Le RGPD dans les marchés publics :
Voici des extraits d’une annexe RGPD à un marché public :
Le Règlement européen de protection des données (RGPD), entré en vigueur le 25 mai 2018, impacte les relations et obligations entre Responsables de traitement et Sous-traitants au sens dudit texte.
Dans le cadre de la prestation objet de la présente Consultation, le Titulaire sera amené à accéder, à recevoir et/ou à traiter des données à caractère personnel pour le compte de XXXXXXXX et sera donc qualifié de Sous-traitant au sens de la législation et règlementation de protection des données personnelles afférente.
En tant que Responsable de traitement, XXXXXXXX est tenue de faire appel aux seuls Sous-traitants présentant des garanties suffisantes concernant :
1.les mesures de sécurité logiques et physiques prévues par le Sous-traitant sur les données personnelles reçues, accédées et/ ou traitées pour le compte de XXXXXXXX ;
2.les mesures techniques et organisationnelles mises en œuvre par le Sous-traitant afin que les traitements de données personnelles mis en œuvre dans le cadre de la prestation rendue à XXXXXXXX répondent aux exigences du règlement,
- la capacité à respecter des droits des personnes concernées (accès, rectification, suppression, opposition,…) dans le délai légal imparti (un mois).
Par conséquent, il sera demandé au Titulaire du Marché d’appliquer et de respecter les exigences de protection et de sécurité des données imposées par les textes et par la doctrine sectorielle applicable des autorités de contrôles : la Commission Nationale Informatique et Libertés (CNIL) ainsi que l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).
Plus spécifiquement, chaque candidat admis à déposer une offre devra :
- confirmer respecter les mesures élémentaires d’hygiène et de sécurité informatique spécifiées par la CNIL (notamment « Guide de la sécurité des données personnelles, édition 2018 ») et par l’ANSSI (notamment « Guide de l’hygiène informatique V2, septembre 2017 ») ;
- confirmer connaître, se tenir informé et appliquer les éventuelles déclinaisons thématiques opérationnelles de la loi Informatique et Libertés propre à son secteur d’activité et à la nature de la prestation rendue pour XXXXXX;
- être à même de démontrer sa conformité et son niveau de sécurité conforme à l’état de l’art, notamment par la fourniture de récents rapports d’audits de sécurité, rapports d’audit de conformité, résultats de tests d’intrusion, ou par l’obtention de labels, agréments ou certifications en matière de sécurité informatique et/ou de protection des données personnelles. ;
- Préciser s’il a nommé un Responsable de la Sécurité des Systèmes d’Information (RSSI) et un Data Protection Officer (DPO)
Pour vous aidez à vous mettre en conformité avec le RGPD, participez à nos formations RGPD