[DONNÉES PERSONNELLES] Entités publiques et RGPD : vigilance accrue !

[DONNÉES PERSONNELLES] Entités publiques et RGPD : vigilance accrue !

Les équipes des départements IP/IT/Data et Droit Public des Affaires reviennent, dans ce flash, sur la publication par la CNIL d’un guide sur la responsabilité au regard du RGPD des acteurs dans le cadre de la commande publique. 

Si vous n’avez que 30 secondes

La Commission Nationale de l’Informatique et des Libertés (CNIL) a publié le 2 juin 2022 un guide afin d’aider les entités publiques à identifier leurs responsabilités et celles des opérateurs économiques dans différents contextes de commande publique.

Le guide vise à accompagner les organismes concernés dans l’identification de leurs qualités et obligations au regard des dispositions du Règlement Général sur la Protection des Données (RGPD).

Les éclairages fournis par la CNIL sont bienvenus, tant la détermination de la qualification de l’entité publique (en tant que responsable de traitement, sous-traitant ou co-responsable de traitement) peut s’avérer difficile dans certains cas.

Or les enjeux sont importants, puisqu’il s’agit également de déterminer la propriété des données personnelles collectées et traitées dans le cadre du traitement, dont l’importance peut être cruciale en raison en particulier de leur volume et valeur économique.

Ce guide pourra donc utilement servir à expliciter aux opérateurs économiques la qualification retenue par l’entité publique, afin d’éviter des discussions stériles et des désaccords sans fin.

Toutefois, ce guide est trop succinct et n’apporte pas toutes les réponses souhaitées.

Enfin, reste à savoir si ce guide serait susceptible d’avoir des effets notables sur les droits ou la situation des entités publiques, et donc de faire l’objet d’un recours pour excès de pouvoir (voir en ce sens la décision du Conseil d’État en date du 8 avril 2022, req. N°452668 pour des questions-réponses).