Sécurité informatique et marchés publics

Publié le 25 juin 2020 disposition rgpd

Le règlement européen RGPD est de plus en plus prisé dans le secteur public. Faisant suite à la loi informatique et libertés, il se veut de mettre en avant la protection des personnes et de leurs données sensibles. Dans cette optique, l’ANSSI ou l’Agence Nationale de Sécurité des Systèmes d’Information et la DAE ou Direction des Achats de l’Etat, ont mis en place un guide portant sur la nécessité d’une sécurité des systèmes d’information dans les marchés publics !

L’utilisation de dispositifs sécuritaires dans les marchés publics

Le but de mettre en place une sécurité informatique, c’est surtout de protéger les intérêts légitimes des personnes concernées. Ce guide recense donc l’importance de la protection des données et est validé par la Commission nationale de l’informatique.

Ce texte similaire au RGPD est utilisé par tous les marchés publics dès lors que leurs produits ou leurs prestations favorisent la collecte de données et l’usage de procédés informatiques. Toutefois, au terme de ces obligations légales, les acheteurs ont la possibilité de mettre en place une méthode de travail personnalisée et des clauses relatives à la protection de la vie privée des marchés publics.

Mais quelle est l’utilité d’un tel texte RGPD pour les marchés publics ?

  • Une meilleure protection des données à caractère personnelgrâce un outil rgpd ;
  • Une meilleure adaptation des acteurs publics quant au règlement général de la protection des données à caractère personnel ;
  • Une répercussion non négligeable sur les divers opérateurs économiques quant à l’emploi d’une donnée personnelle.

Un guide faisant suite au RGPD et aux dispositions de la CNIL

Ce guide est une des obligations légales des marchés publics. Il met en avant les clauses qu’il faut mettre dans le cahier des clauses administratives particulières, le règlement de consultation ou encore dans le cahier des clauses techniques particulières. Même si ces clauses ne sont pas totalement contraignantes, on constate que les marchés publics n’hésitent pas à renforcer leur sécurité surtout au niveau de la méthodologie, du juridique et de l’organisation et de favoriser une mise en conformité rgpd.

RGPD et Cahier des Clauses Administratives Particulières ou CCAP

Cette clause met en avant les rapports entre les responsables de traitement et les sous-traitants. Parmi les dispositions du guide, on retrouve l’obligation de protection des données collectées. Le titulaire du marché a donc un devoir de conseil comme c’est le cas du responsable du traitement ou du sous-traitant dans le RGPD.

Il doit donner à l’acheteur l’ensemble des données sur la protection du système et le personnel doit être formé pour protéger les droits des personnes et les informations. Il doit aussi indiquer la durée de la conservation des données, leur portabilité, leur rectification et leur suppression. A l’instar des missions du DPO ou Data Protection Officer, il doit même pouvoir lancer un audit pour protéger les données. Le titulaire peut à tout instant solliciter l’aide d’un consultant RGPD ou d’un délégué à la protection des données par la suite !

Ses avantages ?

  • Une obligation de confidentialité ;
  • Une obligation d’informer les personnes concernées ;
  • Un devoir de conseil ;
  • La tenue d’un registre des traitements ;
  • Une formation du personnel.

RGPD et Cahier des Clauses Techniques Particulières ou CCTP

C’est un guide qui est relié aux obligations techniques de l’ANSSI. Il donne la liste de tout ce que les titulaires doivent faire lors de la manipulation des données personnelles. Parmi les clauses, vous découvrirez celles relatives au traitement des incidents, les audits à faire, la sécurité physique ou encore l’hébergement.

Une nouvelle méthodologie de contrôle avec la sécurité des systèmes d’information

Les clauses permettent une meilleure sécurité des marchés publics. C’est l’acheteur lui-même qui doit vérifier qu’elles s’adaptent aux exigences de son marché ou non. Le guide dresse ainsi une liste des documents que l’acheteur public peut demander à son candidat comme le plan d’assurance sécurité ou PAS. Le formulaire d’engagement de reconnaissance de responsabilité est aussi indispensable et fait office de consentement du candidat à la protection des données personnelles et à respecter toutes les mesures de sécurité !

Qui sont les parties concernées par cette obligation de confidentialité ?

Dans le cadre de la protection des données personnelles dans les marchés publics, divers acteurs entrent en jeu. Il y a le directeur de la commande publique, le prescripteur, la direction juridique, la direction des systèmes d’information et surtout le DPO ou le délégué à la protection des données. Le rôle du DPO est non négligeable car il va aider à rédiger les diverses clauses et va réfléchir sur les traitements à mettre en œuvre en ce qui concerne les données personnelles !

Des clauses pas si facultatives

Avec les risques au niveau de la sécurité, engendrés par des solutions toujours plus intrusives et des dispositions sur la protection de la vie privée, ces clauses s’avèrent obligatoires. Pour rester dans la concurrence, la sécurité ainsi que la confidentialité doivent être mises en avant.

Mais quelles sont les bases mêmes du RGPD ?

Afin de protéger les intérêts légitimes de la personne concernée, le RGPD se base sur la politique du privacy by design. Il est donc impératif pour toute entité publique ou privée de prendre des mesures préventives pour empêcher la violation des données à caractère personnel et de prévenir toute atteinte à la vie privée de la personne physique. Il est aussi indispensable de prévoir une protection par défaut des données personnelles. Il faut que le service public soit équipé d’un système d’information dès la base.

Durant toute la durée de conservation des données, il faut aussi s’assurer de prendre les mesures adéquates pour bien les garder et procéder à l’effacement au moment opportun. Attention, le traitement des données doit aussi tenir compte de l’intérêt et des objectifs de l’entreprise.  Il faut également que la conservation des données et leurs finalités soient données en toute transparence afin que les personnes aient confiance !