rgpd toujours pas dans les dce

[david17]

bonjour docteur, on a toujours pas intégré le fameux rgpd dans nos dossier de consultation, c'est grave docteur ?

plus sérieusement on y capte quedalle et du coup on arrive pas à s'y mettre.

Bon week à tous et à toutes.

[Ponta]

Bonjour,

Pas mieux.
Et mettre un pavé dont je ne ferai jamais application, bof bof.

(AH zut, ça me rappelle l'article 9 Pénalités )

[speedy]

commencez donc par les marchés ou le prestataire gère des fichiers pour vous  ....
donc passer en revue PI puis autres services puis plus tard travaux et enfin beaucoup plus tard fournitures .... ordre probable des plus grands risques ....

[hpchavaz]

commencez donc par les marchés ou le prestataire gère des fichiers pour vous  ....
donc passer en revue PI puis autres services puis plus tard travaux et enfin beaucoup plus tard fournitures .... ordre probable des plus grands risques ....

Les marchés ne sont que l'un des points à traiter. Vous avez des clauses type de la CNIL, mais il y a des éléments qui nécessitent de bien identifier les responsabilités au sens du RGPD et le niveau de sécurité etc.
Les principes à maîtriser sont moins nombreux qu'en commande publique donc vous devriez pouvoir comprendre le principal rapidement, et pour le reste vous devez de doute façon faire intervenir  votre DPO qui est là pour vous aider.

1/ En application du RGPD, votre entité a du établir un registre des traitements (de données à caractère personnel)
C'est un préalable même si il peut y avoir un peu de rétroaction.

Attention : Comprendre les définitions du RGPD est essentiel il suffit de s'y mettre pour comprendre l'essentiel et pour les subtilités voir le DPO
Gare aux faux sens :
- dans le RGPD, "données à caractère personnel" a un sens très large
- dans le RGPD, "traitement de données" a un sens différent de celui qui lui donné par ailleurs. Un traitement comprend notamment la collecte, la conservation, la destruction des données.
Gare aux faux-amis,
- dans le RGPD "sous traitant" correspond peu ou prou(*) à prestataire en commande publique.
- dans le RDPG "responsable de traitement" correspond peu ou prou(*) à donneur d'ordres ou Acheteur en commande publique.



2/ Après faire ce qu'indique speedy: Commencer par les marchés de traitement de données à caractère personnel.
Les prestataires de traitement de données devraient être identifiés dans chaque traitement (au sens RGPD) du registre, généralement en tant que "sous-traitants"
Si un prestataire pour un traitement de données n'est pas identifié, il y a un problème et le registre ou une fiche de traitement devra être complété (c'est lar étroaction évoquée plus haut)


Notes :
- une partie des traitements de données est interne
- il existe d'autre type de relation que la relation "responsable de traitement" - "sous traitant"
- plusieurs marchés de traitement de données peuvent être rattachés à un traitement au sens sur RGPD
 ex : pour la gestion de services :site web, éditique ...
- plusieurs traitements au sens du RGPD peuvent faire appel à un même marché
 ex: l'éditique sera rarement rattachées à un seul traitement au sens du RPGD


*) mais "peu ou prou" ne signifié pas exactement.

[shorty]

Si ca peut aider je m'étais inspiré de :
https://www.cnil.fr/fr/integration-du-rgpd-la-commande-publique-une-1ere-etape-franchie

et du guide
https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf

et finalement, parce que ça faisait trop lourd, j'ai juste intégré un article :

Chaque partie est tenue au respect des règles relatives à la protection des données à caractère personnel auxquelles elle a accès pour les besoins de l'exécution du marché.
Le titulaire se déclare informé de toutes les obligations et règles découlant du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit Règlement RGPD) qui lui sont opposables dans le cadre de l'exécution du marché.
Le titulaire devra transmettre à la Mairie, l'ensemble des traitements des données auquel il aura accès, pour toutes ses étapes de leurs collectes jusqu'à leurs éliminations.

[david17]

coucou à tous et à toutes, merci pour vos infos,  shorty tu l'as intégré dans quel document ton texte et c'est le même pour toutes les catégories ? fourniture, service, PI, travaux ?

[hpchavaz]

...

et finalement, parce que ça faisait trop lourd, j'ai juste intégré un article :

a) Chaque partie est tenue au respect des règles relatives à la protection des données à caractère personnel auxquelles elle a accès pour les besoins de l'exécution du marché.
b)Le titulaire se déclare informé de toutes les obligations et règles découlant du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit Règlement RGPD) qui lui sont opposables dans le cadre de l'exécution du marché.
c) Le titulaire devra transmettre à la Mairie, l'ensemble des traitements des données auquel il aura accès, pour toutes ses étapes de leurs collectes jusqu'à leurs éliminations.

Dans le cas où vous mêmes et votre co-traitant êtes "responsables de traitement" pour ce qui vous incombe réciproquement, la clause pourrait suffire mais vous devriez être engagés réciproquement (exemple d'une partie d'un  "traitement" : transmission des liste de travailleurs étrangers par les entreprises intervenant pour votre compte voir l'échange ici) et votre DPO vous demandera sans doute de préciser le périmètre de chacun et peut être les interfaces.

En revanche dans le cas où vous êtes "responsable" du "traitement" et votre prestataire "sous-traitant" aux sens du RGPD, votre DPO trouvera cela probablement un peu court :
"a)" n'apporte pas grand chose
"b)" suppose que vous donniez des instruction à votre "sous-traitant", en matière de "finalités du traitement", de "durée de conservation", de "règles de sécurité",de "gestion des violations", ...
"c)" est intéressant, mais un peu ambigu, car qu'est ce qu'avoir accès à un "traitement" (sens RGPD) de données ? J'ajouterais a minima que le "sous-traitant" ne devra pas utiliser les données à d'autres fins que celles prévues par le contrat, et qu'il devra éliminer toute copie des données mais ce n'est une rustine.

[shorty]

coucou à tous et à toutes, merci pour vos infos,  shorty tu l'as intégré dans quel document ton texte et c'est le même pour toutes les catégories ? fourniture, service, PI, travaux ?

C'est une texte bateau pour dire : dites nous comment vous faites.
Indiqué dans le CCAP avant les pénalités et résiliations + rappel dans CCTP si nécessaire.


Après je partage l'avis de hpchavaz, c'est court et surement insuffisant, mais dans l'attente, c'est mieux que rien