RGPD : le formulaire « DC4 » de sous-traitance mis à jour
L’entrée en vigueur le 25 Mai 2018 du Règlement Général de Protection des Données a occasionné un nombre important de modification, pour les acteurs privés, mais aussi publics.
S’il impacte les contrats, dont la plupart des modèles ont déjà été mis-à-jour par les acheteurs, il a de facto des répercussions sur les sous-traitants à ces mêmes contrats.
La Direction des Affaires Juridiques (DAJ) a donc – enfin – publié le 11 Septembre 2018 un nouveau formulaire actualisé.
Il est ici amusant de souligner le décalage temporel entre la décision de l’État d’appliquer un texte, et sa mise en œuvre par ses services.
Dans sa notice explicative, la DAJ souligne que le « responsable du traitement est en principe l’acheteur public ».
Au sens du RGPD, le sous-traitant est la « personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».
En marché public le titulaire du contrat et ses sous-traitants éventuels (au sens « commande publique »), sont donc considérés comme des sous-traitant du traitement de la donnée (au sens « RGPD »).
En application du 2 de l’article 28 du RGPD, La DAJ précise que « l’acheteur doit donner au titulaire son autorisation écrite préalable, spécifique ou générale, au recrutement d’un sous-traitant (au sens commande publique) lorsque ce dernier est chargé de traitements de données à caractère personnel ».
À cet effet, le formulaire de déclaration de sous-traitance prévoit désormais une nouvelle rubrique.
Le titulaire et son sous-traitant doivent compléter plusieurs éléments : « les activités de traitement de données à caractère personnel sous-traitées et notamment l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées ».
Désormais, deux cases déclaratives, et cumulatives, sont alors également à cocher par le soumissionnaire / titulaire du marché :
- Une première case assurant que « son sous-traitant présente des garanties suffisantes pour la mise en œuvre de mesures techniques et organisationnelles propres à assurer la protection des données personnelles » ;
- Une seconde case pour attester que « le sous-traité intègre les clauses obligatoires prévues par l’article 28 du RGPD ».
En cas de non-respect des obligations de protection des données par le sous-traitant, le titulaire en est responsable (comme c’est déjà le cas aujourd’hui pour les autres obligations).