Répondre aux marchés publics pour les PME : Formation, aide et assistance sur tout le territoire (sur site ou à distance)
Entreprises - PME : Répondre aux marchés publics (DC1, DC2, ATTRI1, DC4, mémoire technique, ...) Acheteurs publics
DATES J01 Fondamentaux J02 Répondre aux AO J03 Réponse électronique J04 Mémoire technique Formations Assistance

Contrats publics > formulaires de marchés publics DC1 DC2 ATTRI1 (ex DC3) DC4

impact  du  RGPD  sur  la sous-traitance en cas de traitements de données à caractère personnel Formulaire DC4 2017 marches publics

Le formulaire DC4 intègre le RGPD à la commande publique

27 décembre 2018

Par une communication sur son site Internet datée du 19 novembre 2018 intitulée « Intégration du RGPD à la commande publique : une 1ère étape franchie » la CNIL rappelle l’actualisation par Bercy du formulaire DC4 de déclaration de sous-traitance proposé aux soumissionnaires/titulaires de marchés. Bercy a par ailleurs publié des recommandations aux acheteurs. « Cette actualisation constitue une première étape d’intégration du RGPD avant l’actualisation des cahiers des clauses administratives générales (CCAG) ».

 

Une collaboration entre la CNIL et la DAJ de Bercy

Pour effectuer cette mise à jour du formulaire et de sa notice explicative la direction des Affaires juridiques (DAJ) du ministère de l’Economie et des Finances a procédé à des échanges avec la CNIL.

Le DC4, sa notice explicative et la fiche technique de Bercy sur le RGPD

Le formulaire DC4 comporte désormais les dispositions relatives aux exigences du RGPD. Il s’agit de compléter un paragraphe lorsque le sous-traitant est susceptible de traiter des données personnelles. L’actualisation concerne le DC4 et sa notice explicative sachant qu’une fiche technique détaille « L’impact  du  RGPD  sur  le  droit  de  la  commande  publique ».

La fiche technique de Bercy « L’impact  du  RGPD  sur  le  droit  de  la  commande  publique »

Elle rappelle la règlementation relative à la protection des données à caractère personnel aux contrats de la commande publique ainsi que la terminologie applicable.

Les textes concernés :

  • le règlement (UE) 2016/679 du Parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit « règlement général sur la protection des données » - RGPD) qui est entré en application le 25 mai 2018.
  • la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, qui s’applicable aux contrats de la commande publique s’ils comprennent une prestation avec un traitement de données à caractère personnel.

Aspects terminologiques

La terminologie applicable au sens du RGPD

  • Au sens du RGPD constitue une donnée à caractère personnel « toute information se rapportant à une personne physique identifiée ou identifiable (dénommée dans le RGPD « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». (Source : article 4.1 du RGPD).
  • Au sens du RGPD constitue un traitement « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction » (Source : article 4.2 du RGPD).

La terminologie RGPD applicable au sens des marchés publics 

La fiche technique traduit le vocabulaire RGPD dans le vocabulaire des marchés publics sous forme de correspondance.  

Responsable du traitement  (RGPD) / acheteur (marchés publics)

Ainsi le « responsable du traitement » (au sens de l’article 4.7 du RGPD est « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement (…) ») : il s’agit donc de l’acheteur au sens de l’ordonnance n°2015-899 du 23 juillet 2015 relative au droit des marchés publics ;

Sous-traitant (RGPD) / titulaire (marchés publics)

Et le « sous-traitant » (au sens de l’article 4.8 du RGPD est « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ») : il s’agit donc du titulaire du marché public.

Sous-traitant du sous-traitant (RGPD) / sous-traitant (marchés publics)

Le sous-traitant du sous-traitant (au sens de l’article 28.2 du RGPD, lorsque le « sous-traitant recrute un autre sous-traitant ») est le sous-traitant au sens du droit de la commande publique.

Autorité de contrôle (RGPD) / CNIL

L’« autorité de contrôle » (au sens de l’article 4.21 du RGPD : « une autorité publique indépendante qui est instituée par un état membre en vertu de l’article 51 ») est la Commission nationale de l’informatique et des libertés (CNIL).

L’impact  du  RGPD  sur  les  marchés  publics  en  cours  d’exécution et ceux à conclure

Les marchés publics comportant des traitements de données à caractère personnel lancés depuis le 25 mai 2018 doivent comporter des clauses relatives aux traitements de données à caractère personnel.

Les marchés publics conclus avant le 25 mai 2018 doivent faire l’objet d’un avenant.

L’impact  du  RGPD  sur  la sous-traitance en cas de traitements de données à caractère personnel.

L’acheteur doit donner son autorisation (spécifique ou générale) au recours à un sous-traitant qui traite ce type de données.

Si l’autorisation est générale, une clause pertinente peut être intégrée notamment dans le CCAP. La fiche technique fourni un exemple de clause comme suit :

« Le titulaire du présent marché public peut faire appel à un sous-traitant pour mener des activités de traitement de données à caractère personnel. Dans ce cas, il informe préalablement et par écrit l’acheteur public de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information, qui peut être effectuée dans la déclaration de sous-traitance, doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. L’acheteur dispose d’un délai de 21 jours à compter de la date de réception de la déclaration de sous-traitance contenant cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si l’acheteur public n'a pas émis d'objection pendant le délai susmentionné. Lorsque le sous-traitant est présenté au moment du dépôt de l’offre, la notification du marché public vaut non opposition de l’acheteur à la sous-traitance des activités de traitement de données indiquées dans la déclaration de sous-traitance »

Des exemples de clauses figurent sur le site de la CNIL dans son « Guide du sous-traitant ».

