La Commission Nationale de l'Informatique et des Libertés (Cnil) a publié au mois de juin 2022 un guide pratique visant à accompagner les administrations et leurs opérateurs économiques dans l’identification de leurs qualités et obligations au regard des dispositions du « Règlement Général sur la Protection des Données » (RGPD, Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données).
Les administrations concluent avec des opérateurs économiques des marchés publics et des contrats de concession, leur confiant la mission de répondre à leurs besoins en matière de travaux, fourniture et services.
Dans le cadre de leur contrat, ces opérateurs sont amenés à mettre en œuvre des traitements de données personnelles, notamment des données relatives aux usagers du service public et au personnel. Ces traitements sont nécessairement soumis aux dispositions du RGPD, qui fixent un certain nombre d’obligations à la charge de ces opérateurs.
Ce guide permet d’accompagner les administrations et leurs opérateurs économique dans l’analyse de leurs attributions s’agissant du traitement de données personnelles, afin de déterminer leur qualité de responsable, co-responsable ou sous-traitant et le régime juridique qui s’y applique.
Ainsi, après une analyse du contexte contractuel, les parties au contrat devront déterminer si l’administration est responsable de traitement seule (dans ce cas l’opérateur est un sous-traitant) ou conjointement avec l’opérateur économique (dans ce cas l’opérateur est co-responsable de traitement), ou si l’opérateur est le seul responsable de traitement.
Suivant la configuration décidée par les parties, différents régimes s’appliquent et permettent de déterminer précisément leurs obligations respectives pour garantie l’effectivité du respect de la règlementation.
Plus généralement, à noter que le choix des partenaires de l’AP-HP doit être déterminé en conformité avec la doctrine des autorités publiques européennes et nationales relatives au cloud souverain, compte tenu du risque d’accès illégal aux données de l’AP par les autorités de certains pays tiers à l’UE : tout partenaire de l’AP-HP ayant vocation à héberger ou faire héberger des données personnelles doit notamment garantir contractuellement et sans réserve (i) la conformité de ses services d’hébergement, process et infrastructures au référentiel SecNumCloud de l’ANSSI et au RGPD et (ii) son immunité contre toute réglementation ou décision judiciaire ou administrative extra-européenne.