RGPD et marchés publics : Protection des données des soumissionnaires
Introduction : Les marchés publics à l’heure de la protection des données
Les marchés publics constituent l’un des outils essentiels de l’action publique locale, permettant aux communes de faire appel aux compétences et aux ressources du secteur privé pour la réalisation de leurs projets et la fourniture de leurs services. Cette relation contractuelle entre le secteur public et les entreprises privées génère d’importants flux d’informations personnelles concernant les dirigeants, les salariés et les partenaires des entreprises soumissionnaires, transformant chaque procédure de marché public en enjeu de conformité au RGPD.
L’évolution vers la dématérialisation des procédures de marchés publics a considérablement amplifié ces flux de données personnelles tout en les rendant plus visibles et traçables. Les plateformes électroniques de dépôt des offres, les systèmes de signature électronique, les outils de communication entre acheteurs publics et candidats constituent autant de nouveaux traitements de données personnelles nécessitant une approche rigoureuse de la protection des données.
Cette problématique dépasse la simple conformité réglementaire pour toucher aux principes fondamentaux de la commande publique : égalité de traitement des candidats, transparence des procédures, protection du secret des affaires. L’articulation entre ces principes traditionnels et les exigences contemporaines de protection des données personnelles nécessite une expertise spécialisée et une approche équilibrée respectueuse des droits de tous les acteurs concernés.
L’écosystème des données dans les marchés publics
La diversité des informations personnelles collectées
Les procédures de marchés publics génèrent une grande variété d’informations personnelles dont la richesse reflète la complexité des relations économiques entre secteurs public et privé. Les données d’identification des entreprises incluent nécessairement des informations sur leurs dirigeants, leurs représentants légaux, leurs actionnaires significatifs, mais aussi sur leurs salariés-clés lorsque leurs compétences conditionnent l’attribution du marché.
Ces informations s’enrichissent avec les éléments nécessaires à l’évaluation de la candidature : références professionnelles incluant souvent des témoignages nominatifs, curriculum vitae des intervenants pressentis, certifications personnelles, attestations d’assurance mentionnant des personnes physiques. Cette richesse informationnelle, nécessaire à la qualité de la sélection, nécessite une protection appropriée.
La dimension économique et financière des marchés publics génère également des informations personnelles sensibles : situation financière personnelle des dirigeants dans les petites entreprises, cautions personnelles, garanties individuelles, informations sur les conflits d’intérêts potentiels. Ces données, particulièrement sensibles, nécessitent des mesures de protection renforcées.
Les données révélatrices d’informations sensibles
Au-delà des informations explicitement demandées, les dossiers de candidature aux marchés publics peuvent révéler des informations sensibles sur les personnes concernées nécessitant une attention particulière. Les références professionnelles peuvent indiquer des opinions politiques ou des affiliations syndicales, les certificats de formation révéler des données de santé, les attestations judiciaires témoigner d’une situation pénale particulière.
Cette dimension révélatrice impose une analyse fine des informations réellement nécessaires à l’évaluation des candidatures et une limitation stricte de la collecte aux seules données pertinentes. Cette analyse doit être documentée et justifiée pour démontrer la proportionnalité des traitements mis en œuvre.
La conservation et l’utilisation ultérieure de ces informations sensibles nécessitent des précautions particulières pour éviter leur détournement ou leur utilisation à des fins non prévues initialement. Cette vigilance s’impose d’autant plus que les dossiers de marchés publics peuvent être conservés pendant de longues périodes pour des finalités comptables ou contentieuses.
Le cadre juridique des traitements dans les marchés publics
L’articulation entre Code de la commande publique et RGPD
L’articulation entre les obligations du Code de la commande publique et celles du RGPD constitue l’un des défis juridiques majeurs de la gestion des marchés publics conformes. Cette articulation nécessite une analyse fine pour identifier les obligations complémentaires, les potentielles contradictions et les solutions de conciliation appropriées.
Le Code de la commande publique impose certaines obligations de publicité et de transparence qui peuvent entrer en tension avec les exigences de protection des données personnelles du RGPD. La publication des attributions de marchés, la communication des documents administratifs, l’information des candidats non retenus doivent intégrer les contraintes de protection des données personnelles.
