Back to Blog

Pour remporter des marchés publics, soyez RGPD-compliant

Maxime JAILLET

Les marchés publics impliquant de traiter des données personnelles sont soumis au RGPD. L’acheteur public assume la responsabilité des traitements tandis que les obligations des sous-traitants sont renforcées. La conformité RGPD fait désormais partie des exigences auxquels les candidats devront répondre pour gagner de nouveaux marchés et fidéliser les clients existants. C’est notre Product News du jour.

Pourquoi appliquer le RGPD aux marchés publics ?

Les organismes publics sont responsables de la conformité des traitements de données à caractère personnel mis en œuvre, y compris s’ils sont sous-traités. Le DPO devient donc logiquement un contributeur des critères de sélection du candidat qui sera retenu pour le marché public concerné. Ce candidat devra présenter les garanties nécessaires justifiant de sa conformité aux exigences renforcées du RGPD.

La responsabilité des traitements assumée par les organismes publics

Le RGPD encadre les commandes publiques au même titre que les achats, par des entités privées, de prestations ou de solutions impliquant la manipulation de données personnelles.

Des obligations légales jalonnent ainsi l’ensemble des étapes du marché public :

  • la sélection du prestataire par l’acheteur public ;
  • la façon dont il encadre la sous-traitance de certaines tâches ;
  • l’exécution des prestations par les titulaires des marchés publics.

Si vous déposez une candidature à des offres de marchés publics, sachez que l’acheteur public potentiel assume la responsabilité de ces traitements. Y compris pour les prestations qui vous auront été confiées.

Un niveau de validation supplémentaire pour les données personnelles : le DPO

Pour retenir ou écarter votre candidature, l’acheteur public s’appuiera sur une liste de critères techniques incluant la conformité au RGPD.

Le Délégué à la Protection des Données devient par conséquent un contributeur voire un acteur du déroulement des marchés publics.

  • Il propose une liste de critères permettant d’évaluer la maturité de votre entreprise par rapport au RGPD ;
  • il conseille les services internes sur les mesures à mettre en place pour assurer la conformité du traitement, ce qui inclut les prestations sous-traitées.

La sous-traitance soumise à un cadre réglementaire plus contraignant

Le RGPD va plus loin que la LIL.

Avant le RGPD, en tant que sous-traitant, il vous suffisait d’assurer la sécurité des données manipulées pour le compte de vos clients.

Désormais,les contrats de sous-traitance détaillent des engagements portant sur la manière dont vous manipulez les données :

  • Localisation des serveurs d’hébergement des données ;
  • Restriction des finalités d’utilisation des données ;
  • Limitation des accès aux données ;
  • Autorisation préalable de l’acheteur public en cas de recours à des sous-traitants de niveau 2 ou 3 ;
  • Etc.

Comment se conformer au RGPD et remporter des marchés publics ?

Vous risquez de perdre des marchés publics si votre niveau de maturité RGPD est jugé insuffisant. La mise en conformité globale de vos activités vous permettra donc :

1°) de démontrer votre sérieux au moment de candidater à de nouvelles commandes publiques ;

2°) de vous adapter aux exigences renforcées de vos clients existants ;

3°) de garantir un niveau de conformité pendant toute la prestation.

Remportez de nouveaux appels d’offres grâce à votre conformité RGPD

Pour lancer de nouvelles commandes, les acheteurs publics peuvent s’appuyer sur un travail d’actualisation des documents de référence mené par la Direction des Affaires Juridiques du Ministère de l’Economie et des Finances, accompagné par la CNIL.

La documentation décrivant les conditions de la commande publique décrit en principe les prestations sous-traitées ainsi que les traitements de données personnelles en découlant. En particulier,le cahier des clauses administratives particulières devrait comporter les exigences contractuelles qu’il s’agira pour vous de respecter.

Votre offre commerciale devra donc s’accompagner de documents annexes démontrant votre conformité à la réglementation RGPD. Si vous proposez une prestation de qualité au bon prix, votre capacité à prendre en charge vos obligations légales sera un vrai plus.

Fidélisez votre parc de clients, démontrez votre conformité aux nouvelles règles

Le RGPD s’applique naturellement aux nouvelles commandes publiques mais aussi aux contrats en cours dont la prestation continue de s’exécuter.

Attendez-vous par conséquent à ce que vos clients vous recontactent pour mettre à jour l’encadrement contractuel de la prestation confiée. Lettre d’engagement de conformité au RGPD, avenant au contrat… feront partie des documents qu’il vous sera demandé de signer.

Cette remise à plat du cadre contractuel sera aussi l’occasion pour l’acheteur public de s’assurer que son traitement de données respecte bien les exigences du RGPD. C’est pourquoi, là encore, il est crucial que vous soyez en mesure de prendre des engagements démontrant votre niveau de conformité aux obligations légales.

RGPD compliant tout au long de l’exécution du contrat

Un acheteur public n’est pas conforme au RGPD uniquement parce qu’il a signé des contrats avec les titulaires des marchés lancés.

Il doit s’assurer que des mesures adéquates de protection et de sécurité sont appliquées pendant toute la phase d’exécution des contrats. Les services en charge du suivi de cette exécution, particulièrement les acheteurs, surveilleront par conséquent le maintien des critères de conformité.

Vous pouvez à ce sujet faire l’objet d’un audit pour s’assurer que vos engagements de conformité ne sont pas de simples bonnes intentions.

En un mot, remporter des marchés publics n’est pas la fin, ce n’est que le commencement.

Conclusion : pour gagner des marchés (publics), il faut respecter le RGPD

Le RGPD imprègne désormais les critères structurant le lancement d’une commande publique dans la mesure où des données personnelles sont traitées.

Les organismes publics étant responsables de ces traitements, ils doivent encadrer avec sérieux les phases de sous-traitance qu’elles envisagent. Et c’est pourquoi, respecter vos obligations réglementaires est un gage de professionnalisme voire une occasion de vous différencier de la concurrence sur ces aspects.

Pour gagner des marchés, il faut donc être carré.

Share on social media: 

Ne partez pas si vite ... 

Vers la fin des cookies ?

Est-ce la fin des cookies ? De nombreux articles de presse ont pu vous laisser penser que les navigateurs les bloqueront désormais tous. Du coup, plus besoin de bandeau ou d’interface de consentement. Et pourtant non, car vous utiliserez d’autres technologies de traçage ou des cookies first parties qui restent soumis aux exigences de la CNIL. On vous explique pourquoi.

Lire la suite

Click to speak : une aide efficace pour votre stratégie d'inbound marketing

Pour une meilleure compréhension de ce post, nous allons d'abord expliquer le concept de Inbound Marketing. Il s'agit des techniques de marketing et de publicité utilisées pour que, sans attaquer directement ou agressivement le consommateur, elles l'accompagnent du début à la fin de son processus d'achat. Ainsi, elles donnent lieu à des performances économiques résultant d'un investissement.

Lire la suite

Comment créer un cookie wall conforme ?

Le cookie wall permet-il de demander un consentement valide pour le dépôt de cookies publicitaires ? Non, selon les régulateurs européens et la CNIL. Mais le Conseil d’État a remis en cause cette interdiction générale. Les cookies walls sont en effet une méthode engageante pour peu qu’on ne cherche pas à forcer l’autorisation des utilisateurs. On vous explique comment créer un cookie wall conforme.

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.