Contrat RGPD non onéreux : marché public ou pas ?

[Ponta]

Bonjour,

Une juriste RGPD et informatique renégocie tous les marchés de logiciels. Elle a obtenu notamment un contrat lié au RGPD avec un éditeur de logiciel. Ce document a vocation à s'appliquer à tous les contrats de logiciels, maintenance, hébergements... avec cet éditeur. Ces contrats étant ceux en cours et ceux à venir.

Je relis l'article 1er de l'ordo qui dit qu'un marché public est onéreux. Ce contrat RGPD ne coûte rien : aucun prix n'est payé et il n'y a ni rétrocession ou ni abandon de recettes.

Pouvez-vous me confirmer que ce contrat n'est pas un marché public ou bien que je me plante complètement  ?

[dominique]

Seule une lecture du projet de contrat peut permettre d'en analyser exactement la nature juridique.
En plus comme il s'agit d'une prestation juridique, le recours à de tel professionnels est encadré par la loi Loi n° 71-1130 du 31 décembre 1971 portant réforme de certaines professions judiciaires et juridiques
Dominique Fausser

[Michel]

un contrat lié au RGPD

c'est quoi un "contrat lié au RGPD" 

Une juriste RGPD et informatique renégocie tous les marchés de logiciels.

   whaou ! bravo !  en général, les éditeurs sont US et ne négocie jamais un contrat ! 
sans compter que ceux-ci (les US) se foutent royalement de nos règles EU ! 
Qu'est-il donc réellement "négocié" ?

[hpchavaz]

Pour le point soulevé, par Dominique je ne vois en quoi la loi n° 71-1130 du 31 décembre 1971 portant réforme de certaines professions judiciaires et juridiques serait applicable.

Il doit s'agir d'une sorte de convention précisant pour les contrat passés avec l'éditeur les responsabilités au sens RGPD, convention ayant sans doute comme intérêt d'éviter de passer de multiples avenants.

Coté commande publique : à voir.

Coté RGPD : à voir car les finalités et les règles de sécurité notamment doivent être définies au cas par cas.

[Ponta]

Il doit s'agir d'une sorte de convention précisant pour les contrat passés avec l'éditeur les responsabilités au sens RGPD, convention ayant sans doute comme intérêt d'éviter de passer de multiples avenants.

C'est exactement ça. Un cadre juridique des droits et des obligations de l'éditeur, de ma structure et des utilisateurs, qui définit notamment les responsabilités et non-responsabilités de chacun.
Et ce cadre est applicable à tous les contrats en cours et à venir avec cet éditeur qui est un spécialiste de l'interface pour permettre aux citoyens de payer des frais de crèche, cantine, centre de loisirs...
Il y a beaucoup de données personnelles sensibles en jeu : civilité des parents et enfants, personnes de confiance, les coordonnées bancaires...
Le nom de cet éditeur est un ensemble de notes de musique qui forment un accord.

   whaou ! bravo !  en général, les éditeurs sont US et ne négocie jamais un contrat ! 
sans compter que ceux-ci (les US) se foutent royalement de nos règles EU ! 
Qu'est-il donc réellement "négocié" ?

Ouais, c'est la classe.
La juriste a négocié :
- les responsabilités et les exonérations de chacun,
- les pénalités (qui existaient pour ma collectivité mais par pour l'éditeur; étonnant non ? ),
- les délais et modalités d'interventions et de garantie,
- le traitement des données et notamment les procédures en cas d'utilisation non conforme à la règlementation RGPD et/ou CNIL
- ...
Et tout ceci pour pas un euro de plus.

[Michel]

Encore bravo !
mais l'entreprise éditrice est soumise à quelle juridiction de quel pays ?
Que dit votre article "pénalités et mesures coercitives" ?
auprès de quel tribunal assignerez vous l'entreprise en cas de non respect du RGPD et de votre contrat ?        

Quelle a été votre dépense financière auprès de cette juriste, pour son travail ?

[dominique]

Pour ma part, tant que je ne vois pas les contenus d'un contrat j'évite de donner un avis définitif, mais ce n'est pas la mission de ce forum. Mais mon sentiment est qu'il a nécessairement une contre partie et je me doute qu celle-ci réside dans l'exploitation d'un fichier client, soit à titre commercial, soit à titre d'une influence quelconque qui peut poser des problèmes de souveraineté.
Dominique Fausser

[Michel]

mon sentiment est qu'il a nécessairement une contre partie

+1    pour moi : toujours !
et mon autre sentiment : que l'éditeur, quelque soit les termes du contrat , dépend fort probablement d'une juridiction étrangère (par exemple US) et que les termes du contrat qui n'auraient pas été respectés ne seront pas "pénalisables" ! 
Donc : sur la papier c'est peut-être très "beau", mais la dépense (financière ou par abandon de données ou autres) sera une dépense en "pure perte" 
et potentiellement un très grave problème si c'est un "abandon" de données relevant du régime du RGPD au prestataire (la juriste dite spécialisé) sans aucune garantie RGPD entre la personne publique et cette dernière. 