Cette conciliation nécessite souvent des adaptations des procédures traditionnelles pour anonymiser les informations communiquées, limiter l’accès aux données sensibles, organiser l’exercice des droits des personnes concernées dans le respect des obligations de transparence de la commande publique.
Les bases légales applicables aux différents traitements
La détermination des bases légales pour les différents traitements de données personnelles mis en œuvre dans les marchés publics nécessite une analyse spécifique de chaque phase de la procédure et de chaque finalité poursuivie. Cette détermination conditionne l’ensemble des obligations et droits applicables.
La mission d’intérêt public constitue généralement la base légale principale pour les traitements directement nécessaires à la passation et à l’exécution des marchés publics : évaluation des candidatures, sélection des offres, gestion contractuelle, contrôles de conformité. Cette base légale présente l’avantage de ne pas nécessiter le consentement préalable des personnes concernées.
Certains traitements spécifiques peuvent nécessiter d’autres bases légales. L’obligation légale s’applique pour les vérifications imposées par la réglementation. L’intérêt légitime peut justifier certains traitements connexes comme l’amélioration des procédures. Le consentement reste nécessaire pour les traitements non indispensables à la procédure de marché.
L’organisation pratique de la protection des données
La structuration des procédures de collecte
L’organisation de la collecte des données personnelles dans les procédures de marchés publics doit respecter les principes de minimisation, de transparence et de sécurité tout en préservant l’efficacité de la sélection et l’égalité de traitement des candidats. Cette organisation nécessite une structuration claire des procédures et des responsabilités.
La définition précise des informations nécessaires à chaque phase de la procédure permet de limiter la collecte aux seules données pertinentes. Cette définition doit être documentée dans les règlements de consultation et faire l’objet d’une justification en cas de demande d’informations complémentaires ou inhabituelles.
L’information des candidats sur l’utilisation de leurs données personnelles doit être intégrée dans les documents de consultation de manière claire et accessible. Cette information doit couvrir les finalités des traitements, les destinataires des données, les durées de conservation et les droits des personnes concernées.
La gestion technique des données sensibles
La gestion technique des données personnelles collectées dans le cadre des marchés publics nécessite des mesures de sécurité appropriées tenant compte de leur sensibilité et de leur valeur pour les entreprises concernées. Cette gestion doit couvrir l’ensemble du cycle de vie des données depuis leur collecte jusqu’à leur destruction éventuelle.
Le stockage sécurisé des dossiers de candidature doit protéger contre les accès non autorisés, les fuites d’informations et les utilisations détournées. Cette protection peut nécessiter l’utilisation d’outils de chiffrement, de systèmes de contrôle d’accès, de procédures de sauvegarde sécurisées adaptées à la valeur des informations traitées.
La traçabilité des accès aux données personnelles facilite le contrôle de leur utilisation et la démonstration de la conformité. Cette traçabilité doit permettre d’identifier qui a consulté quelles informations à quel moment et pour quelles finalités, tout en respectant les contraintes opérationnelles des services acheteurs.
La dématérialisation et ses enjeux spécifiques
Les plateformes électroniques et leur conformité
La dématérialisation obligatoire des procédures de marchés publics a conduit les communes à utiliser des plateformes électroniques spécialisées qui centralisent de nombreux traitements de données personnelles. Le choix et la configuration de ces plateformes conditionnent largement la conformité RGPD de l’ensemble de la procédure.
La sélection de ces plateformes ne peut plus se limiter aux critères fonctionnels et tarifaires traditionnels mais doit intégrer prioritairement les aspects de conformité RGPD : localisation des données, mesures de sécurité, fonctionnalités de protection des données, capacité à répondre aux demandes d’exercice de droits.
L’encadrement contractuel de ces relations doit prévoir les clauses de sous-traitance obligatoires du RGPD, définir les responsabilités respectives de la commune et de l’opérateur de plateforme, organiser les modalités de gestion des incidents et prévoir les conditions de restitution des données en fin de contrat.
La signature électronique et l’identification
L’utilisation de la signature électronique dans les marchés publics dématérialisés génère des traitements spécifiques de données personnelles liés à l’identification et à l’authentification des signataires. Ces traitements, techniquement complexes, nécessitent une attention particulière aux enjeux de protection des données.
Les certificats de signature électronique contiennent nécessairement des informations personnelles sur les signataires dont la collecte, le traitement et la conservation doivent respecter les principes du RGPD. Cette conformité doit être assurée par les prestataires de services de confiance utilisés.
La vérification de la validité des signatures et l’archivage à long terme des documents signés génèrent également des traitements de données personnelles spécifiques nécessitant des bases légales appropriées et des mesures de protection adaptées à leurs durées de conservation étendues.
L’évaluation des candidatures et la protection des données
Les comités d’évaluation et la confidentialité
L’organisation des comités d’évaluation des candidatures aux marchés publics doit intégrer les exigences de protection des données personnelles concernant tant les membres du comité que les personnes mentionnées dans les dossiers de candidature. Cette organisation nécessite des procédures spécifiques garantissant la confidentialité et l’utilisation appropriée des informations sensibles.
La formation des membres des comités d’évaluation aux enjeux de protection des données personnelles constitue un préalable essentiel pour éviter les utilisations inappropriées des informations collectées. Cette formation doit couvrir les obligations de confidentialité, les règles d’utilisation des données, les procédures de gestion des conflits d’intérêts.
La documentation des travaux du comité doit préserver la confidentialité des informations personnelles tout en respectant les obligations de transparence et de traçabilité de la commande publique. Cette conciliation peut nécessiter l’anonymisation de certaines informations ou la restriction de l’accès aux documents les plus sensibles.
Les références et témoignages
La vérification des références professionnelles et la collecte de témoignages constituent des aspects délicats de l’évaluation des candidatures nécessitant une attention particulière aux droits des personnes concernées. Ces vérifications, légitimes pour la qualité de la sélection, doivent respecter les principes de proportionnalité et de minimisation.
L’obtention de témoignages ou d’appréciations sur les prestations antérieures des candidats peut révéler des informations personnelles sur les personnes qui ont contribué à ces prestations. Cette dimension doit être anticipée dans la conception des procédures d’évaluation et faire l’objet de précautions spécifiques.
La conservation et l’utilisation de ces références doivent respecter les finalités initialement définies et ne peuvent être détournées vers d’autres usages sans base légale appropriée et information des personnes concernées. Cette limitation doit être clairement établie et respectée dans la durée.
L’attribution et l’information des candidats
La publication des résultats et l’anonymisation
La publication des résultats d’attribution des marchés publics, obligation légale de transparence, doit être conciliée avec les exigences de protection des données personnelles concernant les soumissionnaires non retenus et les personnes mentionnées dans les dossiers de candidature.
Cette conciliation nécessite généralement l’anonymisation des informations publiées pour préserver l’identité des personnes physiques tout en respectant les obligations de transparence. Cette anonymisation doit être réelle et ne pas permettre la réidentification indirecte des personnes concernées.
La communication individuelle aux candidats non retenus des motifs de leur éviction peut révéler des informations personnelles sur les candidats retenus qu’il convient de protéger. Cette communication doit être adaptée pour préserver les données sensibles tout en respectant les droits de recours des candidats évincés.
L’archivage et la conservation des dossiers
La conservation des dossiers de candidature aux marchés publics obéit à des règles spécifiques liées aux obligations comptables et contentieuses qui doivent être articulées avec les exigences de limitation des durées de conservation du RGPD. Cette articulation nécessite une analyse fine des différentes finalités de conservation.
La conservation à des fins comptables et de contrôle peut justifier des durées étendues pour certaines catégories de documents, mais cette conservation doit être limitée aux informations strictement nécessaires à ces finalités. L’anonymisation progressive des dossiers peut permettre de concilier ces exigences.
L’organisation technique de cette conservation doit permettre l’exercice des droits des personnes concernées, notamment le droit d’accès et le droit à l’effacement, tout en préservant l’intégrité des archives nécessaires aux contrôles ultérieurs. Cette organisation représente souvent un défi technique important.
