La Cnil a publié un guide intitulé « la responsabilité des acteurs dans le cadre de la commande publique ».
Ce guide pratique se penche sur la question complexe de la qualification informatique et libertés des acteurs intervenant en particulier dans le cadre de marchés publics et à la responsabilité qui en découle en matière de protection des données personnelles.
En effet, les organismes publics rencontrent souvent des difficultés à identifier à qualifier le prestataire auquel ils font appel : « responsable de traitement », de « sous-traitant » ou de « responsable conjoint ».
Le guide insiste sur la nécessaire analyse du contexte contractuel. Il est en effet indispensable de répondre à la question suivante : qui a initié et organisé le traitement ?
Il expose ensuite quelles sont les différentes typologies de qualifications possibles selon :
- l’objet des contrats,
- la nature des traitements,
- les conséquences en résultant sur les contrats.
Cette problématique revêt une grande importance en raison du risque juridique et d’image attachée au non-respect des obligations légales.
La qualification de responsable de traitement en matière de commande publique
Les administrations recourent souvent à d’autres organismes pour la mission de répondre à des besoins en matière de travaux, fournitures ou services.
Au titre de l’article 4 du RGPD, le responsable de traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ». Il s’agit donc de toute entité qui a décidé « pourquoi » et « comment » les données seront traitées.
Compte tenu de la complexité et de la diversité des situations, l’analyse contextuelle s’impose dans la plupart des cas. Elle doit se faire « traitement par traitement », c’est-à-dire pour chacun des traitements ayant vocation à intervenir dans le cadre de l’exécution du contrat.
Les documents contractuels guident souvent l’analyse mais il est essentiel de l’appréhender de manière factuelle.
Attention, il est essentiel que la qualification des acteurs soit effectuée en amont de la conclusion des marchés et concessions.
Une possibilité de responsabilité de l’administration
Pour qualifier l’administration de responsable de traitement, certaines conditions sont à remplir.
Elle peut l’être si elle s’est spécifiquement intéressée aux objectifs du marché ou de la concession et aux conditions de sa mise en œuvre.
D’autre part, il faut aussi se pencher sur la nature du service sollicité dans le marché ou la concession et les principales composantes d’un ou plusieurs traitements de données.
L’administration peut engager sa responsabilité selon son degré d’implication dans l’encadrement des traitements de données.
En pratique, elle peut avoir le statut de responsable de traitement lorsque :
- L’objet du contrat porte sur la mise en œuvre d’un traitement de données dont les caractéristiques sont alors encadrées dans ce contrat
- Elle a initialement exigé le déploiement du traitement, en le visant dans le cahier des charges définissant la nature et l’étendue des besoins à satisfaire
- Elle a porté une attention particulière aux objectifs et conditions de traitement, en validant celles proposées par l’opérateur économique
L’opérateur économique est également concerné par cette responsabilité
L’opérateur économique peut assumer toute ou partie de la responsabilité RGPD. Concrètement, il engage nécessairement sa responsabilité lorsque l’administration n’est pas le responsable du traitement. Ainsi, ce dernier aura la qualité de seul responsable du traitement de données.
Toutefois, en cas de responsabilité attribuée à l’administration, celle de l’opérateur économique peut prendre deux formes :
- Celle d’une responsabilité de « responsable conjoint », s’il a participé à l’identification des objectifs et caractéristiques essentielles du traitement mis en œuvre, en exerçant une influence décisive sur ces derniers
- Celle d’une responsabilité de « sous-traitant », s’il ne poursuit pas une finalité propre et traite les données dans le strict cadre défini par l’administration.
Les variations de qualification selon l’objet des contrats et la nature des traitements
Les contrats de commande publique comme les traitements de mise en œuvre pour leur exécution sont de nature très diverse.
Suivant l’objet des contrats et les finalités de traitement, l’action de l’administration diverge. Trois cas de figures sont alors à distinguer :
- L’administration est responsable du traitement et l’opérateur est sous-traitant :
Ce premier cas de figure correspond au cas où le traitement des données constitue l’objet même du contrat. L’administration fixe un cadre strict à l’opérateur.
- L’opérateur économique est le seul responsable du traitement ;
Dans cette deuxième hypothèse, l’administration ne s’est pas spécifiquement intéressée au traitement en cause.
- L’administration et l’opérateur sont responsables conjoints du traitement :
En cas de co-construction/codécision entre l’administration et l’opérateur économique, ils ont la qualité de « responsables conjoints du traitement ».
Les conséquences sur les contrats de commande publique
- En cas de sous-traitance :
En vertu de l’article 28 du RGPD : « l’administration doit, avant de procéder à l’attribution du contrat, s’être bien assurée que l’opérateur économique présente des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées ».
- En cas de responsabilité exclusive de l’opérateur économique :
L’administration ne doit pas se déresponsabiliser totalement quant à la protection des données de ses administrés ou de ses employés.
- En cas de responsabilité conjointe :
En application de l’article 26 du RGPD, les parties au contrat doivent déterminer, par voie d’accord, de façon claire, transparente, pragmatique et opérationnelle, leurs obligations respectives.
Anne Renard,
Anna-Louise Lacapelle, étudiante en droit-économie, classe préparatoire ENS D1 au lycée Turgot et en licence à Paris 1 Panthéon-Sorbonne
Lexing Informatique et libertés Secteur public