Les modifications du DC4 et de sa notice explicative

Pour l’autorisation écrite préalable, le formulaire DC4 relatif à la déclaration de sous-traitance a été actualisé en conséquence par la DAJ

La mise à jour du formulaire DC4 comprend désormais une sous-rubrique dans le « F - Nature des prestations sous-traitées »

Sous-traitance de traitement de données à caractère personnel (à compléter le cas échéant) :
Le sous-traitant est autorisé à traiter les données à caractère personnel nécessaires pour fournir le ou les service(s) suivant(s) : ……………
La durée du traitement est : ……………..
La nature des opérations réalisées sur les données est : ………………….
La ou les finalité(s) du traitement sont : ……………
Les données à caractère personnel traitées sont : ………………
Les catégories de personnes concernées sont : ………………….
Le soumissionnaire/titulaire déclare que :
Le sous-traitant présente des garanties suffisantes pour la mise en œuvre de mesures techniques et organisationnelles propres à assurer la protection des données personnelles ;
Le contrat de sous-traitance intègrera les clauses obligatoires prévues par l’article 28 du RGPD.
Dans les marchés de défense et de sécurité, lieu d’exécution des prestations sous-traitées :
…………………

Quand à la notice explicative du formulaire DC4 elle fournit les explications suivantes

 

Sous-traitance de traitement de données à caractère personnel
Cette rubrique doit être remplie lorsque le sous-traitant se voit confier le traitement de données à caractère personnel.
Dans cette hypothèse, il doit être fait application de la règlementation relative aux traitements de données à caractère personnel, et notamment du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit « Règlement Général sur la Protection des Données » : RGPD) ainsi que de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée.
Dans le cadre des marchés publics et au sens du RGPD, le « responsable du traitement » est en principe l’acheteur public. Le terme « sous-traitant », qui désigne au sens du RGPD « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement », correspond en marché public au titulaire du contrat, ainsi qu’à tout sous-traitant (au sens commande publique) à qui il serait confié le traitement de données.
En application du 2 de l’article 28 du RGPD, l’acheteur doit donner au titulaire son autorisation écrite préalable, spécifique ou générale, au recrutement d’un sous-traitant (au sens commande publique) lorsque ce dernier est chargé de traitements de données à caractère personnel. En cas d’autorisation générale, le titulaire doit informer l’acheteur de tout ajout ou remplacement de sous-traitants afin que celui-ci ait la possibilité d'émettre des objections à l'encontre des sous-traitants présentés.
Que l’autorisation donnée soit générale ou spécifique, le titulaire et son sous-traitant renseignent dans cette rubrique les activités de traitement de données à caractère personnel sous-traitées et notamment l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées.
Le soumissionnaire ou titulaire coche les deux cases déclaratives (de manière cumulative) qui ont pour but de lui rappeler qu’il lui appartient de s’assurer, d’une part, que son sous-traitant présente des garanties suffisantes pour la mise en oeuvre de mesures techniques et organisationnelles propres à assurer la protection des données personnelles et d’autre part, que, le sous-traité intègre les clauses obligatoires prévues par l’article 28 du RGPD. Si le sous-traitant ne remplit pas ses obligations en matière de protection des données, le titulaire demeure pleinement responsable devant l’acheteur de l’exécution par le sous-traitant de ses obligations.

Téléchargements

L’impact  du  RGPD  sur  le  droit  de  la  commande  publique - Fiche technique de Bercy

Actualités

Nouveau formulaire DC4 Déclaration de sous-traitance applicable au 01/01/24. Le formulaire DC4 de déclaration de sous-traitance, dans sa version du code de la commande publique, a été actualisé pour une application au 1er janvier 2024. Il est accessible au format WORD en .doc.  Il fait partie des formulaires de déclaration du candidat. Ces dispositions étaient prévues par les arrêtés du 22 décembre 2022 sur la publication des données essentielles dont l’entrée en vigueur est fixée au 1er janvier 2024. - 22 novembre 2024.

Nouveau formulaire DC4 mis à jour par la DAJ de Bercy le 31/07/2017 - 3 août 2017.

Autoliquidation de la TVA pour la sous-traitance dans le BTP 14 janvier 2014 - 14 janvier 2014. Une auto-liquidation de la TVA est applicable depuis le 1er janvier 2014 pour la sous-traitance du bâtiment et des travaux publics (BTP), lorsque des travaux sont effectués par un sous-traitant pour un donneur d'ordre assujetti à la TVA.

Les formulaires DC1 et DC4 mis à jour par la DAJ - La DAJ de Bercy a mis à jour les formulaires DC1 et DC4 pour les entreprises répondant aux marchés publics - 14 décembre 2011

Nouveaux formulaires de marchés publics DC1 DC2 DC3 DC4 (ex : DC4 DC5 DC8 DC13) mis en ligne par la DAJ - 17 septembre 2010

Formulaires DC4, DC5, DC6, DC8, ... révision par la DAJ et appel à propositions jusqu'au 14 juillet 2010 - Juin 2010

Formulaires du MINEFI

Formulaires pour les marchés publics nationaux et européens (AAPC, formulaires pour la passation et l'exécution de marchés publics)

Entreprises

Appels d’offres publics : Comment y répondre ? - Conseils aux TPE, PME, entreprises et artisans - 12 mai 2009 - 16 h 00  

Entreprise - TPE - PME - Répondre à un appel d'offres public,

Entreprise - TPE - PME - Répondre à un appel d'offres ouvert,

Entreprise - TPE - PME - Répondre à un appel d'offres restreint,

Entreprises - Comment compléter un document PDF dans le cadre d'un appel d'offres public ?