Comment rendre vos marchés publics conformes au RGPD

Le règlement européen, adopté dans le but de protéger les données à caractère personnel des personnes physiques, impacte la commande publique dès lors que le titulaire d’un contrat est amené à manipuler des traitements de données à caractère personnel issues du pouvoir adjudicateur ou des usagers du service public. La loi permettant la prise en compte de l’adaptation de la Loi Informatique et libertés du 6 janvier 1978 au RGPD a été promulguée le 20 juin 2018.

Que ce soit pour les contrats en cours d’exécution ou les contrats à conclure, vous devez tenir compte des obligations que vous impose le RGPD et vous prémunir contre les éventuels risques contentieux et/ou financiers.
Le CFPA vous propose un rendez-vous exceptionnel avec une journée d’actualité le 14 novembre et un atelier rédactionnel le 15 novembre.

Journées animée par :

Emeline Vandeven, Consultante juridique à la Direction des affaires juridiques du MINISTERE DE L’ECONOMIE ET DES FINANCES
Yves Claisse, Avocat Associé, Cabinet Claisse
Mathieu Ginestet, juriste au service des délégués à la protection des données, CNIL

Rappel des enjeux et objectifs du RGPD et de la nouvelle loi Informatique et liberté du 20 juin 2018 : les fondamentaux évoluent, adaptez vos pratiques !

Présentation du RGPD : pourquoi ce texte ? Quelles nouveautés ? Quels changements ?
- Les notions du RGPD : données personnelles, traitement, responsable de traitement, sous-traitant
- Les contours de la notion de responsable de traitement : les organismes publics sont-ils considérés comme responsables de traitement au sens du texte européen ?
- Les mesures de sécurité à mettre en place
- La charte de protection des données
- L’audit interne
L’étendue des nouvelles obligations : transparence, déontologie et protection
Marchés publics, concessions…: tous les contrats de la commande publique sont-ils concernés ?
La fin de la dispense de la CNIL pour les marchés publics : quelles conséquences pour les acheteurs publics ? A quels risques s’exposent-ils ?
Quelles mesures doivent prendre les acheteurs publics dès la phase de lancement du contrat public (marché public ou concession) et avec quels acteurs ?
- Le privacy by design
- L’analyse d’impact relative à la protection des données (AIPD = PIA)
- La collaboration étroite avec le DPD (DPO)

Sous-traitance et RGPD : l’identification de la chaine des responsabilités

Qui est la personne responsable du traitement ?
- Le responsable de traitement est-il toujours l’acheteur ?
- Qu’en est-il en cas de coopération entre administrations ?
- DPD, service des marchés publics ou de la commande publique : qui est chargé d’intégrer les obligations du RGPD dans les procédures ?
Que recouvre la notion de sous-traitant au sens du RGPD ? Le sous-traitant au sens du RGPD est-il le sous-traitant au sens du droit de la commande publique ? Qui est le sous-traitant recruté par le sous-traitant auquel fait référence le RGPD ?
Quelles obligations incombent au sous-traitant ?
Quelles sont les conséquences du RGPD sur les sous-traitants des collectivités territoriales ?

Quelles modifications apporter aux clauses contenues dans les marchés publics pour satisfaire la réglementation relative aux données personnelles ?

Quelles sont les clauses obligatoires prévues par le RGPD ? Quelles sanctions si ces clauses n’apparaissent pas ?
A quel clausier type se référer ?
Ces ajouts peuvent-ils êtres faits par l’intermédiaire d’un avenant ?
Jusqu’où aller dans la rédaction de ces clauses ?
Quid en cas de violation des données à caractère personnel ?

Etape par étape : les obligations en matière de transmission des données

Quelles données obligatoires fournir pour les opérateurs au délégant ou au pouvoir adjudicateur ?
Quelles contraintes liées au dispositif de la loi CNIL et à la question délicate de l’anonymisation des données commercialement sensibles ?
Quid lors du traitement, de la réutilisation et de l’archivage des données personnelles ? Notamment comment garantir le respect des principes immuables de transparence et d’égalité de traitement lors de la remise en concurrence des contrats publics ?
Quid du CCAG ? Qu’en est-il de l’application de l’article 5.2.3 des différents CCAG depuis l’entrée en vigueur du RGPD ? Quels effets sur les contrats en cours au moment de l’entrée en vigueur du nouveau texte ?
- Le fait de viser ou non un CCAG dans le contrat a-t-il une incidence sur l’application des règles ?
En quoi ces nouvelles obligations peuvent-elle avoir un impact sur la concurrence entre les opérateurs du marché ?
- Comment veiller à protéger ce qui relève du secret des affaires ?
- Quelles éventuelles conséquences sur le prix des prestations ?
RGPD et Open data : comment appliquer le RGPD au stade de la publication des données essentielles des marchés publics ?

Quels contrats concernés par le RGPD ? Quelles exclusions ?
L’enjeu des clauses relatives au RGPD dans les marchés publics
Insérer le RGPD dans un processus achat
Insérer le clausier dédié au respect du RGPD dans le CCP ou en tant qu’annexe : quel choix opérer
Le contenu des clauses RGPD
- L’objet de la clause
- La description du traitement externalisé (services mis en œuvre, nature des opérations, finalités du traitement, DCP traitées, catégories de personnes concernées…)
- La durée de l’externalisation / du contrat
- Les obligations du titulaire vis à vis de l’acheteur, responsable de traitement
La sous-traitance
Le droit d’information des personnes concernées
L’exercice des droits des personnes
La notification des violations de DCP
Les mesures de sécurité
Le sort des données en fin de marché publics
Le délégué à la protection des données (DPD/DPO)
Le registre
La documentation
- Les obligations de l’acheteur vis-à-vis du titulaire

À partir d’exemples de contrats, les participants s’entraineront à la rédaction des clauses relatives au RGPD avec des mises en situation (cas pratiques écrits) et partageront ensemble leurs difficultés, leurs points de vue et expériences.
L’intervenant est présent pour les conseiller et les orienter dans les meilleurs choix à opérer afin de garantir la sécurité juridique de leurs marchés publics.

Atelier n°1 – Rédaction des clauses relatives à la protection des données personnelles d’un marché public relatif à l’externalisation de la fonction de délégué à la protection des données (DPD/DPO) et / ou prestation d’accompagnement pour la mise en conformité au RGPD
Atelier n°2 – Rédaction des clauses relatives à la protection des données personnelles d’un marché public de formation
Atelier n°3 – Rédaction des clauses relatives à la protection des données personnelles d’un marché public de travaux
Atelier n°4 – Rédaction des clauses relatives à la protection des données personnelles d’un marché de propriété intellectuelle
Bilan de la formation : faire le point sur les bonnes pratiques à adopterre le point sur la réglementation relative à la protection des données

Comment rendre vos marchés publics conformes au RGPD

Rappel des enjeux et objectifs du RGPD et de la nouvelle loi Informatique et liberté du 20 juin 2018 : les fondamentaux évoluent, adaptez vos pratiques !

Sous-traitance et RGPD : l’identification de la chaine des responsabilités

Achats mutualisés et RGPD : quelles obligations en matière de déclaration des données ? Sur qui pèsent-elles ?

Quelles modifications apporter aux clauses contenues dans les marchés publics pour satisfaire la réglementation relative aux données personnelles ?

Etape par étape : les obligations en matière de transmission des données

Manquements aux nouvelles obligations du RGPD : quelles sanctions et mises en jeu de la responsabilité des sous-traitants ?