Si la majorité des acheteurs publics ont d’ores et déjà désigné un DPO (le délégué aux données personnelles), l’intégration de clauses spécifiques à la protection des données à caractère personnel dans les marchés publics peine à émerger.

Et pourtant, les sanctions peuvent être lourdes !

La CNIL (Commission Nationale de l’Informatique et des Libertés) rappelle expressément que l’amende administrative peut atteindre 20 000 000 d’euros, ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial total[1].

Il vous faut donc rapidement intégrer le RGPD.

D’autant que dans un entretien exclusif à La Tribune, Marie-Laure Denis, la présidente de la CNIL, a annoncé que l’autorité de contrôle « sera plus ferme ». Fini l’impunité qui semblait régner jusqu’alors.

Emeline VANDEVEN, consultante juridique à la DAJ de Bercy est venue apporter quelques précisions lors d’un entretien sur le site « achatpublic.info » sur la manière de mettre en place le RGPD dans la commande publique.

  • La première question à se poser est de savoir s’il y a ou non la présence de données personnelles ? (CV, fichier clients, adresses, numéros de téléphone…)
  • Dans l’affirmative, il faudra déterminer si l’on souhaite confier, sur instruction documentée, le traitement de ces données à un « sous-traitant »[2] ? En effet, il faut une externalisation du traitement des données à caractère personnel.

Par exemple, dès lors que l’on passe un marché de service pour l’envoi/rédaction de courrier, si l’on fournit une liste d’adresses au titulaire, il sera considéré comme un sous-traitant[3].

En pareil cas, il est ainsi conseillé d’insérer le clausier type de la CNIL dans le CCAP et ne pas se contenter d’une clause personnalisée. En effet, le clausier de la CNIL présente l’avantage de la clarté et de la lisibilité pour les titulaires de marchés publics.

Il est à noter que ces obligations valent pour les contrats à venir, mais également pour l’ensemble des contrats déjà en cours depuis le 25 mai 2018. Il est donc conseillé de passer des avenants pour insérer le clausier RGPD.

Emeline VANDEVEN conclut cet entretien en expliquant que la règlementation RGPD « doit devenir une thématique comme une autre, parmi toutes les règlementations dont a à connaître un acheteur public au quotidien ».

Interview d’Emeline VANDEVEN pour achatpublic.info « RGPD : ce que les acheteurs publics doivent faire »


[1] Art. 83-5 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

[2] Art. 28 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

[3] Voire en ce sens Guide du sous-traitant, Edition Septembre 2017, CNIL