FOURNITURE ET GESTION DE TITRES-RESTAURANT DEMATERIALISES

Question n°5 Bonjour, pouvez-vous nous confirmer qu'il n'y aura pas de classement hiérarchique entre les candidats dès lors où chaque candidat respecte vos délais imposés. Par exemple, pour la livraison des cartes, un candidat vous proposant 3 jours ouvrés n'aura pas une meilleure note que celui proposant 5 jours (délai maximum demandé) Cordialement,

Message de l'acheteur

Question n°4 Bonjour, l’annexe 3.1 annexe 1 RGPD.docx? n’est pas entièrement modifiable (tableau des Sous-traitant / privacy by design). Nous ne pouvons pas indiquer l’ensemble de nos sous-traitants et/ou mettre des remarques. Pourriez-vous mettre à disposition un document modifiable. Cordialement,

Question n°3 Nous tenons à attirer l'attention de la Société du Canal de Provence (SCP) (ci-après l'Acheteur public ) sur la qualification de sous-traitant au sens du Règlement (UE) n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du Traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), donnée à l'article 8 du Cahier des Clauses Techniques Particulières (C.C.T.P.) Protection des données (RGPD) ainsi qu'à l'annexe 1 RGPD_Privacy_by_Design , lesquels posent le postulat selon lequel le titulaire aurait la nature juridique, pour l'exécution du marché et indépendamment des spécificités et fonctionnalités de la solution titre-restaurant commercialisée par ce dernier, de sous-traitant de données personnelles au sens des articles 4 et 28 du Règlement et par opposition que la personne publique doit être regardée comme le responsable de traitement, déportant à ce titre sur ledit titulaire les obligations à la charge du seul sous-traitant de données personnelles. Nous souhaitons sur cette question rappeler à l'Acheteur public qu'une telle qualification doit toujours être recherchée, comme le préconise la CNIL et les services centraux de l'Etat, au regard des textes, des finalités des traitements réalisés pour les prestations concernées, et après une analyse contextuelle [] réalisée traitement par traitement, c'est-à-dire pour chacun des traitements ayant vocation à intervenir dans le cadre de l'exécution du contrat , excluant ainsi toute validité d'une préqualification générale et en soi des titulaires de marchés publics de sous-traitant du seul fait de leur qualité de prestataire de l'administration et/ou du seul fait que les pouvoirs adjudicateurs leur aient transmis des données personnelles, formalisé les documents de consultation et/ou leur aient confié l'exécution d'un marché sur la base d'obligations contractuelles préalablement définies lors de la procédure de passation. Une telle nécessité faite aux pouvoirs adjudicateurs de procéder en amont, pour chaque marché considéré, à une analyse factuelle et juridique précise de l'intervention de leurs prestataires au regard de la législation sur la protection des données personnelles a été consacrée par la CNIL dans son Guide sur la responsabilité des acteurs dans le cadre de la commande publique du 31 mai 2022 (accessible à l'adresse https://www.cnil.fr/fr/commande-publique-quel-acteur-est-responsable-au-regard-du-rgpd (cnil.fr)), dans lequel la Haute autorité relève que : L'administration ne peut être considérée comme responsable d'un traitement de données personnelles réalisé par l'opérateur économique dans le cadre de l'exécution du marché ou de la concession que si elle s'est spécifiquement intéressée à ses objectifs et conditions de mise en uvre. Le fait que le contrat soit signé pour répondre à un besoin d'une administration () ne permet pas, à elle seule, de qualifier en toute hypothèse l'administration de responsable du traitement . C'est la nature du service sollicité dans le marché ou la concession et le fait que les principales composantes d'un ou plusieurs traitements de données y ont été encadrées qui vont déterminer si les opérations de traitement en cause ont été suffisamment décidées par l'administration et relèvent, à ce titre, de sa responsabilité. En pratique, l'administration pourra être qualifiée de responsable de traitement lorsque : l'objet même du contrat est la mise en uvre d'un traitement de données, dont les caractéristiques sont alors encadrées dans ce contrat ; () lorsqu'elle a spécifiquement demandé la mise en uvre d'un traitement de données dans un objectif déterminé, l'administration sera plus facilement qualifiée de responsable de traitement, quand