Protection des données à caractère personnel et de la vie privée

En cas de traitement⁽¹⁾ de données à caractère personnel par l’adjudicataire pour le compte du pouvoir adjudicateur

En ce qui concerne toutes les données à caractère personnel, provenant du pouvoir adjudicateur ou confiées à l’adjudicataire par le pouvoir adjudicateur, que l’adjudicataire traite dans le cadre du présent marché, l’adjudicataire est uniquement un sous-traitant⁽²⁾ du responsable du traitement au sens de l’article 4, 8° du [Règlement (UE) 2016/679] (le « RGPD »).  Le pouvoir adjudicateur est le responsable du traitement au sens de l’article 4, 7° du RGPD. L’adjudicataire confirme connaître cette réglementation et la respecter à tout moment lors de l’exécution du marché.

L’adjudicataire et tous ceux qui agissent sous sa responsabilité ou son autorité traitent les données à caractère personnel – qu’ils collectent, rassemblent ou traitent d’une quelconque façon dans le cadre du marché – uniquement sur instruction du pouvoir adjudicateur, uniquement pour les finalités décrites dans le présent cahier spécial des charges et uniquement pour le type de données à caractère personnel et les catégories de personnes concernées repris dans le présent cahier spécial des charges, et conformément au RGPD.

Le sous-traitant s’engage à informer les personnes agissant sous son autorité des dispositions du RGPD et d’autres législations pertinentes, ainsi que de toute prescription pertinente, relative à la protection de la vie privée à l'égard du traitement des données à caractère personnel.

L’adjudicataire garantit que toutes les personnes qui sont en contact avec des données à caractère personnel dans le cadre du présent marché sont liées par une obligation de confidentialité démontrable, et il conserve toute la documentation nécessaire pour pouvoir démontrer à tout moment au responsable du traitement que cette obligation est respectée.

Le sous-traitant tient un registre pour les activités de traitement qu’il réalise pour le responsable du traitement. Le RGPD, et plus précisément l’article 30 du RGPD, énumère les éléments qui doivent être repris dans le registre. Sur simple demande du responsable du traitement, le sous-traitant est tenu de présenter ce registre.

À tout moment, le responsable du traitement peut demander au sous-traitant une copie des données qui sont traitées dans le cadre du présent marché au format convenu entre les parties. Sauf instruction du responsable du traitement, le sous-traitant ne peut pas copier les données mises à disposition, sauf à des fins de sauvegarde ou si la copie est nécessaire pour exécuter le marché. Les mêmes restrictions et obligations que celles applicables aux données originales s’appliquent aux éventuelles copies de données.

À la demande du responsable du traitement, le sous-traitant mettra immédiatement à disposition et/ou détruira irrémédiablement – en fonction du choix du responsable du traitement – toutes les copies de données traitées, provenant du responsable du traitement ou traitées pour le compte du responsable du traitement.

Le sous-traitant ne traitera jamais les données dans un lieu situé en dehors de l’Union européenne ou ne les transférera jamais pour traitement à des destinations en dehors de l’Union européenne, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le sous-traitant est soumis ; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.

Par ailleurs, le sous-traitant ne traitera pas ou ne fera pas traiter les données dans un lieu situé en dehors du territoire belge sans l’autorisation écrite préalable du responsable du traitement. Le responsable du traitement peut assortir son autorisation de conditions. Même lorsqu’il a obtenu cette autorisation, le sous-traitant reste tenu de garantir que le transfert des données vers une destination en dehors du territoire belge ou en dehors de l’Union européenne s’effectue conformément au RGPD.

Sauf si le responsable du traitement lui en donne expressément l’autorisation écrite ou l’instruction, le sous-traitant s’engage à ne pas communiquer les données à aucun tiers, y compris en sous-traitance (c.-à-d. à un autre sous-traitant) dans le cadre du marché. Même lorsque le responsable du traitement lui donne cette autorisation, le sous-traitant reste tenu de garantir que le traitement par un tiers s’effectue conformément au RGPD et conformément aux dispositions du présent cahier spécial des charges. Le sous-traitant doit imposer au tiers dans un contrat ou un autre acte juridique les mêmes obligations en matière de protection des données que celles fixées dans le présent cahier spécial des charges, y compris quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. Lorsque le tiers ne remplit pas ses obligations, le sous-traitant demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations. Le sous-traitant conserve à tout moment une liste des éventuels tiers qu’il a désignés (avec l’autorisation du responsable du traitement) pour l’exécution du marché ainsi que les contrats pertinents qui ont été conclus avec ces tiers.

Le sous-traitant collaborera toujours de bonne foi avec le responsable du traitement afin de permettre à ce dernier de respecter le RGPD dans les délais légaux, y compris en le soutenant de manière raisonnable dans l’exercice des droits prévus par la loi et relatifs aux données à caractère personnel. Le sous-traitant mettra à disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect du cahier spécial des charges et du RGPD et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou l’Autorité de protection des données ou en leur nom, et contribuer à ces audits.

En cas de nouvelles directives ou de modifications à la législation relative à la protection des données ou de jurisprudence qui rendent l’exécution du marché en tout ou en partie illégale, les deux parties collaboreront de bonne foi pour résoudre en priorité cette illégalité.

Le sous-traitant désignera un délégué à la protection des données qui répond aux exigences du RGPD, et communique au responsable du traitement l’identité et les coordonnées de ce délégué à la protection des données. Le sous-traitant garantit pendant toute la durée du marché que chaque traitement est effectué sous le contrôle de ce délégué à la protection des données et que ce dernier est connu du responsable du traitement.

