Back to Blog

Pour remporter des marchés publics, soyez RGPD-compliant

Maxime JAILLET

Les marchés publics impliquant de traiter des données personnelles sont soumis au RGPD. L’acheteur public assume la responsabilité des traitements tandis que les obligations des sous-traitants sont renforcées. La conformité RGPD fait désormais partie des exigences auxquels les candidats devront répondre pour gagner de nouveaux marchés et fidéliser les clients existants. C’est notre Product News du jour.

Pourquoi appliquer le RGPD aux marchés publics ?

Les organismes publics sont responsables de la conformité des traitements de données à caractère personnel mis en œuvre, y compris s’ils sont sous-traités. Le DPO devient donc logiquement un contributeur des critères de sélection du candidat qui sera retenu pour le marché public concerné. Ce candidat devra présenter les garanties nécessaires justifiant de sa conformité aux exigences renforcées du RGPD.

La responsabilité des traitements assumée par les organismes publics

Le RGPD encadre les commandes publiques au même titre que les achats, par des entités privées, de prestations ou de solutions impliquant la manipulation de données personnelles.

Des obligations légales jalonnent ainsi l’ensemble des étapes du marché public :

  • la sélection du prestataire par l’acheteur public ;
  • la façon dont il encadre la sous-traitance de certaines tâches ;
  • l’exécution des prestations par les titulaires des marchés publics.

Si vous déposez une candidature à des offres de marchés publics, sachez que l’acheteur public potentiel assume la responsabilité de ces traitements. Y compris pour les prestations qui vous auront été confiées.

Un niveau de validation supplémentaire pour les données personnelles : le DPO

Pour retenir ou écarter votre candidature, l’acheteur public s’appuiera sur une liste de critères techniques incluant la conformité au RGPD.

Le Délégué à la Protection des Données devient par conséquent un contributeur voire un acteur du déroulement des marchés publics.

  • Il propose une liste de critères permettant d’évaluer la maturité de votre entreprise par rapport au RGPD ;
  • il conseille les services internes sur les mesures à mettre en place pour assurer la conformité du traitement, ce qui inclut les prestations sous-traitées.

La sous-traitance soumise à un cadre réglementaire plus contraignant

Le RGPD va plus loin que la LIL.

Avant le RGPD, en tant que sous-traitant, il vous suffisait d’assurer la sécurité des données manipulées pour le compte de vos clients.

Désormais,les contrats de sous-traitance détaillent des engagements portant sur la manière dont vous manipulez les données :

  • Localisation des serveurs d’hébergement des données ;
  • Restriction des finalités d’utilisation des données ;
  • Limitation des accès aux données ;
  • Autorisation préalable de l’acheteur public en cas de recours à des sous-traitants de niveau 2 ou 3 ;
  • Etc.

Comment se conformer au RGPD et remporter des marchés publics ?

Vous risquez de perdre des marchés publics si votre niveau de maturité RGPD est jugé insuffisant. La mise en conformité globale de vos activités vous permettra donc :

1°) de démontrer votre sérieux au moment de candidater à de nouvelles commandes publiques ;

2°) de vous adapter aux exigences renforcées de vos clients existants ;

3°) de garantir un niveau de conformité pendant toute la prestation.

Remportez de nouveaux appels d’offres grâce à votre conformité RGPD

Pour lancer de nouvelles commandes, les acheteurs publics peuvent s’appuyer sur un travail d’actualisation des documents de référence mené par la Direction des Affaires Juridiques du Ministère de l’Economie et des Finances, accompagné par la CNIL.

La documentation décrivant les conditions de la commande publique décrit en principe les prestations sous-traitées ainsi que les traitements de données personnelles en découlant. En particulier,le cahier des clauses administratives particulières devrait comporter les exigences contractuelles qu’il s’agira pour vous de respecter.

Votre offre commerciale devra donc s’accompagner de documents annexes démontrant votre conformité à la réglementation RGPD. Si vous proposez une prestation de qualité au bon prix, votre capacité à prendre en charge vos obligations légales sera un vrai plus.

Fidélisez votre parc de clients, démontrez votre conformité aux nouvelles règles

Le RGPD s’applique naturellement aux nouvelles commandes publiques mais aussi aux contrats en cours dont la prestation continue de s’exécuter.

Attendez-vous par conséquent à ce que vos clients vous recontactent pour mettre à jour l’encadrement contractuel de la prestation confiée. Lettre d’engagement de conformité au RGPD, avenant au contrat… feront partie des documents qu’il vous sera demandé de signer.

Cette remise à plat du cadre contractuel sera aussi l’occasion pour l’acheteur public de s’assurer que son traitement de données respecte bien les exigences du RGPD. C’est pourquoi, là encore, il est crucial que vous soyez en mesure de prendre des engagements démontrant votre niveau de conformité aux obligations légales.

RGPD compliant tout au long de l’exécution du contrat

Un acheteur public n’est pas conforme au RGPD uniquement parce qu’il a signé des contrats avec les titulaires des marchés lancés.

Il doit s’assurer que des mesures adéquates de protection et de sécurité sont appliquées pendant toute la phase d’exécution des contrats. Les services en charge du suivi de cette exécution, particulièrement les acheteurs, surveilleront par conséquent le maintien des critères de conformité.

Vous pouvez à ce sujet faire l’objet d’un audit pour s’assurer que vos engagements de conformité ne sont pas de simples bonnes intentions.

En un mot, remporter des marchés publics n’est pas la fin, ce n’est que le commencement.

Conclusion : pour gagner des marchés (publics), il faut respecter le RGPD

Le RGPD imprègne désormais les critères structurant le lancement d’une commande publique dans la mesure où des données personnelles sont traitées.

Les organismes publics étant responsables de ces traitements, ils doivent encadrer avec sérieux les phases de sous-traitance qu’elles envisagent. Et c’est pourquoi, respecter vos obligations réglementaires est un gage de professionnalisme voire une occasion de vous différencier de la concurrence sur ces aspects.

Pour gagner des marchés, il faut donc être carré.

Share on social media: 

Ne partez pas si vite ... 

Cookies - Cette vidéo vous montre pourquoi privilégier l’expérience utilisateur

La gestion des cookies devient une composante même de l’expérience utilisateur puisque vos visiteurs peuvent les accepter ou les refuser. Beaucoup d’éditeurs se lancent désormais dans une course aux opt-in. Mais vouloir cookifier toute une audience, n’est-ce pas passer à côté de l’essentiel ?

Lire la suite

Grâce à Axeptio, obtenez des statistiques sincères sur vos cookies

Axeptio enrichit son outil et vous propose un module statistique. Désormais, vous allez savoir quelle proportion d'utilisateurs acceptent vos cookies. On vous fournit les données les plus pertinentes pour vous et on les rend simples à comprendre. Comme toujours, Axeptio vous propose une approche innovante par rapport à ce qui se fait sur le marché.

Lire la suite

Vincent signe son deuxième CDI avec Axeptio... mais comment c'est possible ?

Dans la catégorie "Vie d'équipe", ça bouge pas mal chez Axeptio. Eh oui, pour accompagner cette chouette croissance, nous misons évidemment sur l'humain. Et dans le lot des derniers recrutement, il y a Vincent. Et on voulait prendre le temps de vous le présenter car il a une particularité : c'est le deuxième CDI qu'il signe pour Axeptio. Hum ... Comment c'est possible ? Justement, on va vous expliquer !

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.