Open data et RGPD, les nouvelles obligations qui incombent à l’acheteur !
S’inscrivant dans le contexte global d’ouverture des données publiques des collectivités locales, exigées par la loi pour une République numérique adoptée en 2016, l’article 107 du décret marchés publics n° 2016-360 oblige à l’ouverture des données essentielles des marchés publics à compter du 1er octobre 2018. Mais préalablement, à compter du 25 mai 2018, les acheteurs publics doivent mettre en application dans le cadre de leur activité les exigences du Règlement européen 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD ou GDPR en anglais, pour General Data Protection Regulation). Entre ouverture des données et respect des données personnelles, l’acheteur public peut légitiment être déstabilisé par des injonctions qui apparaissent contradictoires. Nous allons essayer d’y répondre tout d’abord en étudiant le RGPD au regard des marchés publics, puis en précisant les obligations concrètes d’open data en matière de marchés publics à mettre en œuvre en octobre 2018.
I. La protection des données personnelles dans le cadre des procédures de passation des marchés publics
Le RGPD réglemente toutes données personnelles se trouvant dans un système informatique ou un fichier. Les données personnelles sont définies à l’article 4 du RGPD comme étant « toute information se rapportant à une personne physique identifiée ou identifiable », cela ne concerne donc pas les données liées à une personne morale, sauf le nom et les coordonnées de la personne comme contact ou représentant celle-ci.
Les données personnelles doivent être obtenues de façon licite et les données collectées doivent être limitées à celles qui sont nécessaires au regard des finalités pour lesquelles elles sont traitées (minimisation des données). Leur conservation est limitée dans le temps et sécurisée, ce qui peut aller jusqu’à l’anonymisation de celles-ci.
Or, dans le cadre des consultations relatives aux marchés publics, l’acheteur recueille le nom et l’adresse de personnes physiques représentant un candidat que celui-ci soit une personne morale ou une entreprise individuelle. Pour être licite, le recueil de données personnelles repose sur le consentement express de l’intéressé mais l’article 6 I b du règlement européen 2016/679 prévoit une exception si : « le traitement de ces données personnelles étant nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci. »
L’acheteur public n’a donc pas à demander de façon expresse l’autorisation de recueillir et de traiter les données personnelles liées à une candidature.
Cependant, les consultations liées aux marchés publics nécessitent parfois la mise en place de jury ou de commission, comme la commission d’appel d’offres et les systèmes d’informations permettant de gérer cela comportent nécessairement les données personnelles de l’exécutif, des élus, tiers compétents comme les maîtres d’œuvre et même du personnel administratif compétent dans l’objet de l’achat ou relevant du service marché.
Par mesure de précaution, il est conseillé au responsable du traitement qui collecte ce type de données de recueillir le consentement des personnes chargées des consultations ou participant à un stade de quelconque de celle-ci. Le recueil du consentement préalable doit pouvoir s’exprimer par un moyen simple et spécifique.
Enfin, se pose la question des données personnelles incluses dans l’obligation d’open data posée par l’article 107 du décret marché public, c'est-à-dire l’identité de l’attributaire lorsque celle-ci concerne une personne physique. L’article 6 c) du RGPD pose une autre exception au principe du consentement de la personne lorsque : « le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ».
Mais le sujet de l’open data relatif aux marchés publics n’est pas totalement aborder si on élude, celui connexe, des demandes d’accès aux documents administratifs relatifs aux marchés publics, prévues par le Code des relations entre le public et l'administration. La CADA et la CNIL devraient fournir un « pack open data » afin de répondre aux nombreuses questions qui se posent dans ce cadre.
II. L’ouverture des données essentielles des marchés publics
Prévue par l’article 107 du décret marchés publics, l’ouverture des données essentielles des marchés publics a été précisée par l’arrêté du 14 avril 2017.
L’acheteur public pour toute consultation engagée ou l’avis d’appel public à la concurrence envoyé à compter de cette fameuse date du 1er octobre 2018 pour un besoin dont la valeur est égale ou supérieure à 25 000 euros HT publie les données essentielles du contrat ou des contrats en résultant sur son profil d'acheteur ainsi que des modifications pouvant l’affecter et assure à tous un accès libre, direct et complet aux données essentielles des marchés publics, à l'exception des informations dont la divulgation serait contraire à l'ordre public. ».
Cette publication doit avoir lieu dans les deux mois suivant la notification d’un marché (D. art. 107-I- 1) mais aussi toutes les modifications affectant ces mêmes marchés dans les deux mois suivant la notification de celles-ci, (D. art. 107-I- 1).
