RGPD

[briochette]

Bonjour,

Auriez-vous des modèles de clauses RGPD à insérer dans nos CCAP.

D'avance merci.

[Mp01]

Bonjour,

Ca m'interesse également

[Mathieu]

une clause honteusement copiée/collée pour mon marché de GRC

ça m'a l'air complet (trop?)... en même temps je n'y connais rien 

4 - Protection des données à caractère personnel
Chaque partie au contrat est tenue au respect des règles relatives à la protection des données à caractère personnel auxquelles elle a accès pour les besoins de l'exécution du contrat. Ces règles sont issues du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ci-après désigné « le règlement européen sur la protection des données ».

4.1 - Description du traitement de données à caractère personnel
Le titulaire est autorisé à traiter pour le compte de l'acheteur les données à caractère personnel nécessaires pour fournir les prestations objet du contrat.

4.2 - Obligations du titulaire
Le titulaire s'engage à :
- traiter les données uniquement pour les seules finalités du traitement,
- traiter les données conformément aux instructions de l'acheteur.
- garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat,
- veiller à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité, reçoivent la formation nécessaire en matière de protection des données à caractère personnel, et prendre en compte, s'agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.

Si le titulaire considère qu'une instruction constitue une violation du règlement européen ou du droit de l'Union ou du droit des Etats membres relatif à la protection des données, il en informe immédiatement l'acheteur. En outre, si le titulaire est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, il doit informer l'acheteur avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.

4.2.1 - Autorisation de désignation d'un autre prestataire
Le titulaire peut faire appel à un autre prestataire, désigné « le sous-traitant ultérieur », pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit l'acheteur de tout changement envisagé concernant l'ajout ou le remplacement d'autres prestataires. Cette information doit indiquer clairement les activités de traitement concernées, l'identité et les coordonnées du sous-traitant ultérieur et les dates du contrat de sous-traitance ultérieur. L'acheteur dispose d'un délai minium de 6 jours à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ultérieure ne peut être effectuée que si l'acheteur n'a pas émis d'objection pendant le délai convenu.

Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions de l'acheteur. Il appartient au titulaire de s'assurer que celui-ci présente les mêmes garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées. Le titulaire demeure pleinement responsable devant l'acheteur de l'exécution par le sous-traitant ultérieur de ses obligations.

4.2.2 - Droit d'information des personnes concernées
Il appartient à l'acheteur de fournir l'information aux personnes concernées par les opérations de traitement au moment de la collecte des données

4.2.3 - Exercice des droits des personnes
Le titulaire aide l'acheteur à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées : droit d'accès, de rectification, d'effacement et d'opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l'objet d'une décision individuelle automatisée (y compris le profilage).
Lorsque les personnes concernées exercent auprès du titulaire des demandes d'exercice de leurs droits, le titulaire doit adresser ces demandes dès réception par courrier électronique à : xxxx

4.2.4 - Notification des violations de données à caractère personnel
Le titulaire notifie à l'acheteur toute violation de données à caractère personnel dans un délai maximum de 48 heures après en avoir pris connaissance et par le moyen suivant :
Courriel aux adresses suivantes : xxx

Cette notification est accompagnée de toute documentation utile afin de permettre à l'acheteur, si nécessaire, de notifier cette violation à l'autorité de contrôle compétente.
La notification contient au moins :
- la description de la nature de la violation de données à caractère personnel (catégories et nombre approximatif de personnes concernées par la violation et d'enregistrements de données) ;
- le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact ;
- la description des conséquences probables de la violation de données à caractère personnel ;
- la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Si, et dans la mesure où il n'est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.
Après accord de l'acheteur, le titulaire communique, au nom et pour le compte l'acheteur, la violation de données à caractère personnel à la personne concernée dans les meilleurs délais, lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique.

La communication à la personne concernée décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les mêmes éléments que la notification ci-dessus.

4.2.5 - Aide du titulaire dans le cadre du respect par l'acheteur de ses obligations
Le titulaire aide l'acheteur pour la réalisation d'analyses d'impact relative à la protection des données ainsi que pour la réalisation de la consultation préalable de l'autorité de contrôle.

4.2.6 - Mesures de sécurité des données à caractère personnel
Le titulaire s'engage à mettre en oeuvre les mesures de sécurité suivantes :
- la pseudonymisation et le chiffrement des données à caractère personnel
- les moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
- les moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;
- une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Le candidat précise dans son offre les mesures qu'il s'engage à mettre en place pour respecter le RGPD

4.2.7 - Sort des données
Au terme de la prestation de services relatifs au traitement de ces données, le titulaire s'engage à renvoyer toutes les données à caractère personnel à l'acheteur. Le renvoi doit s'accompagner de la destruction de toutes les copies existantes dans les systèmes d'information du titulaire. Une fois détruites, le titulaire doit justifier par écrit de la destruction.

4.2.8 - Délégué à la protection des données
Le titulaire communique à l'acheteur le nom et les coordonnées de son délégué à la protection des données, s'il en a désigné un conformément au règlement européen sur la protection des données.

4.2.9 - Registre des catégories d'activités de traitement
Le titulaire déclare tenir par écrit un registre de toutes les catégories d'activités de traitement effectuées pour le compte de l'acheteur comprenant :
- le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels autres prestataires et, le cas échéant, du délégué à la protection des données,
- les catégories de traitements effectués pour le compte de l'acheteur,
- le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et les documents attestant de l'existence de garanties appropriées le cas échéant,
- une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :
- la pseudonymisation et le chiffrement des données à caractère personnel;
- des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
- des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;
- une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

4.2.10 - Documentation
Le titulaire met à la disposition de l'acheteur, la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par l'acheteur ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

4.3 - Obligations de l'acheteur
L'acheteur s'engage à :
- fournir au titulaire les données visées à l'article "Description du traitement de données à caractère personnel",
- documenter par écrit toute instruction concernant le traitement des données par le titulaire,
- veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du titulaire,
- superviser le traitement, y compris réaliser les audits et les inspections auprès du titulaire.

[Michel]

je ne l'ais pas lu, mais il y a une fiche DAJ :

https://www.economie.gouv.fr/files/files/directions_services/daj/marches_publics/conseil_acheteurs/fiches-techniques/preparation-procedure/impact_RGPD_droit_Commande_Publique.pdf