RGPD...en clair

[Market]

Bonjour à tous,

J'avoue ne pas bien comprendre l'impact du RGPD sur la commande publique.
Je comprends que ce règlement, d'application immédiate, renforce notamment l'obligation pour les personnes publiques de protéger les données personnelles qu'elles traitent mais concrètement, pour un acheteur, cela implique quoi ?

De faire attention aux informations demandées aux OE et de préciser, dans le CCAP, comment seront traitées et protégées leurs données personnelles ?
Si un marché de service existant implique le traitement de données personnelles par le titulaire (réservation de berceaux, téléphonie mobile), faut-il faire un avenant au contrat et insérer les clauses proposées par la CNIL dans l'attente d'un clausier officiel ?
Quid des plateformes telles que PLACE ou CHORUS ? Est-ce le RPA local qui est responsable des données injectées dans la base ?

Parle-t-on de système d'information purs, ou de simples listings, tableaux, fichiers conservés dans le service ou encore des données en vrac dans un dossier ?

J'ai la migraine...

[mighty]

+1 avec la migraine lol
Par contre il faut non seulement prévoir une clause dans tes marchés mais également un avenant pour les marchés en cours.
Il faut les recenser et les traiter au fil de l'eau.

Pour PLACE par exemple, par de réponses

[Market]

D'accord. Mais pour y insérer quel type de clause ? 

"Les données à caractère personnel mentionnées dans le contrat ou ayant un lien avec ce dernier sont traitées conformément au règlement n° 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Elles ne peuvent être traitées qu'aux fins de l'exécution, de la gestion et du suivi du contrat par le service indiqué à l'article xx, sans préjudice de leur éventuelle transmission aux organes chargés d'une mission de contrôle ou d'inspection en application du droit national et communautaire. Le contractant dispose d'un droit d'accès et de rectification aux données à caractère personnel le concernant. Pour toute question concernant ces dernières, le contractant s'adresse au service indiqué ci-dessus".

[Sunn0))]

Une présentation de la RGPD par Mathias avocats qui est pas mal faite :

https://www.avocats-mathias.com/wp-content/uploads/2018/01/Mathias-Avocats-Donn%C3%A9es-%C3%A0-caract%C3%A8re-personnel-Votre-conformit%C3%A9-D%C3%A9cembre-2017-VF.pdf

[shorty]

Je prend tout ce qui est possible sur le sujet.

J'ai déjà rajouté des petits trucs dans mes marchés. Mais ca reste principalement de la demande auprès de l'OE sur les mesures qu'il prend en application du RGPD.

[Ponta]

Une présentation de la RGPD par Mathias avocats qui est pas mal faite :

https://www.avocats-mathias.com/wp-content/uploads/2018/01/Mathias-Avocats-Donn%C3%A9es-%C3%A0-caract%C3%A8re-personnel-Votre-conformit%C3%A9-D%C3%A9cembre-2017-VF.pdf

Merci.

[Market]

Merci !!!

[Vivaelparaguay]

Je remonte ce sujet pour une question : "il faut" des avenants en cours pour inclure une clause "blabla RGPD".

Dans quelle mesure "il faut" quel fondement à ce "il faut" et quelles conséquences si on se limite aux marchés renouvelés sans faire d'avenant pour les contrats en cours d'exécution ?

Merci

[mighty]

Pour apporter un peu d'eau au moulin, nous avons analysé tous nos marchés en cours et avons sélectionné :
- ceux qui ne se terminaient pas en 2018 ou premier T 2019
- ceux qui avaient un échange de données permettant d'identifier la personne soit directement soit indirectement

Et on a lancé les avenants. On a eu de bons retour.

Ensuite reste la question cruciale des données dans tous les marchés qu'on réceptionne...Comment on les traite ces données ? tout un poème 

[Vivaelparaguay]

faire des avenants pour qu'un contrat en cours prenne en compte le nouvel environnement législatif, déjà, je ne comprends pas bien pourquoi c'est nécessaire; Je ne fais pas un avenant à chaque changement du taux de TVA.

De plus, quid de tous les marchés de travaux en phase garantie décennale, pour lesquels le dgd est intervenu et où faire un avenant n'est donc même pas possible ?

[mighty]

Ben l'idée c'est de savoir déjà si le prestataire gère une donnée personnelle. En travaux, y a pas des masses quand même !

[juriste juniore!]

L'avenant est aussi pour "contrer" les chartes de bonne conduite and co que peuvent envoyer certaines entreprises (perso on a eu droit à une traduction google de l'allemand par exemple!).

Après comme dit mighty il faut déjà voir le nombre de marchés concernés chez vous.

Si vous regardez la clause type CNIL par exemple, elle a surtout pour objet de préciser quelles sont les données traitées et l'objectif de ce traitement.

[Vivaelparaguay]

Ben l'idée c'est de savoir déjà si le prestataire gère une donnée personnelle. En travaux, y a pas des masses quand même !

je crois comprendre que dès qu'on peut identifier une personne c'est le cas. Une liste de salariés. Une adresse de locataire, un numéro de téléphone de chef de chantier, son nom sur le compte rendu de chantier, ... ... ...

[juriste juniore!]

je crois comprendre que dès qu'on peut identifier une personne c'est le cas. Une liste de salariés. Une adresse de locataire, un numéro de téléphone de chef de chantier, son nom sur le compte rendu de chantier, ... ... ...

Sauf que votre titulaire de marché de travaux n'en fait rien a priori, il ne les traitent pas. Les risques sont davantage sur les marchés d'enquête ou qui comprennent de la donnée RH (type nom et indice pour fixer le tarif de la cantine).

[mighty]

Oui vous êtes responsable de traitement (pour les données personnelles que vous gérez). Ensuite vous pouvez transmettre des données personnelles identifiables à votre titulaire dans le cadre de la réalisation d'une prestation (sous-traitant). S'il gère des données pour vous, alors vous devez faire une action.
Enfin c comme ça que je l'ai compris !

Par exemple, dans le cadre d'un marché de fourniture, le prestataire n'a accès à aucune donnée identifiable; Donc. Pas de RGPD