Le Règlement Général sur la Protection des Données (RGPD) touche les marchés publics à plusieurs niveaux. Du traitement des données personnelles dans les offres au contrat de sous-traitance dans les marchés IT, de la tension entre transparence et vie privée au rôle du délégué à la protection des données — la conformité au RGPD est devenue partie intégrante du processus de passation des marchés.

Où le RGPD touche-t-il les marchés publics ?

Données personnelles dans les offres

Chaque offre contient des données personnelles : noms des personnes de contact, CV du personnel proposé, références avec coordonnées de donneurs d’ordre précédents, certificats nominatifs. Le pouvoir adjudicateur traite ces données lors de l’évaluation des offres.

La base juridique de ce traitement est généralement l’intérêt légitime (article 6.1.f RGPD) ou la nécessité pour l’exécution d’une mission d’intérêt public (article 6.1.e RGPD) dans le chef du pouvoir adjudicateur. Le soumissionnaire qui partage les données personnelles de ses collaborateurs doit informer ceux-ci que leurs données sont transmises dans le cadre d’une offre.

Contrat de sous-traitance pour les marchés de services

Pour les marchés où l’adjudicataire traite des données personnelles pour le compte du pouvoir adjudicateur — pensez aux services IT, à l’administration RH, à l’hébergement cloud, au facility management — un contrat de sous-traitance (article 28 RGPD) est obligatoire. Les documents de marché contiennent de plus en plus souvent un projet de contrat de sous-traitance en annexe.

Le contrat de sous-traitance règle notamment :

L’objet et la durée du traitement.
La nature et la finalité du traitement.
Le type de données personnelles et les catégories de personnes concernées.
Les obligations et droits du responsable du traitement.
Les mesures de sécurité que le sous-traitant doit mettre en œuvre.
Les règles relatives aux sous-traitants ultérieurs (sous-traitants qui traitent également des données personnelles).
La restitution ou la destruction des données à la fin du contrat.

Transparence versus vie privée

Les marchés publics sont soumis à des obligations de transparence : la décision d’attribution est motivée et communiquée, les prix des offres sont publiés, et le public a droit à l’information sur l’utilisation des deniers publics. Parallèlement, le RGPD protège les données personnelles traitées dans ce contexte.

L’équilibre fonctionne comme suit :

Les noms des administrateurs ou gérants des entreprises soumissionnaires sont généralement considérés comme des informations publiques — ils sont publiés au Moniteur belge et dans la BCE.
Les CV, coordonnées du personnel et informations détaillées de référence ne sont pas publics et sont protégés par les règles de confidentialité de l’article 13 de la Loi du 17 juin 2016.
Lors d’une demande d’accès à l’information (Loi relative à la publicité de l’administration), le pouvoir adjudicateur met en balance l’intérêt de transparence et le droit à la vie privée.

Exigences RGPD dans le cahier des charges

Exigences DPO

Pour les marchés impliquant un traitement significatif de données personnelles, le cahier des charges peut exiger que le soumissionnaire dispose d’un délégué à la protection des données (DPO). C’est particulièrement courant pour :

Les marchés IT impliquant le traitement de données de santé.
Les marchés de traitement de données ou d’analyse.
Les services cloud où de grands volumes de données personnelles sont stockés.

Certifications comme critère d’attribution

Le RGPD prévoit la possibilité de mécanismes de certification (article 42 RGPD). Bien qu’ils ne soient pas encore largement disponibles, des certifications connexes sont de plus en plus utilisées comme critères de sélection ou d’attribution :

ISO 27001 (sécurité de l’information) comme preuve de mesures de sécurité adéquates.
ISO 27701 (gestion des informations relatives à la vie privée) en complément de l’ISO 27001.
SOC 2 pour les prestataires de services cloud et IT.

Analyse d’impact relative à la protection des données (AIPD)

Pour les marchés présentant un risque élevé pour les droits et libertés des personnes concernées — par exemple le traitement à grande échelle de catégories particulières de données personnelles — le pouvoir adjudicateur peut exiger une analyse d’impact relative à la protection des données. Le soumissionnaire doit alors démontrer dans son offre comment il atténue les risques.

Dimension internationale

Transferts hors de l’EEE

Pour les marchés comportant un élément international — services cloud avec des serveurs hors de l’EEE, sous-traitants internationaux, fournisseurs IT multinationaux — le transfert de données personnelles en dehors de l’Espace Économique Européen est un point d’attention critique.

Suite à l’arrêt Schrems II (2020) de la Cour de Justice et au EU-US Data Privacy Framework (2023), le pouvoir adjudicateur doit vérifier :

Si le transfert se fait vers un pays bénéficiant d’une décision d’adéquation.
S’il existe des garanties appropriées (Clauses Contractuelles Types, Binding Corporate Rules).
Si une évaluation complémentaire des risques (Transfer Impact Assessment) a été réalisée.

Les cahiers des charges imposent de plus en plus que les données soient traitées exclusivement au sein de l’EEE.

Erreurs fréquentes

Pas de contrat de sous-traitance prévu. Le cahier des charges ne contient pas de contrat de sous-traitance alors que l’adjudicataire traite des données personnelles. C’est une violation de l’article 28 RGPD — pour les deux parties.

Demande de données excessives. Le cahier des charges demande plus de données personnelles que nécessaire pour l’évaluation (données médicales détaillées du personnel, copies inutiles de cartes d’identité). Le principe de minimisation des données (article 5.1.c RGPD) s’applique aussi aux pouvoirs adjudicateurs.

Pas de durées de conservation. Le pouvoir adjudicateur conserve les offres et les données personnelles associées indéfiniment, sans politique de destruction après expiration du délai de conservation.

Exigences RGPD non proportionnées au risque. Un marché de fourniture de mobilier de bureau a des exigences RGPD différentes d’un marché d’hébergement cloud de dossiers patients. Le cahier des charges doit être proportionné.

Advice

Attention RGPD : Pour les marchés IT et cloud, examinez minutieusement le contrat de sous-traitance proposé (article 28 RGPD). Certains pouvoirs adjudicateurs imposent des clauses unilatérales : responsabilité illimitée pour les brèches, délai de notification d'incidents de quelques heures (irréaliste), absence de droit de contrôle. Posez des questions pendant la phase de questions — ces termes peuvent vous rendre le marché non réalisable ou extrêmement risqué. Une négociation préalable protège votre rentabilité.

Lisez le contrat de sous-traitance. En tant que soumissionnaire, examinez le projet de contrat de sous-traitance dans le cahier des charges avant de soumissionner. Les clauses irréalistes ou unilatérales (responsabilité illimitée, notification immédiate de chaque incident) sont négociables — posez des questions en temps utile.

Informez vos collaborateurs. Si vous incluez des CV et données personnelles de collaborateurs dans une offre, informez-les du traitement conformément aux articles 13/14 du RGPD.

Offrez la conformité RGPD comme atout. Dans les marchés IT et de services, une conformité RGPD démontrable est un facteur de différenciation. La certification ISO 27001/27701, un DPO désigné et une organisation privacy mature font impression.

Préparez un registre des traitements. Un registre des activités de traitement à jour (article 30 RGPD) démontre que vous prenez le RGPD au sérieux et accélère l’évaluation de votre offre.

RGPD et marchés publics : protection des données dans les achats publics