RGPD : le formulaire « DC4 » de sous-traitance mis à jour

Dans sa notice explicative, la DAJ souligne que le « responsable du traitement est en principe l’acheteur public ».

Au sens du RGPD, le sous-traitant est la « personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ». 

En marché public le titulaire du contrat et ses sous-traitants éventuels (au sens « commande publique »), sont donc considérés comme des sous-traitant du traitement de la donnée (au sens « RGPD »).

En application du 2 de l’article 28 du RGPD, La DAJ précise que « l’acheteur doit donner au titulaire son autorisation écrite préalable, spécifique ou générale, au recrutement d’un sous-traitant (au sens commande publique) lorsque ce dernier est chargé de traitements de données à caractère personnel ».

À cet effet, le formulaire de déclaration de sous-traitance prévoit désormais une nouvelle rubrique.

Le titulaire et son sous-traitant doivent compléter plusieurs éléments : « les activités de traitement de données à caractère personnel sous-traitées et notamment l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées ».

Désormais, deux cases déclaratives, et cumulatives, sont alors également à cocher par le soumissionnaire / titulaire du marché :

• Une première case assurant que « son sous-traitant présente des garanties suffisantes pour la mise en œuvre de mesures techniques et organisationnelles propres à assurer la protection des données personnelles » ;
• Une seconde case pour attester que «  le sous-traité intègre les clauses obligatoires prévues par l’article 28 du RGPD ».

En cas de non-respect des obligations de protection des données par le sous-traitant, le titulaire en est responsable (comme c’est déjà le cas aujourd’hui pour les autres obligations).