Listées par l’article 107, lui-même, les données essentielles reprennent les éléments synthétiques de l’attribution, nom du titulaire et nom de l’acheteur, nature et objet du marché, procédure de passation, lieu d’exécution, montant, principales conditions financières et durée du marché, date de notification et numéro de marché (numéro d'identification unique) informations qui, pour l’essentiel, correspondent à celles figurant dans le registre des marchés. Pour la modification du marché, ce qui est plus vaste que la notion de d’avenant l’objet de la modification et son impact ainsi que la date de notification de celle-ci.
L’arrêté du 14 avril 2017 relatif aux données essentielles dans la commande publique vient préciser la teneur exacte des informations devant être publiées.
Pour les marchés :
- date de publication des données essentielles du marché public initial ;
- numéro SIRET de l'acheteur ;
- nature du marché public correspondant à l'une des mentions suivantes : marché, marché de partenariat, accord-cadre, marché subséquent ;
- principal code du Vocabulaire commun pour les marchés publics (CPV) ;
- le nom du lieu principal d'exécution ;
- l'identifiant du lieu principal d'exécution, sous la forme d'un code postal ou d'un code INSEE ;
- la durée du marché public initial en nombre de mois ;
- la forme du prix du marché public correspondant à l'une des mentions suivantes : ferme, ferme et actualisable, révisable ;
- le ou les numéros d'inscription du ou des titulaires au répertoire des entreprises et de leurs établissements, c'est-à-dire le répertoire Sirene gérée par l’Insee et accessible totalement et gratuitement depuis le 1er janvier 2017 au titre de l’open data. À défaut, le numéro de TVA intracommunautaire pour une entreprise étrangère.
Pour leurs modifications :
- la date de publication des données relatives à la modification apportée au marché public initial ;
- l'objet de la modification apportée au marché public initial ;
- la durée modifiée du marché public/Le montant HT modifié en euros du marché public ;
- le nom du nouveau titulaire, en cas de changement de titulaire / le numéro d'identifiant du nouveau titulaire, en cas de changement de titulaire ;
- la date de signature par l'acheteur de la modification apportée au marché public (entendue comme la date de notification évoquée par l’article 107 du décret).
Mais l’arrêté ne s’arrête pas là, il indique aussi en annexe un référentiel des données relatif aux marchés publics permettant de savoir comment renseigner l’ensemble des rubriques imposées. Ainsi, par exemple, la durée devant être exprimée en mois, en cas de marché de 15 jours, sa durée sera exprimée arrondie à 1 mois.
Ces données doivent être mises à disposition en consultation sur le profil d’acheteur et en téléchargement aux formats XML ou JSON. Les données essentielles sont maintenues disponibles sur le profil d'acheteur pendant une durée minimale de cinq ans après la fin de l'exécution du marché public (arr. du 14 avril 2017, art. 7).
En outre, l’article 10 de l’arrêté du 14 avril 2017 stipule que l'acheteur public doit mettre à disposition les données essentielles sous une licence de réutilisation qu’il choisit conformément aux dispositions des articles L. 323-2 du Code des relations entre le public et l'administration, c'est-à-dire la licence ouverte de réutilisation d'informations publiques ou l'Open Database License (Code des relations entre le public et l'administration, art. D. 323-2-1).
Pour mémoire, en octobre 2011, Etalab, la mission gouvernementale en charge de l’ouverture des données en France, a publié sa propre licence libre, baptisée « licence ouverte de réutilisation d'informations publiques » (LO). Elle est dite permissive car la seule contrainte est de mentionner la paternité et la date de la dernière mise à jour. Pour le reste, il est possible de reproduire, redistribuer, modifier, exploiter à titre commercial.
L’Open Database License (ODbL) est une licence de style copyleft qui permet de copier, modifier, de faire un usage commercial, sous trois conditions : citer la source ; redistribuer sous des conditions de partage identiques les modifications ; maintenir ouverte techniquement la base de données que vous redistribuez, qu’elle soit modifiée ou non. Toutefois, et c’est un point important et souvent oublié, il est possible de déroger au share alike moyennant contre-partie.
À noter que pour accompagner les collectivités territoriales et les établissements publics de santé dans leur transition numérique, les services de l’État se sont organisés pour qu’un flux unique de données, répondant à un format prédéterminé appelé « PES marché », permette, dès octobre 2018, à l’acheteur de satisfaire simultanément à toutes ses obligations réglementaires.
Source :