Lorsqu’une collectivité décide de passer par une centrale d’achat, telle que l’UGAP (Union des Groupements d’Achats Publics), pour choisir un prestataire, la question de la responsabilité du traitement des données à caractère personnel se pose de manière cruciale. En effet, dans ce cas, la collectivité ne passe pas de marché directement avec le prestataire, ce qui complique l’application des clauses de sécurité et de protection des données.
La Centrale d’Achat comme Responsable de Traitement
Selon le RGPD, le responsable de traitement est celui qui détermine les finalités et les moyens du traitement des données personnelles. Lorsqu’une centrale d’achat, comme l’UGAP, propose une offre de services « clés en main », elle pourrait être considérée comme responsable de traitement si elle définit les objectifs et les moyens de traitement des données. Cependant, cette situation peut varier selon les contrats spécifiques et les modalités de prestation.
Co-Responsabilité et Sous-Traitance
Il est possible qu’une centrale d’achat soit considérée comme co-responsable de traitement si elle partage les décisions concernant le traitement des données avec la collectivité. En revanche, si la centrale d’achat agit uniquement selon les instructions de la collectivité, elle pourrait être vue comme un sous-traitant.
Exemples de Pratiques
Prenons l’exemple des Conditions Générales d’Exécution (CGE) de l’offre multi-éditeurs de l’UGAP. Ces CGE, antérieures au RGPD, stipulent que :
- Conditions d’utilisation des logiciels : Le prestataire doit fournir à l’acheteur les conditions d’utilisation des logiciels au moment de la livraison. En dehors de l’UGAP, l’acheteur signe directement avec l’éditeur les contrats de licences et de maintenance.
- Clause limitative de Responsabilité : L’UGAP n’est pas responsable des défaillances économiques des éditeurs, l’acheteur doit donc prévoir des clauses permettant l’accès au code source des logiciels.
Encadrement des Prestations et Responsabilités
En tant que responsables de traitement, les collectivités doivent encadrer au maximum la prestation en définissant clairement les besoins, la sécurité des données, et les obligations RGPD. Il est crucial de mettre en place une relation contractuelle solide qui précise les responsabilités de chaque partie en matière de traitement des données.
Consultation et Mise en Conformité
La consultation avec les DPO (Délégué à la Protection des Données) de la centrale d’achat est essentielle. Par exemple, le DPO de l’UGAP travaille avec un cabinet d’avocats pour déterminer les responsabilités des titulaires de marchés, que ce soit en tant que responsable de traitement conjoint, sous-traitant, ou destinataire des données. Cette mise en conformité est essentielle pour garantir que toutes les parties respectent les exigences du RGPD.
Conclusion
La responsabilité de traitement des données dans le cadre d’un passage par une centrale d’achat dépend largement des modalités de prestation et des clauses contractuelles. Les collectivités doivent être vigilantes et proactives dans la rédaction de ces clauses pour assurer la protection des données personnelles conformément au RGPD.
Collectivités territoriales, utiliser notre outil Open Source pour suivre votre conformité au RGPD. DPO PARTAGE est déjà désigne comme DPO dans des collectivités territoriales.