accordion-iconalert-iconarrow-leftarrowarticleShowedbacktotopCreated with Sketch. bookmarkcall-iconcheckchecked-iconclockclose-grcloseconnexion-iconfb-col fb-footer-iconfb-iconfb feedMark__icon--radiofeedMark__icon--starPage 1Created with Avocode.filterAccordion-arrowgoo-col headerBtn__icon--connecthomeinfo-blueinfo insta-1 instalank2IconCreated with Avocode.lglasslink-2linklink_biglinkedin-footer-iconlinkedin-iconlinkedin Svg Vector Icons : http://www.onlinewebfonts.com/icon lock-bluelockmail-bluemail-iconmailnot_validoffpagenavi-next-iconpdf-download-iconplus print-iconreadLaterFlagrelatedshare-icontagsLink-icontop-pagetw-col tw-footer-icontw-icontwitter unk-col user-blueuseruserName__icon--usernamevalidyoutube-footer-iconyoutube Svg Vector Icons : http://www.onlinewebfonts.com/icon
Offert

Responsabilité des acteurs dans le cadre de la commande publique : la CNIL met à disposition un guide

AAI

Afin d'aider les professionnels concernés à identifier leurs responsabilités dans différents contextes de commande publique, la CNIL clarifie dans un guide les éléments à prendre en compte et les conséquences juridiques à tirer de la qualification de « responsable du traitement », de « sous-traitant » ou « responsable conjoint ».

Pour exécuter les marchés publics ou contrats de concession qui leur sont confiés par les administrations, les opérateurs économiques sont amenés à collecter et à utiliser des données personnelles qui peuvent concerner des personnels ou des usagers du service public. Sachant que les traitements de ces données doivent respecter le règlement général sur la protection des données (RGPD).

En précisant au préalable que le rôle joué par chaque acteur a une influence sur la nature et l'étendue de ses responsabilités vis-à-vis des données, la CNIL souligne que la qualification des acteurs de « responsable du traitement », « sous-traitant » ou « responsable conjoint » doit « intervenir le plus tôt possible » et « être effectuée au regard d'éléments factuels et en prenant en compte chaque contexte contractuel ». Ceci permettant notamment d'identifier le niveau de responsabilité de chacun et de définir en conséquence les clauses relatives à la protection des données qui devront être insérées dans le contrat.

La qualification des acteurs lors de la rédaction du contrat constitue « une première étape essentielle » qui « permet de déterminer qui devra garantir le respect des grands principes du RGPD », en particulier :

- l'existence d'un objectif (finalité) explicite et légitime pour chaque utilisation de données ;

- une collecte de données pertinentes et non excessives ;

- la sécurité des données ;

- une durée de conservation limitée des données ;

- la bonne prise en compte des droits des personnes.

Pour accompagner les professionnels dans l'identification de leurs responsabilités, la CNIL publie un guide comportant des précisions sur les critères légaux à prendre en compte, les différentes qualifications pouvant être retenues en fonction de l'objet des contrats et de la nature des traitements qu'ils impliquent, ainsi que sur les conséquences à en tirer lors de la rédaction des documents contractuels.

Un document qui n'est « pas un guide RGPD complet pour les administrations et opérateurs économiques auxquelles elles font appel », mais qui devrait leur permettre de mieux caractériser l'existence et la portée de leurs obligations respectives en matière de protection des données, d'initier sur une base claire les démarches de mise en conformité au RGPD, et de renforcer ainsi leur sécurité juridique.