Délivrance de titres restaurant dématérialisés sur support carte pour le personnel de la Région Occitanie

Message de l'acheteur

Question n°2 Bonjour, Pourriez vous nous transmettre le nombre de titres commandés en 2024 s'il vous plait ? Merci Cordialement, Pôle des Marchés Publics Question n°1 Objet : qualification de responsable de traitement de au sens de la réglementation sur la protection des données personnelles Bonjour, Pour la fourniture de services objet de votre appel d'offres, le titulaire sera rendu destinataire de données personnelles communiquées par votre collectivité. A ce titre, notre Société souhaite vous faire part du fait que nous agirons en qualité de responsable de traitement au sens de la Législation Applicable1 en matière de protection des données personnelles. En effet, la qualification de sous-traitant au sens de la Législation Applicable actuellement retenue à l’égard de notre Société dans les documents de l’appel d’offres s’avère erronée dans le cadre des prestations objet de l’appel d’offres, dès lors qu’aucune relation de sous- traitance ne serait en fait caractérisée. Pour la fourniture de ses prestations, notre Société interviendra comme responsable des traitements de données personnelles qu’elle met en œuvre et qui sont nécessaires à la fourniture des prestations. Une analyse plus détaillée se trouve ci-dessous. Cette analyse est fondée sur les dispositions de la Législation Applicable, complétée par les lignes directrices des autorités compétentes visées dans la note précitée : - Les Lignes directrices 7/2020 du CEPD du 7 juillet 2021 (version 2.0) concernant les notions de responsable du traitement et de sous-traitant dans le RGPD ; - Le Guide de la responsabilité des acteurs dans de la cadre de la commande publique de la CNIL de juin 2022. C’est pour répondre à la pratique qui tend à assigner automatiquement la qualité de sous- traitant à tout prestataire de service que le CEPD et la CNIL ont expressément apporté des précisions sur les qualifications juridiques de sous-traitant et responsable de traitement. Il conviendra donc d’appliquer ces recommandations à la relation contractuelle entre votre collectivité et notre société, et de retenir la qualification reflétant la réalité des traitements de données personnelles décidés et mis en œuvre par notre Société pour fournir ses services. Il ressort que pour réaliser ses prestations, notre Société décidera de manière autonome des finalités et des moyens mis en œuvre s’agissant des traitements de données personnelles qui sont nécessaires. Il doit donc être conclu entre notre Société et votre collectivité un accord tenant compte de la qualité de responsable de traitement de notre Société au sens de la Législation Applicable. Nous attirons votre attention sur le fait que la qualité de responsable de traitement n’est pas de nature à réduire la protection accordée aux données personnelles traitées. Soyez assuré que notre Société traitera les données personnelles dans le cadre du marché dans le strict respect de la Législation Applicable. 1 Par législation applicable on entend le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après « RGPD ») et de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (ensemble « la Législation Applicable »). ANALYSE : Qualité de responsable de traitement du Titulaire émetteur de titres, dans le cadre de la fourniture de ses services : Selon le RGPD et la loi du 6 janvier 1978, la qualité de responsable de traitement de données à caractère personnel est dévolue à la personne qui décide : • des finalités du traitement (pourquoi les données personnelles sont traitées ?) ; et • des moyens du traitement (comment les données personnelles sont traitées ?). Lorsque, pour la fourniture de ses services, le Titulaire est destinataire de données personnelles communiquées par ses clients, notamment les données relatives aux bénéficiaires de titres, l’Emetteur est responsable du traitement de ces données personnelles au sens du RGPD. Justifications de cette qualification : Plusieurs considérations juridiques et factuelles expliquent cette qualification : • Les autorités de protection des données ont confirmé que tous les prestataires de service traitant des données personnelles pour la fourniture du service ne sont pas nécessairement des sous-traitants au sens du RGPD ; • La qualité de responsable de traitement doit s’apprécier in concreto, en fonction de la manière dont les traitements de données concernés sont effectivement décidés et mis en œuvre. Pour ce qui concerne les services fournis par le Titulaire : • Les traitements de données personnelles sont effectués à l’initiative du Titulaire et sous le contrôle du Titulaire, pour lui permettre de rendre ses services, peu important que les données personnelles soient fournies par le client ; • Le Titulaire est seule décisionnaire quant aux finalités et aux moyens des traitements de données personnelles qu’elle met en œuvre pour fournir ses services ; • Les finalités de traitement répondent uniquement aux besoins du Titulaire de rendre ses services ; • Le Titulaire est seul à déterminer les données à traiter et leur durée de conservation ; • Le Titulaire ne reçoit aucune instruction de son client sur la manière dont il traite les données personnelles pour rendre ses services ; • Le Titulaire est seul à contrôler le traitement qu’il met en œuvre pour rendre ses services ; • Le Titulaire a seul l’expertise sur le traitement des données personnelles nécessaire à la fourniture de ses services. Le Titulaire doit donc être considéré comme seul responsable du traitement mis en œuvre, en raison de la liberté dont elle dispose dans la définition de ses objectifs et conditions de mise en œuvre. Cette qualification s’impose aux parties au regard des circonstances de fait et ne peut être négociée. Indifférence de la qualité d’acheteur public : Cette qualité de responsable de traitement conférée au Titulaire est applicable en tout point à l’égard de clients acheteurs publics, dans le cadre de contrats de la commande publique. Le contrat entre le Titulaire et le client acheteur public n’a donc pas vocation à régir les traitements de données personnelles réalisés par le Titulaire en tant que responsable de traitement. Il ne peut pas prévoir des clauses relatives à la sous-traitance au sens de l’article 28 du RGPD faute pour le Titulaire d’être effectivement sous-traitant. Sources • Lignes directrices 7/2020 du CEPD du 7 juillet 2021 (version 2.0) concernant les notions de responsable du traitement et de sous-traitant dans le RGPD ; • Guide de la CNIL sur la responsabilité des acteurs dans de la cadre de la commande publique de juin 2022. Nous vous prions d’agréer, Madame / Monsieur, l’expression de nos sentiments distingués.