Le 2 juin dernier, la CNIL a publié un guide consacré à « la responsabilité des acteurs dans le cadre de la commande publique » éclairant quant à la responsabilité des différents acteurs (responsable de traitement, sous-traitant, responsable conjoint) dans ce contexte particulier.
Ce guide de 12 pages est structuré par étapes :
- La phase d’analyse : quel est le contexte contractuel, « qui a initié et organisé le traitement » ?
- La prise en compte de la « variation de qualifications » au regard de l’objet des contrats et de la nature des traitements ;
- Les conséquences de chaque qualification dans les contrats ;
- Un schéma récapitulatif.
La CNIL fait effectivement état de la situation fréquente des administrations qui font appel à des opérateurs économiques pour répondre à leurs besoins (travaux, fournitures de services type transports ou stationnement…). Or, ces opérateurs économiques traitent des données personnelles des personnels ou des usagers du service public et doivent donc respecter le RGPD.
Aussi, la CNIL souligne la nécessité de déterminer la responsabilité de chacun des acteurs au regard de chaque situation factuelle et contractuelle.
Si, comme le souligne la CNIL, « ce document n’est pas un guide RGPD complet », il donne de précieuses indications pour aider les acteurs de la commande publique à identifier et clarifier leur responsabilité en matière de protection des données à caractère personnel.
Lien vers le guide : ici
