• Home  / 
  • DELIBERATION 2005-003

DELIBERATION 2005-003

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Vu la convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment son article 24, II ;

Vu le décret 2004-15 du 7 janvier 2004 portant code des marchés publics et notamment son article 56 ;

Vu le décret 2002-692 du 30 avril 2002 pris en application du 1° et du 2° de l'article 56 du code des marchés publics et relatif à la dématérialisation des procédures de passation des marchés publics ;

Vu le décret 2001-846 du 18 septembre 2001 pris en application du 3° de l'article 56 du code des marchés publics et relatif aux enchères électroniques;

Après avoir entendu M. Jean Marie Cotteret, commissaire, en son rapport et Mme Charlotte-Marie Pitrat, commissaire du Gouvernement, en ses observations ;

Formule les observations suivantes :

Les traitements de données à caractère personnel mis en oeuvre dans le cadre de la dématérialisation des marchés publics n'étant pas susceptibles, dans le cadre de leur utilisation régulière, de porter atteinte à la vie privée ou aux libertés, la Commission estime qu'il y a lieu de faire application des dispositions de l'article 24 de la loi du 6 janvier 1978 modifiée et de dispenser ces traitements de toute formalité déclarative préalable.

Décide :

Article 1er :

Sont dispensés de déclaration les traitements de données à caractère personnel qui sont relatifs à la dématérialisation des marchés publics mis en oeuvre par les organismes publics visés à l'article 2 du code des marchés publics et correspondant aux finalités définies à l'article 2 de la présente délibération.

Article 2 : Finalités du traitement

Les traitements doivent avoir pour seules fonctions :

- la publication, la transmission et la mise à disposition par voie électronique des documents relatifs aux offres de marchés publics réalisées par les organismes publics soumis au code des marchés publics;

- la réception par ces organismes des offres et les réponses liées à la passation d'un marché public ;

- la tenue, par les organismes publics soumis au code des marchés publics, d'un journal des évènements pouvant contenir notamment : la mention de la mise en ligne de l'avis d'appel public à la concurrence, du règlement de consultation, du dossier de consultation des entreprises et des modifications qui ont pu y être apportées, de la liste des personnes ayant téléchargé les documents, la mention de tous les échanges d'information intervenus avec ces personnes, les références des candidatures et des offres reçues ;

- la gestion de manière sécurisée des candidatures, des offres, des notifications et des courriers nécessaires à la passation d'un marché public.

Toute réutilisation des données à caractère personnel à des fins de prospection commerciale est interdite.

Article 3 : Données traitées

Les données traitées pour la réalisation des finalités décrites à l'article 2 sont :

- les noms, prénoms, adresse professionnelle, fonctions, numéro de téléphone, numéro de télécopie, adresse de courrier électronique, le certificat électronique et les éléments de signature électronique de la ou des personne(s) qui, au sein de l'organisme public, sont chargées du suivi de la procédure de passation du marché public.

- les noms, prénoms, adresse professionnelle, fonctions, numéro de téléphone, numéro de télécopie, adresse de courrier électronique et, le cas échéant, le certificat électronique et les éléments de signature électronique de la ou des personne(s) répondant à une offre de marché public.

- les documents nécessaires à la procédure de passation des marchés publics et notamment : l'avis d'appel public à la concurrence, le dossier de consultation des entreprises, le règlement de consultation, les réponses faites à ces offres par les candidats ainsi que les pièces justificatives qui y sont attachées (article 45 du code des marchés publics).

Article 4 : Destinataires des données

Dans la limite de leurs attributions respectives, seuls peuvent être destinataires de tout ou partie des informations :

- les personnes habilitées chargées de la gestion de marchés publics par l'organisme public soumis au code des marchés publics ;

- les personnes morales de droit privé ou de droit public ou les personnes privées auxquelles sont destinées ces offres, à l'exclusion des données relatives aux autres personnes répondant à des offres de marchés publics ;

- les organismes publics, exclusivement pour répondre aux obligations légales.

