RGPD : une meilleure définition pour les acheteurs publics
L'exécution des contrats publics est génératrice d'une grande quantité de données. Pour aider les acheteurs publics à mieux déterminer leurs responsabilités dans le cadre du RGPD (Règlement général pour la protection des données), la CNIL a récemment publié un guide. Décryptage.
Je m'abonneLe sujet du traitement des données dans la commande publique évolue régulièrement. Dans ce contexte, Moniteur Juris, éditeur spécialisé en droit de la commande publique, a organisé un webinaire en ce mois de septembre 2022 pour faire un point sur l'actualité récente. L'occasion d'aborder la sortie du nouveau guide de la CNIL dédié à la commande publique. Publié en juin dernier, ce dernier définit la responsabilité des acteurs dans le cadre du RGPD (Règlement général pour la protection des données). La CNIL traite notamment des notions de responsable du traitement des données et de sous-traitant (deux points essentiels du RGPD) et tente de les appliquer dans le domaine des contrats publics. "Celle-ci fournit un certain nombre d'exemples afin de guider au mieux les acheteurs", précise Vincent Drain, avocat associé au sein du cabinet Valians, qui animait ce webinaire.
Trois cas de figure
L'avocat est notamment revenu sur trois cas de figure évoqués dans le guide, dans le cadre de contrats publics entre une administration et un opérateur économique. Lorsqu'il s'agit d'un marché pour lequel le traitement de données constitue l'objet du contrat ou l'un de ses éléments substantiels, la CNIL considère que l'administration est responsable du traitement et l'opérateur économique son sous-traitant. A l'inverse, l'opérateur économique est le seul responsable du traitement dans le cas des concessions, selon la CNIL. Enfin, le gendarme de la protection des données estime que les deux parties sont responsables conjoints du traitement dans le cadre des concessions portant sur la gestion d'un service public. Rappelons qu'en cas de non-respect du RGPD, la CNIL peut prononcer des amendes administratives. "Le montant de certaines sanctions peut être important et s'élever à plus d'un million d'euros", souligne Vincent Drain. Avant d'ajouter : "Lorsqu'il y a des violations en matière de protection des données personnelles, l'administration s'expose également à un préjudice d'image pour l'administration".
Zoom sur l'arrêt du Conseil d'État "Commune de Nîmes"
Pour illustrer la problématique des données dans les contrats publics, le webinaire a également mis en exergue un exemple concret : l'arrêt du Conseil d'État "Commune de Nîmes". Datant du 16 mai dernier, ce dernier concernait l'exécution d'une délégation de service public (DSP) relative à l'animation et l'exploitation touristique des monuments de la Commune de Nîmes avec l'obligation, pour le titulaire sortant, de publier sur les réseaux sociaux et de réaliser un film de promotion. A l'expiration de la DSP, ce dernier a refusé de restituer les données relatives aux droits d'accès sur les réseaux sociaux ainsi que le support du film de promotion à la Commune de Nîmes. De fait, la collectivité a utilisé un référé conservatoire afin que le titulaire sortant lui rétrocède ces éléments. Le juge a accepté cette demande, considérant que les droits d'accès aux réseaux sociaux et le support du film de promotion étaient des biens de retour immatériels, devant être retournés gratuitement à l'expiration de la DSP. Le titulaire sortant s'est opposé à cette demande en invoquant le code de la propriété intellectuelle, ce qui a été écarté par le Conseil d'État. De même, dans ce cas, les dispositions du RGPD ne peuvent faire obstacle à une injonction du juge des référés.