La Direction des affaires juridiques (DAJ) de Bercy met à jour son formulaire DC4 de sous-traitance dans les marchés publics. Cette dernière version intègre les exigences du RGPD dans un paragraphe devant être complété si le sous-traitant est amené à traiter des données à caractère personnel. Le formulaire et la notice jointe sont accessibles sur le site de la DAJ.
Extrait de la notice explicative actualisée :
Sous-traitance de traitement de données à caractère personnel
Cette rubrique doit être remplie lorsque le sous-traitant se voit confier le traitement de données à caractère personnel.
Dans cette hypothèse, il doit être fait application de la règlementation relative aux traitements de données à caractère personnel, et notamment du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit « Règlement Général sur la Protection des Données » : RGPD) ainsi que de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée. Dans le cadre des marchés publics et au sens du RGPD, le « responsable du traitement » est en principe l’acheteur public. Le terme « sous-traitant », qui désigne au sens du RGPD « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement », correspond en marché public au titulaire du contrat, ainsi qu’à tout sous-traitant (au sens commande publique) à qui il serait confié le traitement de données.
En application du 2 de l’article 28 du RGPD, l’acheteur doit donner au titulaire son autorisation écrite préalable, spécifique ou générale, au recrutement d’un sous-traitant (au sens commande publique) lorsque ce dernier est chargé de traitements de données à caractère personnel. En cas d’autorisation générale, le titulaire doit informer l’acheteur de tout ajout ou remplacement de sous-traitants afin que celui-ci ait la possibilité d’émettre des objections à l’encontre des sous-traitants présentés.
Que l’autorisation donnée soit générale ou spécifique, le titulaire et son sous-traitant renseignent dans cette rubrique les activités de traitement de données à caractère personnel sous-traitées et notamment l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées.
Le soumissionnaire ou titulaire coche les deux cases déclaratives (de manière cumulative) qui ont pour but de lui rappeler qu’il lui appartient de s’assurer, d’une part, que son sous-traitant présente des garanties suffisantes pour la mise en œuvre de mesures techniques et organisationnelles propres à assurer la protection des données personnelles et d’autre part, que, le sous-traité intègre les clauses obligatoires prévues par l’article 28 du RGPD. Si le sous-traitant ne remplit pas ses obligations en matière de protection des données, le titulaire demeure pleinement responsable devant l’acheteur de l’exécution par le sous-traitant de ses obligations