bien même les instructions données pour la mise en uvre du traitement ne couvrirait pas l'ensemble des moyens essentiels (ex. : pas d'instruction sur la durée de conservation des données), ou dès lors qu'elle pourrait être regardée comme endossant les moyens proposés par son cocontractant, dont elle a connaissance. Ce n'est que s'il résulte du contrat que l'administration n'a entendu fixer que l'objectif de la prestation dont résultera le traitement, en laissant son cocontractant entièrement libre des moyens de celui-ci, que le prestataire assumera la responsabilité du traitement (pourtant réalisé pour le compte de l'administration). () En résumé : le choix du prestataire doit s'accompagner d'une clarification du statut des acteurs au regard des règles de la protection des données personnelles, afin d'en tirer les conséquences contractuelles. Un prestataire pourrait être seul ou conjointement responsable d'un traitement mis en uvre dans le cadre de l'exécution d'un marché public ou contrat de concession, en raison de la liberté dont il jouit dans la définition de ses objectifs et conditions de mise en uvre. S'il ne fait que se conformer aux directives de l'administration contractante, il n'est que sous-traitant . Enfin, ce n'est pas parce que l'administration contractante fournit initialement les données au prestataire pour traitement qu'elle est nécessairement responsable de ce traitement. (Guide CNIL p. 5). Il résulte de l'analyse de la CNIL que la qualification de Responsable de traitement ou de sous-traitant ne peut résulter de la seule qualification contractuelle décidée par le pouvoir adjudicateur, même avec l'assentiment du titulaire qu'il aura désigné, mais résulte de plusieurs circonstances de fait et de droit. En tenant compte des recommandations des autorités de protection des données (Voir notamment, le rapport de la CNIL : Les questions posées pour la protection des données personnelles par l'externalisation hors de l'Union européenne des traitements informatiques, Document de synthèse, 9 septembre 2010 et l'avis 1/2010 du groupe de l'article 29 sur les notions de responsable de traitement et de sous-traitant adopté le 16 février 2010 : WP 169), et de la jurisprudence (notamment CJUE, 29 juill. 2019, aff. C40/17, Fashion ID GmbH & Co. ; CJUE, 10 juill. 2018, aff. C-25/17, Tietosuojavaltuutettu ; voir également CE, 6 juin 2018, Sté Éditions Croque Futur c/ CNIL, req. n° 412589), les éléments suivants doivent notamment être pris en considération : La détermination de la finalité et de la base légale du traitement, Les modalités de mise en uvre du traitement, La nature de l'intervention du prestataire, La marge de manuvre du prestataire dans le choix des moyens, Le fait que le prestataire dispose d'une base légale propre lui permettant de traiter les données à caractère personnel, La détermination des données traitées, la durée de conservation, les destinataires, les transferts de données etc., L'information communiquée aux personnes concernées sur l'intervention du prestataire, Les modalités d'exercice du droit d'accès aux données à caractère personnel traitées par le prestataire. Toutefois, le simple fait qu'un client et un prestataire échangent des données à caractère personnel ne signifie pas qu'ils sont coresponsables de traitement de données personnelles (responsables conjoints de traitement au sens de l'article 26 du RGPD) dans tous les cas. Il faut que l'échange poursuive une finalité commune ou que les moyens soient partagés (voir Avis 1/2010 du groupe de l'article 29 (WP 169), précité, p. 23 et 24), comme par exemple la mise en place d'une infrastructure commune ou encore le placement de cookies sur un site internet (voir CJUE, Fashion ID GmbH & Co. précitée). Dans pareil cas, la responsabilité peut être multiple et ne porter que sur partie des opérations ou phases du traitement (CJUE, Fashion ID GmbH & Co. même décision). En l'absence d'un tel partage de moyens toutefois, le traitement devra être considéré comme un transfert de données entre des Responsables de traitement distincts (voir Avis 1/2010 du groupe de l'article 29 (WP 169), précité) et non entre un Responsable de traitement et un sous-traitant de données personnelles. Autrement dit, le traitement de données personnelles par le titulaire d'un marché public ou la simple définition par un acheteur public de ses besoins dans les documents de son marché, pas plus que la définition