Back to Blog

Pour remporter des marchés publics, soyez RGPD-compliant

Maxime JAILLET

Les marchés publics impliquant de traiter des données personnelles sont soumis au RGPD. L’acheteur public assume la responsabilité des traitements tandis que les obligations des sous-traitants sont renforcées. La conformité RGPD fait désormais partie des exigences auxquels les candidats devront répondre pour gagner de nouveaux marchés et fidéliser les clients existants. C’est notre Product News du jour.

Pourquoi appliquer le RGPD aux marchés publics ?

Les organismes publics sont responsables de la conformité des traitements de données à caractère personnel mis en œuvre, y compris s’ils sont sous-traités. Le DPO devient donc logiquement un contributeur des critères de sélection du candidat qui sera retenu pour le marché public concerné. Ce candidat devra présenter les garanties nécessaires justifiant de sa conformité aux exigences renforcées du RGPD.

La responsabilité des traitements assumée par les organismes publics

Le RGPD encadre les commandes publiques au même titre que les achats, par des entités privées, de prestations ou de solutions impliquant la manipulation de données personnelles.

Des obligations légales jalonnent ainsi l’ensemble des étapes du marché public :

  • la sélection du prestataire par l’acheteur public ;
  • la façon dont il encadre la sous-traitance de certaines tâches ;
  • l’exécution des prestations par les titulaires des marchés publics.

Si vous déposez une candidature à des offres de marchés publics, sachez que l’acheteur public potentiel assume la responsabilité de ces traitements. Y compris pour les prestations qui vous auront été confiées.

Un niveau de validation supplémentaire pour les données personnelles : le DPO

Pour retenir ou écarter votre candidature, l’acheteur public s’appuiera sur une liste de critères techniques incluant la conformité au RGPD.

Le Délégué à la Protection des Données devient par conséquent un contributeur voire un acteur du déroulement des marchés publics.

  • Il propose une liste de critères permettant d’évaluer la maturité de votre entreprise par rapport au RGPD ;
  • il conseille les services internes sur les mesures à mettre en place pour assurer la conformité du traitement, ce qui inclut les prestations sous-traitées.

La sous-traitance soumise à un cadre réglementaire plus contraignant

Le RGPD va plus loin que la LIL.

Avant le RGPD, en tant que sous-traitant, il vous suffisait d’assurer la sécurité des données manipulées pour le compte de vos clients.

Désormais,les contrats de sous-traitance détaillent des engagements portant sur la manière dont vous manipulez les données :

  • Localisation des serveurs d’hébergement des données ;
  • Restriction des finalités d’utilisation des données ;
  • Limitation des accès aux données ;
  • Autorisation préalable de l’acheteur public en cas de recours à des sous-traitants de niveau 2 ou 3 ;
  • Etc.

Comment se conformer au RGPD et remporter des marchés publics ?

Vous risquez de perdre des marchés publics si votre niveau de maturité RGPD est jugé insuffisant. La mise en conformité globale de vos activités vous permettra donc :

1°) de démontrer votre sérieux au moment de candidater à de nouvelles commandes publiques ;

2°) de vous adapter aux exigences renforcées de vos clients existants ;

3°) de garantir un niveau de conformité pendant toute la prestation.

Remportez de nouveaux appels d’offres grâce à votre conformité RGPD

Pour lancer de nouvelles commandes, les acheteurs publics peuvent s’appuyer sur un travail d’actualisation des documents de référence mené par la Direction des Affaires Juridiques du Ministère de l’Economie et des Finances, accompagné par la CNIL.

La documentation décrivant les conditions de la commande publique décrit en principe les prestations sous-traitées ainsi que les traitements de données personnelles en découlant. En particulier,le cahier des clauses administratives particulières devrait comporter les exigences contractuelles qu’il s’agira pour vous de respecter.

Votre offre commerciale devra donc s’accompagner de documents annexes démontrant votre conformité à la réglementation RGPD. Si vous proposez une prestation de qualité au bon prix, votre capacité à prendre en charge vos obligations légales sera un vrai plus.

Fidélisez votre parc de clients, démontrez votre conformité aux nouvelles règles

Le RGPD s’applique naturellement aux nouvelles commandes publiques mais aussi aux contrats en cours dont la prestation continue de s’exécuter.

Attendez-vous par conséquent à ce que vos clients vous recontactent pour mettre à jour l’encadrement contractuel de la prestation confiée. Lettre d’engagement de conformité au RGPD, avenant au contrat… feront partie des documents qu’il vous sera demandé de signer.

Cette remise à plat du cadre contractuel sera aussi l’occasion pour l’acheteur public de s’assurer que son traitement de données respecte bien les exigences du RGPD. C’est pourquoi, là encore, il est crucial que vous soyez en mesure de prendre des engagements démontrant votre niveau de conformité aux obligations légales.

RGPD compliant tout au long de l’exécution du contrat

Un acheteur public n’est pas conforme au RGPD uniquement parce qu’il a signé des contrats avec les titulaires des marchés lancés.

Il doit s’assurer que des mesures adéquates de protection et de sécurité sont appliquées pendant toute la phase d’exécution des contrats. Les services en charge du suivi de cette exécution, particulièrement les acheteurs, surveilleront par conséquent le maintien des critères de conformité.

Vous pouvez à ce sujet faire l’objet d’un audit pour s’assurer que vos engagements de conformité ne sont pas de simples bonnes intentions.

En un mot, remporter des marchés publics n’est pas la fin, ce n’est que le commencement.

Conclusion : pour gagner des marchés (publics), il faut respecter le RGPD

Le RGPD imprègne désormais les critères structurant le lancement d’une commande publique dans la mesure où des données personnelles sont traitées.

Les organismes publics étant responsables de ces traitements, ils doivent encadrer avec sérieux les phases de sous-traitance qu’elles envisagent. Et c’est pourquoi, respecter vos obligations réglementaires est un gage de professionnalisme voire une occasion de vous différencier de la concurrence sur ces aspects.

Pour gagner des marchés, il faut donc être carré.

Share on social media: 

Ne partez pas si vite ... 

Le back-office d’Axeptio évolue et prend en compte la fin du Privacy Shield

La CJUE a récemment invalidé le Privacy Shield qui vous permettait de sécuriser le transfert de données personnelles vers les Etats-Unis. Les garanties mises en place en termes de protection des données ont en effet été jugées insuffisantes. Pas de panique, c’était attendu. Vous pouvez signer des clauses contractuelles types avec vos fournisseurs. C’est notre actualité juridique du jour.

Lire la suite

Sécurisez vos bases offline grâce aux questionnaires de consentement d’Axeptio

Vous constituez des bases de prospection commerciale en participant à des salons ou grâce aux conseillers commerciaux de vos boutiques physiques ? Sécurisez vos bases et recueillez le consentement de vos clients et prospects. Pour vous faciliter la vie, Axeptio vous met à disposition un modèle type que vous n’aurez plus qu’à compléter. C’est l’actualité juridique du jour.

Lire la suite

DPO - Comment trouver le bon profil pour gérer votre conformité RGPD ?

Devez-vous confier votre mise en conformité et la fonction de DPO à un profil plutôt juridique ou technique ? Le délégué à la protection des données est en effet un vrai couteau suisse. Il a des compétences polyvalentes, est excellent communiquant et bon diplomate. On vous donne quelques astuces pour choisir avec soin le profil de votre référent.

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.