Bonjour à tous ,
Je suis en cours de rédaction d'un AO pour une solution RH , et cherche la formulation adaptée aux contraintes liées aux RGPD.
Plus globalement qu'elles sont selon vous les clauses spécifiques à spécifier dans les documents de la consultation ?
J'ai notamment relevé cet avertissement
"Attention : pour bien appliquer cette réglementation, il ne faut pas confondre la notion de sous-traitance au sens du RGPD et celle au sens du droit de la commande publique.
L'acheteur doit veiller à modifier les documents de la consultation en y insérant des clauses spécifiques dès lors que l'objet du marché ou de la concession concerne en totalité ou en partie le traitement de données à caractère personnel.
En attendant une actualisation des CCAG marchés publics, il convient de déroger à leur article 5.2.3 relatif au traitement des données, rendu obsolète par l'entrée en vigueur du RGPD. Et de modifier les contrats concernés en totalité ou en partie par le traitement de données à caractère personnel en cours d'exécution passés avant le 25 mai 2018."
merci à vous
Bonjour Laurent,
Je prends connaissance de votre message et je vais rechercher au plus vite de réponses complémentaires.
Un des experts ANAP, Christian VIALLON est "spécialiste" en RGPD, je vous propose de le solliciter afin que vous ayez plusieurs réponses.
Bonne journée.
Merci à vous.
Bonjour Laurent,
Voici la réponse de Christian Viallon que j'ai relu.
Nous espérons qu'elle vous apportera assez d'éclairage. N'hésitez pas à revenir lui si nécessaire.
Bonne journée.
bonjour
vous aurez pas mal de pistes en utilisant les documents publiés par la CNIL :
- guide du sous-traitant : https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf
- pour le sujet des RH la NS 46 : https://www.cnil.fr/fr/declaration/ns-046-gestion-du-personnel
bonne journée
PhB
Bonjour,
Les clauses contractuelles que j'ai suggérées sont extraites du guide du sous-traitant, ici il est important de se placer du point de vue du Responsable de Traitement. La NS 46 peut servir de guide cependant elle n'a plus de valeur juridique (comme toutes les autres normes simplifiées) depuis le 25 mai 2018. Je m'aperçois aussi que dans ma réponse à Bénédicte je n'ai pas évoqué deux principes nouveaux et capitaux du RGPD : les principes de privacy by design et privacy by default, consacrés par le règlement européen sur la protection des données, qui obligent les responsables du traitement et les sous-traitants à intégrer en amont de la réalisation d'un traitement toutes les mesures permettant de protéger la vie privée des personnes concernées par ledit traitement. Sans doute faudrait-il intégrer cette dimension dans l'AO ? Bonne soirée