Le sous-traitant garantit pendant toute la durée du marché qu’il dispose d’au moins une politique et un plan de sécurité actuels écrits qu’il révisera au minimum chaque année et de sa propre initiative, et dont les pièces pertinentes seront transmises et expliquées gratuitement et sur simple demande au responsable du traitement. Le sous-traitant y documente toutes les mesures qu’il prend pour protéger les données.

Le sous-traitant connaît le contexte du marché et confirme être suffisamment conscient des risques en matière de sécurité et d’atteinte à la vie privée que comporte le marché. Le sous-traitant garantit que les mesures organisationnelles et techniques, qui sont reprises dans la politique et le plan de sécurité et qui sont nécessaires pour sécuriser et protéger de façon optimale les données à caractère personnel contre une destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification, l'accès et tout autre traitement non autorisé de données à caractère personnel, assurent un niveau de protection approprié contre ces risques, compte tenu de l’état des connaissances, de la nature des données à protéger et des risques potentiels.

L’adjudicataire informera périodiquement le responsable du traitement sur la nature précise des mesures techniques et organisationnelles prises. À cet effet, l’adjudicataire informera de façon proactive le responsable du traitement des éventuels risques pour lesquels des mesures doivent être prises par le responsable du traitement ou par des tiers.

L’adjudicataire garantit – dans la mesure de ce qui est techniquement possible – l’intégrité et la disponibilité de toutes les données à caractère personnel qu’il traite dans le cadre du présent marché.

Le sous-traitant veille à ce que tous ceux qui agissent sous sa responsabilité ou son autorité aient uniquement accès aux données qui leur sont nécessaires pour accomplir leur tâche dans le cadre du présent marché. Au moyen d'une séparation des fonctions, le sous-traitant empêche qu’une combinaison de droits d’accès puisse mener à des actes non autorisés et/ou à un accès non autorisé à des données. Le sous-traitant met en place une politique de journalisation appropriée qui est décrite dans le plan de sécurité, afin de pouvoir détecter et résoudre les éventuels incidents. Le réseau et les systèmes d’information sont activement surveillés et gérés par le sous-traitant.

L’adjudicataire est responsable de la sécurité et de l'utilisation adéquate de tous les codes d’accès, noms d’utilisateurs et mots de passe (y compris du changement régulier de ces codes et mots de passe) permettant d'accéder aux données à caractère personnel et de les traiter. L’adjudicataire s’engage à tout mettre en œuvre pour que toute personne ayant accès aux données à caractère personnel garde la confidentialité de ses codes et mots de passe. Le sous-traitant prend des mesures afin de prévenir et de détecter des fraudes et toute autre utilisation inappropriée des systèmes et réseaux ou tout accès inapproprié à ces derniers.

Le sous-traitant s'engage à notifier au responsable du traitement l’ensemble des (tentatives de) traitements de données ou accès à des données illégitimes ou non autorisés. Le sous-traitant le notifie immédiatement au responsable du traitement dès qu’il a pris connaissance d’une violation de données à caractère personnel et, en tout état de cause, au plus tard 24 heures après avoir constaté l’incident. Par ailleurs, le sous-traitant prendra toutes les mesures raisonnablement nécessaires pour prévenir ou limiter la violation (ultérieure) des mesures de sécurité.

Dans cette notification, le sous-traitant communiquera au moins les éléments suivants :

• la nature de l’incident et une estimation de l’impact potentiel ;
• la date et l’heure de la constatation ;
• les données impactées ;
• les mesures directement prises pour limiter les dommages collatéraux ;
• la date et l’heure de la clôture de l’incident ;
• les mesures structurelles prises afin d’éviter ce type d'incident à l’avenir ;
• les coordonnées du délégué à la protection des données ou les éventuelles autres personnes auprès desquelles des informations supplémentaires peuvent être obtenues.

L’adjudicataire peut traiter les données à caractère personnel transférées par le pouvoir adjudicateur aussi longtemps que cela est nécessaire pour l’exécution du marché tel que défini dans le présent cahier spécial des charges. Après exécution du marché, l’adjudicataire cesse immédiatement toute autre utilisation des données à caractère personnel que celle qui sera nécessaire pour permettre au pouvoir adjudicateur soit de récupérer les données à caractère personnel confiées à l’adjudicataire et celles résultant du traitement dont était chargé l’adjudicataire, soit de confier à un autre adjudicataire ces données à caractère personnel, soit de les détruire. S’il y a lieu, il remet également toute information ou tout document nécessaire au traitement ultérieur des données à caractère personnel.

Lorsqu’il n’y a pas de traitement de données à caractère personnel par l’adjudicataire pour le compte du pouvoir adjudicateur

L’adjudicataire doit être conscient que le pouvoir adjudicateur accorde une certaine importance à la protection de la vie privée. L’adjudicataire s’engage à strictement respecter les obligations concernant les données à caractère personnel prévues par le [Règlement (UE) 2016/679] (le « RGPD »). Si l’adjudicataire considère raisonnablement que d’autres accords doivent être conclus afin de respecter cette législation, l’adjudicataire le signalera de manière proactive au pouvoir adjudicateur. En tout état de cause, l’adjudicataire est tenu de collaborer de bonne foi avec le pouvoir adjudicateur afin de respecter à tout moment les dispositions pertinentes de cette législation.

⁽¹⁾ - Conformément à l’art. 4, 2) du RGPD, on entend par « traitement » toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
⁽²⁾ - « Sous-traitant » dans le sens de l’article 4, 8° du [Règlement (UE) 2016/679] est toute personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement, notion autonome vis-à-vis de la loi relative aux marchés publics, l’[AR 2017-04-18] ou de l’[AR 2013-01-14].

DOCUMENTS DE REFERENCE

RGPD - [Règlement (UE) 2016/679, Règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données - RGPD)]

[Loi 2018-07-30, Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel]