Nombreux sont les contrats qui impliquent le traitement de données personnelles, qu’il s’agisse d’éléments concernant les usagers ou les agents de la structure publique. Or leur maniement doit nécessairement être réalisé dans le respect des dispositions du RGPD : respect des droits des personnes ; détermination de finalités explicites et légitimes ; collecte de données pertinentes et non excessives ; sécurisation et conservation limitée des informations…
Pour aider les acheteurs à y voir plus clair dans leurs obligations, la Commission nationale de l’informatique et des libertés (CNIL) a publié, début juin, un guide qui fait le point sur les responsabilités de chacun (structure publique, entreprise privée), la variation des qualifications en fonction de l’objet des contrats et la nature des traitements. Le document intègre un rappel de vocabulaire bien utile sur la notion de « sous-traitant » et un logigramme récapitulatif sur les différents scenarii.