des spécifications techniques associées ne suffisent pas, en soi, à matérialiser la détermination par ledit acheteur des finalités du traitement et des moyens ou à matérialiser le fait que le titulaire agit pour son compte et, dans tous les cas, à emporter de ce seul fait la qualification du titulaire de sous-traitant de données personnelles au sens des articles 4 et 28 du RGPD. Au contraire, les acheteurs publics doivent effectuer cette recherche de qualification au cas par cas au regard notamment des prestations considérées ainsi que de la solution des opérateurs économiques. Or, au cas précis, la nature particulière de nos prestations et du marché (gestion, fourniture et expédition de titres-restaurant dématérialisés émis sur support carte et services et solutions associés) conjuguée aux nouvelles clarifications et recommandations édictées par la CNIL dans son Guide, précité, impliquent à notre sens une qualification du titulaire du marché (notre société en cas d'attribution) en qualité de Responsable de traitement distinct et non de sous-traitant au sens de l'article 4 du RGPD et de la Loi Informatique et Liberté n°78-17 du 6 janvier 1978, modifiée. Si l'on doit évidemment relever que l'Acheteur public est bel et bien Responsable de Traitement , s'agissant de données des bénéficiaires à qui il souhaite fournir des cartes, ce dernier transmet néanmoins ces données personnelles à un émetteur spécialisé de titres-restaurant au sens de l'article du 2° de l'article L.3262-1 du code du travail (notre société en cas d'attribution du marché à celle-ci), Destinataire des données et Responsable de traitement des données à caractère personnel distinct au sens de l'article 4 du RGPD pour les besoins de la commande. Plus précisément, l'analyse des caractéristiques du marché et du secteur économique du titre-restaurant conduisent en effet à conclure que les émetteurs de titres-restaurant et, à ce titre, notre société : poursui(ven)t des finalités qui leur/lui sont propres : L'objet du marché n'est pas la mise en uvre d'un traitement de données à caractère personnel. Le marché porte en réalité sur la fourniture de titres-restaurant émis par un émetteur spécialisé de titres-restaurant, destinataire des données au sens du RGPD pour les besoins de la commande. Sur ce fondement, l'émetteur va également traiter ces données personnelles en tant que Responsable de traitement pour les besoins de la fourniture de la solution et son utilisation par les bénéficiaires, dans la mesure où (notamment dans le cas où ce marché est attribué à notre société), et quand bien même les données personnelles des bénéficiaires sont transmises par l'acheteur public. Le dépôt des données des bénéficiaires par l'acheteur public est effectué pour permettre l'émission des titres-restaurant par l'émetteur titulaire au profit des agents bénéficiaires. Les données communiquées aux fins de l'émissions des titres sont réutilisées à des fins de gestion et administration notamment dans le cadre de la gestion des plateformes clients et bénéficiaires. L'émetteur de titres-restaurant et, pour ce qui nous concerne, notre société, définit seule les mesures de sécurité et caractéristiques de la plateforme destinée au Client et de celle destinée aux agents bénéficiaires. Dispose(nt) d'une base légale qui leur/lui est propre ; Défini(ssen)t les données traitées en considération de leur solution titre-restaurant : Le dépôt des informations relatives aux agents et salariés bénéficiaires par les clients est nécessaire pour l'émission des titres-restaurant. Sa communication a un caractère obligatoire pour permettre l'émission des titres-restaurant. Défini(ssen)t les durées de conservation : celle-ci est tenue de conserver les données au-delà de la durée du marché dès lors que l'émetteur doit conserver les données relatives aux paiement effectués à des fins de tenue de comptabilité et pour faire face à ses obligations légales. Applique(nt) leur Politique de protection des données au traitement des données des salariés et agents du client aux fins de l'émission des titres-restaurant. Les émetteurs définissent ainsi la durée de conservation des données, ainsi que les destinataires des données, et les agents bénéficiaires peuvent exercer directement leur droit d'accès auprès de l'émetteur. Traite(nt) les données en transparence vis-à-vis des agents bénéficiaires : Les bénéficiaires connaissent l'identité des émetteurs