Commande publique : anticiper ses obligations RGPD

Commande publique : anticiper la responsabilité RGPD

Répondre à une commande publique. Bien souvent, l’administration fait appel à des organismes privés pour réaliser certaines tâches, dans le cadre d’un marché public (travaux, gestion des services périscolaires, transport, etc.).

Dans le cadre du marché public, l’organisme privé va souvent collecter des données à caractère personnel. Par exemple, dans le cadre d’une mission de transport, le transporteur peut être amené à collecter les noms et prénoms des usagers du service public qu’il assure.

Données personnelles = RGPD. Cette collecte de données personnelles impose la mise en œuvre d’une réglementation particulière : le règlement général sur la protection des données. Une mise en œuvre qu’il faut donc anticiper contractuellement.

Par exemple, il faut déterminer si l’organisme privé assume le rôle de responsable de traitement, de co-responsable de traitement ou de sous-traitant.

Commande publique : un guide pour vous accompagner

Pour aider l’administration et les organismes privés à bien encadrer contractuellement les différentes responsabilités en matière de RGPD, la Cnil a publié un guide sur la responsabilité des acteurs dans le cadre de la commande publique.

À titre d’exemple, pour la CNIL, lorsqu’un organisme collecte des données à caractère personnel dans le cadre de l’exécution d’un contrat axé sur la gestion de missions de service public, il doit être qualifié de « responsable conjoint du traitement » avec l’administration.