L’exécution des marchés et les données personnelles
Le suivi de l’exécution et les sous-traitants
L’exécution des marchés publics génère de nouveaux flux d’informations personnelles liés au suivi des prestations, au contrôle de la qualité et à la gestion des éventuels litiges. Ces traitements, souvent négligés dans l’analyse initiale, nécessitent une attention spécifique pour maintenir la conformité RGPD tout au long de la relation contractuelle.
La désignation de sous-traitants par les titulaires de marchés publics peut impliquer de nouveaux traitements de données personnelles nécessitant l’information des personnes concernées et l’encadrement contractuel approprié. Cette dimension doit être anticipée dans les clauses contractuelles du marché initial.
Le contrôle de l’exécution des prestations peut nécessiter l’accès à des informations personnelles sur les salariés du prestataire ou sur les bénéficiaires finaux des prestations. Cet accès doit être strictement encadré et limité aux informations nécessaires au contrôle contractuel.
La réception des travaux et services
La réception des travaux et services fournis dans le cadre des marchés publics peut impliquer l’évaluation de prestations individuelles, la collecte de témoignages d’utilisateurs, la constitution de références pour des marchés ultérieurs. Ces activités génèrent des traitements de données personnelles spécifiques nécessitant un encadrement approprié.
L’évaluation de la qualité des prestations ne doit pas conduire à constituer des fichiers de notation ou d’appréciation des personnes physiques intervenant chez les prestataires sans base légale appropriée et information des personnes concernées. Cette limite doit être respectée même lorsque ces évaluations peuvent être utiles pour des marchés futurs.
La capitalisation d’expérience sur les prestations réalisées peut légitimement inclure des appréciations sur les équipes intervenantes, mais cette capitalisation doit respecter les principes de proportionnalité et de limitation de finalité, et ne peut servir à constituer des fichiers de surveillance ou de notation des personnes.
L’accompagnement des PME et TPE
La simplification des procédures et la protection des données
L’accompagnement des petites et moyennes entreprises dans l’accès aux marchés publics peut nécessiter la collecte d’informations personnelles sensibles sur leurs dirigeants et leurs difficultés spécifiques. Cet accompagnement, légitime au regard des objectifs de politique publique, doit respecter les principes de protection des données personnelles.
Cette aide peut inclure des formations aux procédures de marchés publics, des conseils personnalisés, un accompagnement dans la constitution des dossiers de candidature. Ces services génèrent des traitements de données personnelles nécessitant des bases légales appropriées et des mesures de protection adaptées.
La confidentialité de cet accompagnement constitue souvent un élément essentiel de sa réussite et nécessite des mesures particulières de protection des informations échangées. Cette confidentialité doit être conciliée avec les obligations de transparence de l’action publique.
Les groupements d’entreprises et les données partagées
La constitution de groupements d’entreprises pour répondre aux marchés publics génère des flux d’informations personnelles entre les différents membres qu’il convient d’encadrer pour respecter les droits de chacun. Cette problématique se complexifie avec les groupements temporaires réunissant des entreprises aux cultures et pratiques différentes.
L’échange d’informations nécessaire à la constitution du groupement et à la répartition des rôles peut révéler des données sensibles sur la situation financière, les compétences, l’organisation interne de chaque membre. Ces échanges nécessitent un encadrement contractuel approprié.
La responsabilité de chaque membre du groupement concernant les données personnelles traitées dans le cadre de l’exécution du marché doit être clairement définie pour éviter les confusions et faciliter l’exercice des droits des personnes concernées. Cette clarification représente souvent un enjeu de négociation important.
Vers une commande publique respectueuse des données
L’innovation responsable dans les marchés publics
L’innovation dans les procédures de marchés publics, encouragée par les pouvoirs publics pour améliorer l’efficacité de la commande publique, doit intégrer les exigences de protection des données personnelles dès sa conception pour éviter les dérives et les corrections coûteuses ultérieures.
Cette innovation peut porter sur les modalités de sélection des candidats, l’utilisation d’outils numériques avancés, la mise en place de procédures collaboratives, l’expérimentation de nouvelles formes contractuelles. Chacune de ces innovations doit faire l’objet d’une analyse d’impact sur la protection des données.
L’évaluation de ces innovations doit intégrer non seulement leurs bénéfices en termes d’efficacité ou d’économies, mais aussi leurs impacts sur les droits et libertés des personnes concernées. Cette évaluation équilibrée constitue un préalable à leur généralisation.
L’exemplarité du secteur public
Les collectivités territoriales ont une responsabilité particulière d’exemplarité en matière de protection des données personnelles qui doit se traduire concrètement dans leurs pratiques de marchés publics. Cette exemplarité constitue un facteur de crédibilité pour leurs autres actions en matière de protection des données.
Cette exemplarité peut consister à exiger de leurs prestataires des garanties renforcées en matière de protection des données personnelles, à privilégier les solutions respectueuses de la vie privée, à former leurs agents aux bonnes pratiques, à communiquer sur leurs engagements en la matière.
Cette démarche d’exemplarité peut également constituer un facteur d’attractivité pour les entreprises soucieuses de leurs propres obligations en matière de protection des données et recherchant des partenaires publics partageant ces préoccupations.
L’accompagnement spécialisé pour une conformité maîtrisée
L’expertise juridique et technique adaptée
La complexité de l’articulation entre droit des marchés publics et protection des données personnelles justifie souvent le recours à une expertise spécialisée, particulièrement pour les communes gérant des volumes importants de marchés ou des procédures particulièrement sensibles.
Cette expertise doit couvrir les aspects juridiques de qualification des traitements, de détermination des bases légales, d’organisation de l’exercice des droits, mais aussi les aspects techniques de sécurisation des données, de configuration des outils, d’archivage conforme.
La formation des agents impliqués dans les procédures de marchés publics aux enjeux de protection des données personnelles constitue également un investissement essentiel pour une conformité durable. Cette formation doit être adaptée aux différents niveaux de responsabilité et régulièrement actualisée.
La mutualisation des bonnes pratiques
La mutualisation des bonnes pratiques entre communes confrontées aux mêmes enjeux de conformité dans les marchés publics peut faciliter l’amélioration collective des pratiques et réduire les coûts de mise en conformité. Cette mutualisation peut s’organiser dans différents cadres selon les territoires et les habitudes de coopération.
Cette mutualisation peut porter sur l’élaboration de modèles de documents conformes, le partage d’outils techniques, l’organisation de formations communes, la réalisation d’audits croisés. Elle permet aux petites communes de bénéficier d’expertises qu’elles ne pourraient pas développer individuellement.
La coordination avec les centrales d’achat et les groupements de commandes peut également faciliter cette mutualisation en harmonisant les pratiques et en partageant les investissements dans la conformité RGPD.
Conclusion : Les marchés publics, levier de confiance numérique
La mise en conformité RGPD des procédures de marchés publics représente un enjeu majeur pour les communes soucieuses de respecter les droits des entreprises candidates tout en préservant l’efficacité et la transparence de leur commande publique. Cette conformité, loin de constituer une contrainte administrative, peut devenir un facteur de confiance et d’attractivité pour les entreprises du territoire.
La spécificité des marchés publics, avec leurs enjeux économiques, leur complexité procédurale et leurs obligations de transparence, nécessite une expertise spécialisée pour concilier efficacement protection des données et efficacité de la commande publique. Cette expertise, rarement disponible complètement en interne, justifie l’accompagnement par des professionnels spécialisés.
L’investissement dans des procédures de marchés publics respectueuses des données personnelles constitue également un signal fort de modernité et de responsabilité de la part de la commune. Cette dimension éthique de l’action publique locale contribue au renforcement de l’image communale et peut constituer un avantage concurrentiel pour attirer les meilleures entreprises.
Etatys accompagne les communes dans la mise en conformité RGPD de leurs procédures de marchés publics avec une approche pragmatique respectueuse des contraintes budgétaires et organisationnelles du secteur public local. Notre expertise de la commande publique locale et notre connaissance des enjeux de protection des données nous permettent de proposer des solutions concrètes et proportionnées. Contactez-nous pour bénéficier d’un audit spécialisé de vos procédures et construire ensemble une commande publique moderne et respectueuse.
Contactez-nous dès aujourd’hui et faisons ensemble du RGPD et de la cybersécurité des atouts pour votre collectivité.
Avec Etatys, soyez sûr d’être prêts.
Page mise à jour : Mars/2026