamentales ne résultent donc pas tant de la dématérialisation imposée pour le 1er octobre 2018 que du respect des obligations déjà en vigueur depuis le 25 mai.
A titre, le Cabinet met en oeuvre les missions d'audit, d'assistance et de formation nécessaires au respect de ces nouvelles normes en matière de protection des données.
Nicolas CHARREL, Avocat associé au barreau de Paris et à la Cour du Luxembourg
