Le formulaire DC4 : savoir à qui l’on sous-traite
« L’acheteur public doit donner au titulaire du marché son autorisation écrite préalable, spécifique ou générale, au recrutement d’un sous-traitant au contrat lorsque ce dernier est chargé de traitements de données à caractère personnel » (Article 28.2 du RGPD )
La Direction des affaires juridiques (DAJ) a mis en ligne trois formulaires de passation de marché public. Celui qui nous intéresse s’appelle le DC4, anciennement DC13 à qui deux rubriques sur la protection des données ont été rajoutées. La sécurité informatique est à l’ordre du jour.
Venons-en à la rubrique qui a été ajoutée :
« Dans le cadre des marchés publics et au sens du RGPD, le « responsable du traitement » est en principe l’acheteur public. Le terme « sous-traitant », qui désigne au sens du RGPD « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement », correspond en marché public au titulaire du contrat, ainsi qu’à tout sous-traitant (au sens commande publique) à qui il serait confié le traitement de données.
Notice gouvernementale
Le DC4 est le bébé de la DAJ et de la CNIL, la Commission nationale informatique et libertés, qui défend ou du moins qui essaye de défendre nos libertés dans un monde de plus en plus virtuel. L’ajout consiste à cocher une case qui garantit que son sous-traitant (on parle de l’entreprise titulaire du marché public) ne va pas éventer les données personnelles (surtout si elles sont considérées comme sensibles) aux quatre vents.
Le soumissionnaire est responsable de toute sa chaîne de sous-traitance et de l’évaporation éventuelle de données :
Le soumissionnaire ou titulaire coche les deux cases déclaratives (de manière cumulative) qui ont pour but de lui rappeler qu’il lui appartient de s’assurer, d’une part, que son sous-traitant présente des garanties suffisantes pour la mise en œuvre de mesures techniques et organisationnelles propres à assurer la protection des données personnelles et d’autre part, que, le sous-traité intègre les clauses obligatoires prévues par l’article 28 du RGPD.
Pour les adeptes du détail exhaustif, le dossier de 11 pages est en ligne ici.
L’entreprise titulaire devient donc responsable devant le maître d’ouvrage, c’est-à-dire juridiquement devant l’Etat, de la protection des données en question. De plus, le sous-traitant, une fois officialisé, ne doit pas recruter un autre sous-traitant en douce, car cela augmenterait le risque de dissémination des données. On rappelle que le titulaire ne peut sous-traiter qu’une partie du marché, pas sa totalité. D’ailleurs une directive peut obliger le titulaire à effectuer certaines tâches essentielles. Et dans les marchés touchant à la sécurité nationale, les restrictions sont plus grandes encore, la liberté du titulaire n’est pas totale.
Hormis ces exceptions, tout marché peut se sous-traiter, et même en cascade, à condition de remplir à chaque fois un DC4, afin que le maître d’ouvrage soit tenu parfaitement au courant de qui fait quoi.
Une fois le DC4 rempli, le maître d’ouvrage décide d’accepter ou pas le sous-traitant. Et chaque sous-traitant – car il peut y en a plusieurs – fait l’objet d’un DC4 distinct. Notons que le DC4 peut être présenté au moment de l’offre ou pendant l’exécution du marché (encore une souplesse) et que le sous-traitant numéro 1 – dit « de 1er rang » – peut sous-traiter à un sous-traitant de 2e rang, et ainsi de suite. Mais jamais la totalité du marché, seulement une partie, et identifiable. Chaque passage de bâton donnant lieu à un DC4.
« La déclaration de sous-traitance est la pièce dans laquelle le soumissionnaire ou le titulaire présente un sous-traitant. Le DC4 comporte notamment l’identification du sous-traitant, le détail des prestations sous-traitées ainsi que les conditions de paiement et les modalités de règlement du sous-traitant. »
Ce formulaire permet donc à l’entreprise soumissionnaire ou titulaire d’un marché public d’officialiser un sous-traitant. La loi qui régit cet aspect particulier des marchés publics date du 23 juillet 2015 et elle définit le cadre dans lequel la sous-traitance est tolérée : pour les marchés subséquents, c’est-à-dire qui évoluent dans le temps, les marchés spécifiques et les marchés de partenariat.
C’est au soumissionnaire de présenter son ou ses sous-traitants via le DC4. Voici la définition du sous-traitant selon le texte européen (Le Moniteur) :
« La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte [de l’acheteur public] »
La déclaration de sous-traitance s’effectue comme suit :
- identification de l’acheteur (le maître d’ouvrage)
- objet du marché : définir les lots en cas d’allotissement et précisément les lots concernés par la sous-traitance
- identification du soumissionnaire ou du titulaire du marché
- identification du sous-traitant
- nature des prestations sous-traitées
- prix des prestations
- capacités du sous-traitant, etc.
On ne va pas recopier toute la liste, elle figure dans la notice officielle. Il faut juste comprendre que la cession d’une partie du contrat à une entreprise tierce doit toujours être transparente.
« Le représentant de l’acheteur, compétent pour signer le marché public, accepte le sous-traitant, autorise la sous-traitance des activités de traitement de données à caractère personnel visées dans la présente déclaration, et agrée ses conditions de paiement. »
Pourquoi de telles précisions ? Parce que précisément des grandes entreprises emportent souvent des marchés publics dont elles n’assureront pas seules la réalisation, lésant ainsi des entreprises plus modestes qui auraient pu accrocher le marché. Tout le monde sait que les majors sous-traitent et que ce qui compte, c’est de remporter des marchés. Le système de sous-traitance ou d’allotissement d’un marché permet de deux façons différentes de faire participer des structures réputées moins concurrentielles.
On rejoint là le principe de l’allotissement, sauf qu’il passe par une seule entreprise « majeure ». La déclaration de sous-traitance concerne un gros poisson et son ou ses poissons-pilotes. Disons qu’il s’agit d’une sorte d’allotissement privé, ou privatif. C’est l’entreprise soumissionnaire qui remporte l’offre qui allotit elle-même le marché en question. Cela permet au maître d’ouvrage de ne pas entrer dans la complexité d’un dossier d’allotissement, car il faut alors être très précis, savoir couper un marché en lots qui ne se chevauchent pas avec des objets clairs…
Le pouvoir adjudicateur, en légalisant la procédure avec sous-traitance, délègue le problème à l’entreprise titulaire. Une façon d’exporter les problèmes tout en respectant la loi, puisque cela ne contrevient pas aux principes fondamentaux du marché public : égalité de traitement des candidats (non-discrimination), liberté d’accès à la commande publique (concurrence non faussée) et transparence des procédures.