Article 5 : Recours à un prestataire

Les données visées à l'article 3 peuvent être communiquées aux prestataires intervenant éventuellement dans la procédure de passation des marchés publics, à savoir : les prestataires fournisseurs de plate-forme technique de dématérialisation des marchés publics ainsi que les fournisseurs de moyens de cryptologie et les tiers prestataires de services de cryptologie et d'horodatage agissant en tant que sous-traitant dans les conditions de l'article 35 de la loi du 6 janvier 1978 modifiée.

Ces destinataires et sous-traitants assurent la sécurité et la stricte confidentialité des données personnelles en leur possession.

Une convention signée avec le prestataire doit définir les opérations que celui-ci est autorisé à réaliser à partir des données à caractère personnel qui lui sont transmises, ainsi que les engagements qu'il prend pour garantir leur sécurité et leur confidentialité, en particulier l'interdiction d'utiliser les données à d'autres fins que celles indiquées par la convention. Le prestataire doit procéder à la destruction ou à la restitution de tous les fichiers stockant les informations dès l'achèvement de son contrat.

Article 6 : Durée de conservation

Les données visées à l'article 3 sont conservées et traitées pour la durée nécessaire à la passation du marché public.

Cependant ces données peuvent ensuite faire l'objet d'un archivage sur un support informatique distinct et dont l'accès est sécurisé et restreint aux personnes visées à l'article 4 de la présente norme.

Cet archivage sera effectué conformément aux délais de prescription légaux applicables aux documents des dossiers de marchés publics.

Article 7 : Information des personnes concernées

Les personnes concernées sont informées de l'identité du responsable du traitement, des finalités poursuivies par le traitement, du caractère obligatoire ou facultatif des réponses à apporter, des conséquences éventuelles, à leur égard, d'un défaut de réponse, des destinataires des données, de leur droit d'opposition et de rectification ainsi que des modalités d'exercice de leurs droits.

Cette information est délivrée notamment au travers des documents électroniques transmis lors de la procédure de passation d'un marché public par voie électronique. Cette information peut aussi figurer sur les portails d'accès aux offres de marchés publics.

Article 8 : Sécurités

Des mesures de protection physique et logique doivent être prises par la personne publique et, le cas échéant, par les prestataires visés à l'article 5, pour préserver la sécurité du traitement et des informations, empêcher toute utilisation détournée ou frauduleuse des informations, notamment par des tiers non autorisés, et en préserver l'intégrité.

Les accès individuels à l'application s'effectuent par un identifiant et un mot de passe individuels, régulièrement renouvelés, ou par tout autre moyen d'authentification afin que ces accès ne puissent s'effectuer que des seuls postes autorisés.

Les échanges avec la plate-forme de dématérialisation des marchés publics doivent s'effectuer au moyen d'une liaison sécurisée. De surcroît, les documents désignés comme tels par le code des marchés publics doivent être signés électroniquement et, le cas échéant, chiffrés.

Ces mesures doivent notamment permettre le contrôle de l'accès, l'identification et la confidentialité des échanges intervenant entre l'organisme public et les candidats que ceux-ci soient effectués de façon directe ou par l'intermédiaire d'un prestataire.

Article 9 : Transmissions de données vers des pays tiers à la Communauté européenne

Ne peuvent prétendre au bénéfice de l'exonération les traitements automatisés comportant la transmission de données à caractère personnel vers des pays tiers à l'Union européenne, y compris lorsque cette transmission est réalisée à des fins de sous-traitance. Ces traitements font l'objet de formalités déclaratives préalables auprès de la CNIL dans les conditions prévues par la loi du 6 janvier 1978 modifiée.

Article 10 : Effets de la dispense de déclaration

Les traitements répondant aux conditions visées aux articles 2 à 8 peuvent être mis en oeuvre sans délai et sans déclaration préalable auprès de la CNIL.

La dispense de déclaration n'exonère le responsable de tels traitements d'aucune de ses autres obligations prévues par les textes applicables à la protection des données à caractère personnel.

Article 11 :

La présente délibération est publiée au Journal officiel de la République française.

Le président, Alex TURK.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: