Protection des données personnelles : la commande publique, objet et facteur-clé de succès du RGPD
Le 25 mai 2018 entre en vigueur le règlement européen de protection des données personnelles (RGPD). Les droits des résidents de l’Union européenne sont considérablement étendus par les nouvelles obligations qui pèsent sur les responsables de traitement des données et leurs sous-traitants. La commande publique est à la fois soumise à ces nouvelles règles et devient un levier pour y répondre. Pour respecter les principes prochainement applicables (I), il est nécessaire de concevoir une relation étroite avec les titulaires et les futurs titulaires des marchés (II). En cas de non-respect des règles, la responsabilité pourra être engagée : prioriser la conformité est dès lors primordial (III).
I. Les dispositions du RGPD
La protection des droits et libertés fondamentaux est une des raisons d’être du droit de l’Union européenne. Le règlement européen du 27 avril 2016 en est un des instruments. À compter du 25 mai 2018, la collecte et le traitement de données portant sur une personne physique identifiée ou identifiable doit respecter ces principes majeurs.
Avant toute collecte et traitement de données personnelles, les finalités du traitement doivent être définies en amont, explicites et légitimes. Celui qui les définit est le responsable du traitement des données. Le responsable du traitement, ou son sous-traitant, qui collecte et/ou traite ces données pour le compte du responsable, doit respecter ces finalités tout au long de la collecte et du traitement. Il en découle les autres principes que sont l’adéquation et limitation aux finalités définies de la collecte et du traitement. Les données collectées doivent être maintenues à un état de fraîcheur permettant que seules des données exactes soient traitées. Elles doivent ainsi être mises à jour régulièrement. À défaut, elles doivent être supprimées ou rectifiées. À cette minimisation des données collectées répond la limitation de la durée de conservation des données au temps du traitement, sauf pour les archives.
Le traitement des données doit être opéré de manière licite, loyale et transparente. Il n’est licite que si les personnes concernées ont donné leur consentement. Le consentement n’est pas requis si le traitement répond à un intérêt public ou relève des missions d’autorité publique du responsable du traitement. Les personnes publiques seront ainsi, dans leurs missions de service public et de police, exemptées de recueillir le consentement de leurs administrés lorsqu’elles collecteront et traiteront leurs données. Lorsque le traitement des données répond à une obligation légale à laquelle le responsable du traitement est soumis, le consentement des personnes concernées n’est pas nécessaire pour assurer la licéité de la collecte et du traitement non plus. Par exemple, les données des fichiers des abonnés aux services d’eau et d’assainissement pourront être collectées et traitée sans leur consentement dans la mesure où il ‘agit d’un service public (CGCT, art. R. 2224-18).
La collecte et le traitement doivent garantir la sécurité des données. Tant que les données sont conservées, elles doivent être protégées de traitements illicites ou non autorisés, de modifications, de divulgations ou de destructions. La passation de marchés de cyber-sécurité s’avère ainsi nécessaire pour répondre aux obligations du règlement.
Le responsable du traitement doit être en mesure à tout moment de prouver qu’il respecte ces obligations. Ce principe de responsabilité ou de capacité à rendre des comptes (accountability) est l’un des piliers de la protection des données personnelles, fondant la confiance dans la société numérique en formation. Matériellement, les systèmes d’informations de traitement devront respecter ces règles dès leur conception et dans leurs modes d’utilisation (« respect by default and by design »). Humainement, cette obligation se traduit particulièrement par l’obligation faite aux personnes publiques de se doter d’un délégué à la protection des données personnelles (ou data protection officer – DPO). La fonction de DPO consiste en premier lieu à contrôler le respect du RGPD, à en documenter la conformité et à réaliser les études d’impact applicables aux traitements des données sensibles (c’est-à-dire susceptibles de porter atteintes aux droits et libertés fondamentales des résidents de l’Union européenne). Elle consiste également à diffuser la culture de la protection des données (et en France, plus largement, celle de l’Informatique et des Libertés en œuvre depuis 1978). Le DPO est enfin l’interface entre le responsable du traitement et la Commission nationale de l’informatique et des libertés, qui est le chef de file en France de la protection des données.
L’ensemble de ces principes interroge quant à la commande publique :
- les titulaires des marchés de services collectent parfois des données personnelles, ce qui oblige le pouvoir adjudicateur à s’assurer du respect des principes de la protection des données ;
- les marchés publics vont être un outil incontournable pour répondre à ces obligations : les prestations de DPO peuvent faire l’objet d’une passation de marchés publics, tout comme l’intégration de clauses sur la collecte et le traitement des données dans les contrats de la commande publique permettront de se conformer au règlement.
II. Les marchés publics, un levier pour répondre aux nouvelles obligations
La première étape du respect du règlement européen passe par le diagnostic ou la cartographie des traitements de données mis en œuvre par ou pour le pouvoir adjudicateur.
