Les marchés publics impliquant de traiter des données personnelles sont soumis au RGPD. L’acheteur public assume la responsabilité des traitements tandis que les obligations des sous-traitants sont renforcées. La conformité RGPD fait désormais partie des exigences auxquels les candidats devront répondre pour gagner de nouveaux marchés et fidéliser les clients existants. C’est notre Product News du jour.
Pourquoi appliquer le RGPD aux marchés publics ?
Les organismes publics sont responsables de la conformité des traitements de données à caractère personnel mis en œuvre, y compris s’ils sont sous-traités. Le DPO devient donc logiquement un contributeur des critères de sélection du candidat qui sera retenu pour le concerné. Ce candidat devra présenter les garanties nécessaires justifiant de sa conformité aux exigences renforcées du RGPD.
La responsabilité des traitements assumée par les organismes publics
Le encadre les commandes publiques au même titre que les achats, par des entités privées, de prestations ou de solutions impliquant la manipulation de données personnelles.
Des obligations légales jalonnent ainsi l’ensemble des étapes du marché public :
- la sélection du prestataire par l’acheteur public ;
- la façon dont il encadre la sous-traitance de certaines tâches ;
- l’exécution des prestations par les titulaires des marchés publics.
Si vous déposez une candidature à des offres de marchés publics, sachez que l’acheteur public potentiel assume la responsabilité de ces traitements. Y compris pour les prestations qui vous auront été confiées.
Un niveau de validation supplémentaire pour les données personnelles : le DPO
Pour retenir ou écarter votre candidature, l’acheteur public s’appuiera sur une liste de critères techniques incluant la conformité au RGPD.
Le Délégué à la Protection des Données devient par conséquent un contributeur voire un acteur du déroulement des marchés publics.
- Il propose une liste de critères permettant d’évaluer la maturité de votre entreprise par rapport au RGPD ;
- il conseille les services internes sur les mesures à mettre en place pour assurer la conformité du traitement, ce qui inclut les prestations sous-traitées.
La sous-traitance soumise à un cadre réglementaire plus contraignant
Le RGPD va plus loin que la LIL.
Avant le RGPD, en tant que sous-traitant, il vous suffisait d’assurer la sécurité des données manipulées pour le compte de vos clients.
Désormais,les détaillent des engagements portant sur la manière dont vous manipulez les données :
- Localisation des serveurs d’hébergement des données ;
- Restriction des finalités d’utilisation des données ;
- Limitation des accès aux données ;
- Autorisation préalable de l’acheteur public en cas de recours à des sous-traitants de niveau 2 ou 3 ;
- Etc.
Comment se conformer au RGPD et remporter des marchés publics ?
Vous risquez de perdre des si votre niveau de est jugé insuffisant. La mise en conformité globale de vos activités vous permettra donc :
1°) de démontrer votre sérieux au moment de candidater à de nouvelles commandes publiques ;
2°) de vous adapter aux exigences renforcées de vos clients existants ;
3°) de garantir un niveau de conformité pendant toute la prestation.
Remportez de nouveaux appels d’offres grâce à votre conformité RGPD
Pour lancer de nouvelles commandes, les acheteurs publics peuvent s’appuyer sur un travail d’actualisation des documents de référence mené par la Direction des Affaires Juridiques du Ministère de l’Economie et des Finances, accompagné par la CNIL.
La documentation décrivant les conditions de la décrit en principe les prestations sous-traitées ainsi que les traitements de données personnelles en découlant. En particulier,le devrait comporter les exigences contractuelles qu’il s’agira pour vous de respecter.
Votre offre commerciale devra donc s’accompagner de documents annexes démontrant votre conformité à la réglementation RGPD. Si vous proposez une prestation de qualité au bon prix, votre capacité à prendre en charge vos obligations légales sera un vrai plus.
Fidélisez votre parc de clients, démontrez votre conformité aux nouvelles règles
dont la prestation continue de s’exécuter.
Attendez-vous par conséquent à ce que vos clients vous recontactent pour mettre à jour l’encadrement contractuel de la prestation confiée. Lettre d’engagement de conformité au RGPD, avenant au contrat… feront partie des documents qu’il vous sera demandé de signer.
Cette remise à plat du cadre contractuel sera aussi l’occasion pour de s’assurer que son traitement de données respecte bien les exigences du RGPD. C’est pourquoi, là encore, il est crucial que vous soyez en mesure de prendre des engagements démontrant votre niveau de conformité aux obligations légales.
RGPD compliant tout au long de l’exécution du contrat
Un n’est pas conforme au RGPD uniquement parce qu’il a signé des contrats avec les titulaires des marchés lancés.
Il doit s’assurer que des mesures adéquates de protection et de sécurité sont appliquées pendant toute la phase d’exécution des contrats. Les services en charge du suivi de cette exécution, particulièrement les acheteurs, surveilleront par conséquent le maintien des critères de conformité.
Vous pouvez à ce sujet faire l’objet d’un audit pour s’assurer que vos engagements de conformité ne sont pas de simples bonnes intentions.
En un mot, remporter des n’est pas la fin, ce n’est que le commencement.
Conclusion : pour gagner des marchés (publics), il faut respecter le RGPD
Le imprègne désormais les critères structurant le lancement d’une commande publique dans la mesure où des données personnelles sont traitées.
Les étant responsables de ces traitements, ils doivent encadrer avec sérieux les phases de sous-traitance qu’elles envisagent. Et c’est pourquoi, respecter vos obligations réglementaires est un gage de professionnalisme voire une occasion de vous différencier de la concurrence sur ces aspects.
Pour gagner des marchés, il faut donc être carré.
Ne partez pas si vite
Data Protection Officer – Comment choisir son DPO et bien le positionner ?
Maxime JAILLETLe Data Protection Officer (DPO) est un acteur clé de la conformité RGPD de votre entreprise. Bien choisir son profil est vital pour que l’entreprise devienne privacy-friendly. La protection des données doit devenir une priorité de l’entreprise et plus encore un facteur de créations de valeurs. Pour cela, vous pouvez vous appuyer sur des solutions telles que la CMP d’Axeptio. On vous en parle. C’est notre product news du jour.
Quelle UX design pour votre bandeau cookies ?
Maxime JAILLETAdoptez une UX design claire et transparente pour votre bandeau cookies ! La réglementation pousse à recueillir un consentement actif et spécifique. Emplacement, contenu, ergonomie… Proposez une expérience utilisateur fluide permettant d’être informé et d’exprimer ses préférences. Devenez ainsi un acteur du marketing choisi.
Comment gérer la conformité RGPD de votre site Wordpress ?
Maxime JAILLETVotre site web Wordpress respecte-t-il les standards du RGPD ? Une démarche active sera nécessaire de votre part pour réaliser cette mise en conformité. Gestion des cookies, transparence, sécurité, consentement… les mesures à appliquer sont multiples. Heureusement, vous pouvez vous appuyer sur des outils dédiés… à condition de bien les choisir.