de leur carte titre-restaurant pour toute difficulté liée à la gestion de la carte. Il ressort de ce qui précède que l'émetteur de titres-restaurant et, dans ce cadre, notre société : Dispose de finalités qui sont propres et peut réutiliser les données pour ses finalités propres dans le respect du RGPD ; Dispose d'une base légale pour ce faire ; Définit les caractéristiques des traitements qui sont standardisés ; Contrôle l'ensemble des systèmes informatiques utilisé pour le traitement des données, définit les conditions de conservation, y compris de sécurité, des données ; a une relation directe avec les bénéficiaires pour tout ce qui concerne le fonctionnement et l'utilisation des titres, et assume directement la responsabilité de ces traitements vis-à-vis des bénéficiaires. Il ressort de ces éléments, et pour ce qui concerne notre société, que : Notre société exerce un contrôle effectif sur le traitement consistant en la réception des données à caractère personnel des bénéficiaires sur une plateforme qui lui appartient et qu'elle contrôle, en vue de l'émission et la gestion des titres-restaurant. Celle-ci définit ainsi à la fois les finalités et les moyens du traitement. Notre société agit en conséquence en qualité de Responsable de traitement des données à caractère personnel des agents bénéficiaires déposées sur notre plateforme client par les employeurs, et non en tant que sous-traitant. Elle agit en réalité en qualité de destinataire Responsable de traitement des données à caractère personnel. Cette qualification est sans préjudice de la qualification de l'Acheteur public en tant que Responsable de traitement pour la transmission des données, ce dernier devant s'assurer que la communication de données à caractère personnel des bénéficiaires à l'émetteur titulaire (et donc à notre société en cas d'attribution) est effectuée en conformité avec ses propres obligations au titre du RGPD. L'Acheteur public est notamment responsable des données qu'il dépose sur les systèmes et plateformes de l'émetteur. Pour l'ensemble de ces motifs il apparaît que la qualification juridique devant être appliquée à l'émetteur de titre-restaurant retenu à l'issue de la procédure de passation et ainsi, en cas d'attribution, à notre société au regard du traitement des données des salariés de ses clients aux fins de l'émission des titres-restaurant est celle de Responsable de traitement distinct de l'Acheteur public, et non de sous-traitant comme prédéfini dans les documents de la consultation du marché. QUESTIONS : Au vu de ces considérations : 1. Pouvez-vous nous confirmer la possibilité pour les candidats concernés de se déclarer, dans le cadre de leur offre et notamment à l'annexe 1 RGPD_Privacy_by_Design et au vu des caractéristiques et composantes de leur solution de titres-restaurant dématérialisés, en qualité de Responsable de traitement au sens des textes susvisés pour la réalisation des prestations susmentionnées ? 2. Pouvez-vous procéder aux précisions qui s'imposent dans les documents du marché concernés et en particulier à l'article 8 du C.C.T.P. (réaménagement des obligations dévolues au titulaire du Marché en adéquation avec celles définies aux articles 24 et suivants du RGPD), susmentionné ? 3. En cas de réponse négative à la question n°2 ci-dessus, pourriez-vous permettre aux candidats concernés de joindre à leur offre leur propre annexe RGPD en adéquation avec la qualification de Responsable de traitement et les missions et obligations dévolues à ce titre par le RGPD, et prévoir que cette annexe se substituera à l'annexe 1 RGPD_Privacy_by_Design précitée, notamment lors de la phase de mise au point du marché ?

Question n°2 Bonjour, Dans l'article 10 de votre CCTP Réversibilité , il est demandé de transmettre à l'acheteur, dans un délai maximal de 10 jours suivant la notification de fin de marché, l'ensemble des données à jour relatives aux bénéficiaires et à l'exécution du marché, dans des formats standards et exploitables (type Excel ou CSV) . Pouvez-vous nous indiquer les données souhaitées ? Nous vous prions, Madame, Monsieur, d'agréer salutations distinguées,

Question n°1 Bonjour, Au vu de l'analyse des documents du marché par notre société, concernant le sujet RGPD, pourriez-vous nous confirmer si les prestataires peuvent répondre à votre appel d'offre en se positionnant comme responsable de traitement et non en tant que sous-traitant ? Cordialement