Il peut s’agir de la première mission du délégué à la protection des données ou du préalable à sa désignation. Si le recrutement d’un DPO ou sa mutualisation n’est pas retenu, le recours à un marché de service pour le désigner est possible. Le titulaire du marché sera le DPO du pouvoir adjudicateur, pour l’ensemble des missions.
Le recours à la commande publique avant la désignation du DPO est également possible. À cet égard, il sera nécessaire de bien délimiter les contours de la prestation confiée. L’identification des traitements des données personnelles par tous les satellites et partenaires du responsable du traitement peut s’avérer complexe en prenant en compte par exemple les données collectées par la collectivité elle-même, mais aussi ses établissements publics (centre d’action sociale, office de tourisme, etc.), ses associations transparentes et ses sociétés ainsi que ses délégataires. La détermination de la valeur du besoin, et donc les règles de publicité et de mise en concurrence à respecter, peut à cet égard s’avérer complexe : le recours au sourcing, permis par le nouveau corpus de la commande publique, est précieux à cet égard.
Les collectivités et leurs partenaires qui s’attellent actuellement à être conforme au règlement européen soulignent que deux méthodes se détachent, une fois que la cartographie des traitements a été réalisée :
- la première méthode est une intervention massive mais courte (entre deux et trois jours pour une commune ou une intercommunalité) pour mettre à jour les systèmes d’information et informer les services de nouvelles règles à respecter. Cette méthode peut être menée par un prestataire extérieur désigné par un marché public, ce qui n’obère pas de la désignation en interne d’un délégué à la protection des données.
- la seconde méthode est d’externaliser la fonction de délégué à la protection des données, notamment en confiant à un prestataire extérieur cette fonction. Le rôle du prestataire est alors inscrit dans un temps long, avec une première mission très dense (cartographier, assurer et documenter la conformité ex nihilo, réaliser les études d’impacts) puis un rôle plus diffus par la suite (acculturer les services, mener des actions de communication, etc.). Cette méthode permet également de lisser le coût de la première intervention sur un temps plus long. Toutefois, et dans la mesure où la fonction de DPO nécessite une connaissance intime des rouages des services du pouvoir adjudicateur et de ses prestataires, le recours à un marché public peut ici montrer des limites.
Les partenaires des pouvoirs adjudicateurs, qu’il s’agisse des titulaires de marchés ou les concessionnaires, peuvent également traiter ou collecter des données sur les usagers des services publics. Ils peuvent être responsables du traitement, si ce sont eux qui en définissent les finalités, ou sous-traitants s’ils traitent les données selon les finalités définies par le pouvoir adjudicateur ou l’autorité concédante. La mise à jour des contrats de la commande publique semble nécessaire avec l’ajout, par avenants, de clauses particulières. La Commission nationale de l’informatique et des libertés a mis en ligne à cette fin des exemples de clauses contractuelles entre le responsable du traitement et son sous-traitant. Les pouvoirs adjudicateurs devront se montrer particulièrement vigilants pour s’assurer que les sous-traitants de premier rang sont eux-mêmes respectueux des règles par leurs sous-traitants (si cela est autorisé).
L’ampleur de la transformation qu’augure le règlement fait toutefois craindre une incapacité à répondre à ces obligations. Les administrations et leurs partenaires seront-ils prêts le 25 mai 2018 ? Il est probable que non. Il ne s’agit donc pas uniquement de s’interroger sur les moyens de se mettre en conformité mais aussi, voire surtout, de questionner les risques de ne pas être prêt.
III. Et en cas de non-conformité ?
La non-conformité, totale ou partielle, au règlement européen le 25 mai 2018 pourra faire l’objet d’un engagement de la responsabilité administrative des pouvoirs adjudicateurs, mais également de sanctions administratives par la CNIL.
La responsabilité administrative des personnes publiques pourra être engagée dès lors que, classiquement, un dommage subi par une personne physique sera imputable à une violation du règlement par un responsable du traitement ayant participé au traitement. La responsabilité d’un sous-traitant peut être engagée s’il n’a pas respecté les dispositions du règlement européen propres aux sous-traitants ainsi que celles auxquelles il était soumis par son contrat.
La responsabilité administrative du responsable ou du sous-traitant peut être engagée par la CNIL pour des montants pouvant s’élever jusqu’à vingt millions d’euros ou quatre pour cents du chiffre d’affaires. Le prononcé de la sanction et le montant de l’amende font l’objet d’une appréciation matérielle par l’autorité de régulation, notamment de la nature et de la gravité des faits.
Les pouvoirs adjudicateurs doivent être particulièrement vigilants dès lors à identifier en priorité les données qui pourraient avoir un impact sur les droits et libertés fondamentaux de leurs usagers, et en particulier les enfants, et à les protéger au maximum, y compris par des clauses contractuelles très strictes.
Sources :