Appel offre et contrainte RGPD

Messages

Par Laurent BASSET le 27/09/2018 à 10:10 Animateur de groupes

Bonjour à tous ,

Je suis en cours de rédaction d'un AO pour une solution RH , et cherche la formulation adaptée aux contraintes liées aux RGPD. 

Plus globalement qu'elles sont selon vous les clauses spécifiques à spécifier dans les documents de la consultation ?

J'ai notamment relevé cet avertissement

"Attention : pour bien appliquer cette réglementation, il ne faut pas confondre la notion de sous-traitance au sens du RGPD et celle au sens du droit de la commande publique.

L'acheteur doit veiller à modifier les documents de la consultation en y insérant des clauses spécifiques dès lors que l'objet du marché ou de la concession concerne en totalité ou en partie le traitement de données à caractère personnel.

En attendant une actualisation des CCAG marchés publics, il convient de déroger à leur article 5.2.3 relatif au traitement des données, rendu obsolète par l'entrée en vigueur du RGPD. Et de modifier les contrats concernés en totalité ou en partie par le traitement de données à caractère personnel en cours d'exécution passés avant le 25 mai 2018."

merci à vous

Par Bénédicte GUERRIER le 07/10/2018 à 16:28 Animateur de groupes

Bonjour Laurent,

Je prends connaissance de votre message et je vais rechercher au plus vite de réponses complémentaires.

Un des experts ANAP, Christian VIALLON est "spécialiste" en RGPD, je vous propose de le solliciter afin que vous ayez plusieurs réponses.

Bonne journée.

Merci à vous.

Par Bénédicte GUERRIER le 12/10/2018 à 12:09 Animateur de groupes

Bonjour Laurent,

Voici la réponse de Christian Viallon que j'ai relu.

Nous espérons qu'elle vous apportera assez d'éclairage. N'hésitez pas à revenir lui si nécessaire.

Bonne journée. 

Contextualisation de la situation : 
  • le correspondant est rédacteur d'un appel d'offre
  • s'agissant d'une solution RH nous sommes bien en présence de traitement de données à caractère personnel
  • la notion de sous-traitance RGPD diffère en effet de la notion de sous-traitance marchés publics (on peut imaginer qu'un sous-traitant marche public - concessionnaire - soit responsable de traitement). Rappel des définitions RT et ST au sens RGPD :
    "responsable du traitement", la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre;
    "sous-traitant", la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;
 
au sens RGPD le RT se pose 2 questions : pourquoi ? et comment ? ici le pourquoi est le besoin de la solution RH et le comment ce qui justifie l'AO, le ST ne fait que répondre à la question comment ? (s'il répond à pourquoi ? il devient RT), le RGPD impose un contrat ou tout document similaire entre le RT et le ST, ici c'est l'AO qui va tenir lieu de contrat, il y a donc lieu d'introduire les clauses de sous-traitance RGPD dans l'AO, ces clauses sont a minima
  • Objet et description du traitement :
    • préciser l’objet et la finalité du traitement que le sous-traitant est autorisé à traiter pour le compte du responsable du traitement
    • désigner les catégories de personnes concernées par le traitement.
  • Obligations du sous-traitant vis-à-vis du responsable du traitement :
    • ne traiter les données à caractère personnel que sur instructions documentées du responsable du traitement
    • garantir la confidentialité et la sécurité des données (pseudonymisation, chiffrement…)
    • respecter les principes de protection des données dès la conception et par défaut
    • notifier sans délai les violations de données à caractère personnel au responsable du traitement
    • tenir par écrit un registre recensant les traitements effectués
    • solliciter l’autorisation du responsable du traitement avant de recruter un sous-traitant de second rang
    • répondre des éventuelles fautes commises par le sous-traitant de second rang à l’égard du responsable du traitement
    • apporter l’assistance au responsable du traitement pour l’instruction des demandes d’exercice du droit des personnes concernées : rectification, effacement, etc.
    • mettre à la disposition du responsable du traitement la documentation nécessaire pour démontrer le respect de toutes les obligations imposées par le RGPD.
  • pour les CCAG l'Art. 5.2 des CCAG «Travaux », « Fournitures courantes et Services » et « Prestations intellectuelles » dispose "  Chaque partie au  marché est tenue au respect des règles relatives à la protection des données à caractère personnel, auxquelles elle a accès pour les besoins de l’exécution du marché. En cas d’évolution de la législation sur la protection des données à caractère personnel en cours d’exécution du marché, les modifications éventuelles demandées par le pouvoir adjudicateur afin de se conformer aux règles nouvelles donnent lieu à la signature d’un avenant par les parties au marché. Pour assurer cette protection, il incombe au pouvoir adjudicateur d’effectuer les déclarations et d’obtenir les autorisations administratives nécessaires à l’exécution des prestations prévues par les documents particuliers du marché " c'est cette clause qui n'est plus à jour c'est pourquoi il convient d'introduire les Clauses contractuelles type ci-dessus et/ou en s'inspirant des clauses de la CNIL https://www.cnil.fr/fr/sous-traitance-exemple-de-clauses 
  • au sens RGPD le Responsable de traitement est l'acheteur et le sous-traitant celui qui remporte l'AO. Ils sont solidairement responsables c'est ce que l'AO doit établir.
Par Philippe Bédère le 14/10/2018 à 08:42

bonjour

vous aurez pas mal de pistes en utilisant les documents publiés par la CNIL :

- guide du sous-traitant : https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf

- pour le sujet des RH la NS 46 : https://www.cnil.fr/fr/declaration/ns-046-gestion-du-personnel

bonne journée

PhB

Par Christian VIALLON le 22/10/2018 à 19:17

Bonjour,

Les clauses contractuelles que j'ai suggérées sont extraites du guide du sous-traitant, ici il est important de se placer du point de vue du Responsable de Traitement. La NS 46 peut servir de guide cependant elle n'a plus de valeur juridique (comme toutes les autres normes simplifiées) depuis le 25 mai 2018. Je m'aperçois aussi que dans ma réponse à Bénédicte je n'ai pas évoqué deux principes nouveaux et capitaux du RGPD : les principes de privacy by design et privacy by default, consacrés par le règlement européen sur la protection des données, qui obligent les responsables du traitement et les sous-traitants à intégrer en amont de la réalisation d'un traitement toutes les mesures permettant de protéger la vie privée des personnes concernées par ledit traitement. Sans doute faudrait-il intégrer cette dimension dans l'AO ? Bonne soirée

Anonyme
Glissez-déposez une pièce jointe à la discussion