[Ponta]

Le contrat dépend du Tribunal Administratif d'un coin d'Ile de France.

Quelle a été votre dépense financière auprès de cette juriste, pour son travail ?

C'est une collègue de travail. Ma collectivité lui verse un salaire.

et potentiellement un très grave problème si c'est un "abandon" de données relevant du régime du RGPD au prestataire (la juriste dite spécialisé) sans aucune garantie RGPD entre la personne publique et cette dernière. 

Ca a été un des points négociés. Avec le cadre RGPD, ce problème est traité et la société est censée être vertueuse (enfin je l'espère ).

[Michel]

la société est censée être vertueuse (enfin je l'espère ).

       B'en voyons !       Une société Française, européenne ou carrément Américaine ?   (et fournisseuse de données à la NSA 
Car si US : ils n'en ont RIEN à foutre !   demandez donc à leur Président Donald ! 

[Michel]

C'est une collègue de travail. Ma collectivité lui verse un salaire.

  et la société prestataire également ? 

[Michel]

Le contrat dépend du Tribunal Administratif d'un coin d'Ile de France.

et ce Tribunal as-t-il un quelconque pouvoir de sanction contre l'éditeur ? 

[hpchavaz]

...
Mais mon sentiment est qu'il a nécessairement une contre partie

Pas nécessairement, l'éditeur veut peut être simplement préciser quelles sont ses responsabilités et celles des utilisateurs et il se peut fort bien que ceux avoir également intérêt à une précision de ce type.

Exemple : Le RGPD définit le responsable de traitement comme celui qui définit les finalités et les moyens, or en mode SAAS, l'utilisateur définit les finalités et l'éditeur les moyens.
Aussi les deux peuvent avoir intérêt à préciser qui est responsable de quoi :
- pour l'éditeur : éviter que les utilisateurs ne viennent lui donner des instructions
- pour l'utilisateur : limiter son champ de responsabilité.

Après il faudra voir si cette répartition des responsabilités RGPD sera acceptée par la CNIL ou un tribunal.


Naturellement le mieux est du sur-mesure et comme indiqué, il faut voir le détail notamment : utilisation des données, violations, localisation des sites de traitement (quoique avec le Cloud Act ...) tribunaux , limitations de garantie ...

[Ponta]

       B'en voyons !       Une société Française, européenne ou carrément Américaine ?   (et fournisseuse de données à la NSA 
Car si US : ils n'en ont RIEN à foutre !   demandez donc à leur Président Donald ! 

Je serais pas aussi affirmatif.

et ce Tribunal as-t-il un quelconque pouvoir de sanction contre l'éditeur ? 

Bah oui.

[dominique]

Pas nécessairement, l'éditeur veut peut être simplement préciser quelles sont ses responsabilités et celles des utilisateurs et il se peut fort bien que ceux avoir également intérêt à une précision de ce type.

Exemple : Le RGPD définit le responsable de traitement comme celui qui définit les finalités et les moyens, or en mode SAAS, l'utilisateur définit les finalités et l'éditeur les moyens.
Aussi les deux peuvent avoir intérêt à préciser qui est responsable de quoi :
- pour l'éditeur : éviter que les utilisateurs ne viennent lui donner des instructions
- pour l'utilisateur : limiter son champ de responsabilité.

Après il faudra voir si cette répartition des responsabilités RGPD sera acceptée par la CNIL ou un tribunal.


Naturellement le mieux est du sur-mesure et comme indiqué, il faut voir le détail notamment : utilisation des données, violations, localisation des sites de traitement (quoique avec le Cloud Act ...) tribunaux , limitations de garantie ...

Je rappelle aussi que les données numériques des administrations publiques constituent des archives publiques et sont donc un Trésor national (art. L. 111-1 et s. du Code du patrimoine) qui ne peuvent sortir du territoire que de manière temporaire et à condition de disposer d'une autorisation de sortie attribuée dans des conditions limitées sous contrôle du service des Douanes.
A ce titre, voir page 97 La circulation des archives du document « La sureté du patrimoine archiviste » de la Direction du Patrimoine », décembre 2014
En application de ce texte, il en résulte que le "cloud" doit transiter et être hébergé sur le seul territoire national.
Dominique Fausser