Back to Blog

Pour remporter des marchés publics, soyez RGPD-compliant

Maxime JAILLET

Les marchés publics impliquant de traiter des données personnelles sont soumis au RGPD. L’acheteur public assume la responsabilité des traitements tandis que les obligations des sous-traitants sont renforcées. La conformité RGPD fait désormais partie des exigences auxquels les candidats devront répondre pour gagner de nouveaux marchés et fidéliser les clients existants. C’est notre Product News du jour.

Pourquoi appliquer le RGPD aux marchés publics ?

Les organismes publics sont responsables de la conformité des traitements de données à caractère personnel mis en œuvre, y compris s’ils sont sous-traités. Le DPO devient donc logiquement un contributeur des critères de sélection du candidat qui sera retenu pour le marché public concerné. Ce candidat devra présenter les garanties nécessaires justifiant de sa conformité aux exigences renforcées du RGPD.

La responsabilité des traitements assumée par les organismes publics

Le RGPD encadre les commandes publiques au même titre que les achats, par des entités privées, de prestations ou de solutions impliquant la manipulation de données personnelles.

Des obligations légales jalonnent ainsi l’ensemble des étapes du marché public :

  • la sélection du prestataire par l’acheteur public ;
  • la façon dont il encadre la sous-traitance de certaines tâches ;
  • l’exécution des prestations par les titulaires des marchés publics.

Si vous déposez une candidature à des offres de marchés publics, sachez que l’acheteur public potentiel assume la responsabilité de ces traitements. Y compris pour les prestations qui vous auront été confiées.

Un niveau de validation supplémentaire pour les données personnelles : le DPO

Pour retenir ou écarter votre candidature, l’acheteur public s’appuiera sur une liste de critères techniques incluant la conformité au RGPD.

Le Délégué à la Protection des Données devient par conséquent un contributeur voire un acteur du déroulement des marchés publics.

  • Il propose une liste de critères permettant d’évaluer la maturité de votre entreprise par rapport au RGPD ;
  • il conseille les services internes sur les mesures à mettre en place pour assurer la conformité du traitement, ce qui inclut les prestations sous-traitées.

La sous-traitance soumise à un cadre réglementaire plus contraignant

Le RGPD va plus loin que la LIL.

Avant le RGPD, en tant que sous-traitant, il vous suffisait d’assurer la sécurité des données manipulées pour le compte de vos clients.

Désormais,les contrats de sous-traitance détaillent des engagements portant sur la manière dont vous manipulez les données :

  • Localisation des serveurs d’hébergement des données ;
  • Restriction des finalités d’utilisation des données ;
  • Limitation des accès aux données ;
  • Autorisation préalable de l’acheteur public en cas de recours à des sous-traitants de niveau 2 ou 3 ;
  • Etc.

Comment se conformer au RGPD et remporter des marchés publics ?

Vous risquez de perdre des marchés publics si votre niveau de maturité RGPD est jugé insuffisant. La mise en conformité globale de vos activités vous permettra donc :

1°) de démontrer votre sérieux au moment de candidater à de nouvelles commandes publiques ;

2°) de vous adapter aux exigences renforcées de vos clients existants ;

3°) de garantir un niveau de conformité pendant toute la prestation.

Remportez de nouveaux appels d’offres grâce à votre conformité RGPD

Pour lancer de nouvelles commandes, les acheteurs publics peuvent s’appuyer sur un travail d’actualisation des documents de référence mené par la Direction des Affaires Juridiques du Ministère de l’Economie et des Finances, accompagné par la CNIL.

La documentation décrivant les conditions de la commande publique décrit en principe les prestations sous-traitées ainsi que les traitements de données personnelles en découlant. En particulier,le cahier des clauses administratives particulières devrait comporter les exigences contractuelles qu’il s’agira pour vous de respecter.

Votre offre commerciale devra donc s’accompagner de documents annexes démontrant votre conformité à la réglementation RGPD. Si vous proposez une prestation de qualité au bon prix, votre capacité à prendre en charge vos obligations légales sera un vrai plus.

Fidélisez votre parc de clients, démontrez votre conformité aux nouvelles règles

Le RGPD s’applique naturellement aux nouvelles commandes publiques mais aussi aux contrats en cours dont la prestation continue de s’exécuter.

Attendez-vous par conséquent à ce que vos clients vous recontactent pour mettre à jour l’encadrement contractuel de la prestation confiée. Lettre d’engagement de conformité au RGPD, avenant au contrat… feront partie des documents qu’il vous sera demandé de signer.

Cette remise à plat du cadre contractuel sera aussi l’occasion pour l’acheteur public de s’assurer que son traitement de données respecte bien les exigences du RGPD. C’est pourquoi, là encore, il est crucial que vous soyez en mesure de prendre des engagements démontrant votre niveau de conformité aux obligations légales.

RGPD compliant tout au long de l’exécution du contrat

Un acheteur public n’est pas conforme au RGPD uniquement parce qu’il a signé des contrats avec les titulaires des marchés lancés.

Il doit s’assurer que des mesures adéquates de protection et de sécurité sont appliquées pendant toute la phase d’exécution des contrats. Les services en charge du suivi de cette exécution, particulièrement les acheteurs, surveilleront par conséquent le maintien des critères de conformité.

Vous pouvez à ce sujet faire l’objet d’un audit pour s’assurer que vos engagements de conformité ne sont pas de simples bonnes intentions.

En un mot, remporter des marchés publics n’est pas la fin, ce n’est que le commencement.

Conclusion : pour gagner des marchés (publics), il faut respecter le RGPD

Le RGPD imprègne désormais les critères structurant le lancement d’une commande publique dans la mesure où des données personnelles sont traitées.

Les organismes publics étant responsables de ces traitements, ils doivent encadrer avec sérieux les phases de sous-traitance qu’elles envisagent. Et c’est pourquoi, respecter vos obligations réglementaires est un gage de professionnalisme voire une occasion de vous différencier de la concurrence sur ces aspects.

Pour gagner des marchés, il faut donc être carré.

Share on social media: 

Ne partez pas si vite ... 

RGPD, LPD... Deux lois pour encadrer la protection des données en Suisse

RGPD et LPD, connaissez-vous ces deux sigles ? C’est le lot quotidien des entreprises établies en Suisse. Le RGPD encadre les opérations concernant les données des citoyens établis dans l’UE. La loi fédérale LPD concerne, elle, la protection des données personnelles en Suisse. Le contexte réglementaire est en pleine mutation. Pour vous, c’est donc l’heure d’accélérer vos projets de conformité.

Lire la suite

Luxembourg – Comment la CNPD contrôle votre conformité RGPD

Connaissez-vous la Commission Nationale pour la Protection des Données (CNPD) ? Cet organe est chargé de faire respecter le RGPD au sein du Grand Duché de Luxembourg. Il privilégie actuellement l’accompagnement à la répression mais cela pourrait changer. En attendant, c’est pour vous l’occasion d’avancer sur la gestion de vos cookies. On vous dit tout.

Lire la suite

Axeptio vous présente le cookie : Zendesk

Zendesk est un outil redoutable pour gérer sa relation client. Des milliers de clients utilise cette solution éprouvée et vraiment agréable à utiliser, que ce soit pour les administrateurs que pour les clients. Derrière ce petit chat intelligent que vous voyez régulièrement en bas à droite sur les sites internet que vous visitez, se cache en réalité des fonctionnalités totalement bluffantes qui aident les entreprises à entretenir leur relation client.

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.