Sont dispensés de déclaration les traitements de données à caractère personnel qui sont relatifs à la dématérialisation des marchés publics mis en oeuvre par les organismes publics visés à l'article 2 du code des marchés publics et correspondant aux finalités définies à l'article 2 de la présente délibération.

Finalités des traitements.
Les traitements doivent avoir pour seules fonctions :
- la publication, la transmission et la mise à disposition par voie électronique des documents relatifs aux offres de marchés publics réalisées par les organismes publics soumis au code des marchés publics ;
- la réception par ces organismes des offres et les réponses liées à la passation d'un marché public ;
- la tenue, par les organismes publics soumis au code des marchés publics, d'un journal des événements pouvant contenir notamment : la mention de la mise en ligne de l'avis d'appel public à la concurrence, du règlement de consultation, du dossier de consultation des entreprises et des modifications qui ont pu y être apportées, de la liste des personnes ayant téléchargé les documents, la mention de tous les échanges d'information intervenus avec ces personnes, les références des candidatures et des offres reçues ;
- la gestion de manière sécurisée des candidatures, des offres, des notifications et des courriers nécessaires à la passation d'un marché public.
Toute réutilisation des données à caractère personnel à des fins de prospection commerciale est interdite.

Données traitées.
Les données traitées pour la réalisation des finalités décrites à l'article 2 sont :
- les noms, prénoms, adresse professionnelle, fonctions, numéro de téléphone, numéro de télécopie, adresse de courrier électronique, le certificat électronique et les éléments de signature électronique de la ou des personnes qui, au sein de l'organisme public, sont chargées du suivi de la procédure de passation du marché public ;
- les noms, prénoms, adresse professionnelle, fonctions, numéro de téléphone, numéro de télécopie, adresse de courrier électronique et, le cas échéant, le certificat électronique et les éléments de signature électronique de la ou des personnes répondant à une offre de marché public ;

- les documents nécessaires à la procédure de passation des marchés publics, et notamment l'avis d'appel public à la concurrence, le dossier de consultation des entreprises, le règlement de consultation, les réponses faites à ces offres par les candidats ainsi que les pièces justificatives qui y sont attachées (art. 45 du code des marchés publics).

Destinataires des données.
Dans la limite de leurs attributions respectives, seuls peuvent être destinataires de tout ou partie des informations :
- les personnes habilitées chargées de la gestion de marchés publics par l'organisme public soumis au code des marchés publics ;
- les personnes morales de droit privé ou de droit public ou les personnes privées auxquelles sont destinées ces offres, à l'exclusion des données relatives aux autres personnes répondant à des offres de marchés publics ;
- les organismes publics, exclusivement pour répondre aux obligations légales.

Recours à un prestataire.
Les données visées à l'article 3 peuvent être communiquées aux prestataires intervenant éventuellement dans la procédure de passation des marchés publics, à savoir : les prestataires fournisseurs de plate-forme technique de dématérialisation des marchés publics ainsi que les fournisseurs de moyens de cryptologie et les tiers prestataires de services de cryptologie et d'horodatage agissant en tant que sous-traitant dans les conditions de l'article 35 de la loi du 6 janvier 1978 modifiée.
Ces destinataires et sous-traitants assurent la sécurité et la stricte confidentialité des données personnelles en leur possession.
Une convention signée avec le prestataire doit définir les opérations que celui-ci est autorisé à réaliser à partir des données à caractère personnel qui lui sont transmises, ainsi que les engagements qu'il prend pour garantir leur sécurité et leur confidentialité, en particulier l'interdiction d'utiliser les données à d'autres fins que celles indiquées par la convention. Le prestataire doit procéder à la destruction ou à la restitution de tous les fichiers stockant les informations dès l'achèvement de son contrat.

Durée de conservation.
Les données visées à l'article 3 sont conservées et traitées pour la durée nécessaire à la passation du marché public.
Cependant, ces données peuvent ensuite faire l'objet d'un archivage sur un support informatique distinct et dont l'accès est sécurisé et restreint aux personnes visées à l'article 4 de la présente norme.
Cet archivage sera effectué conformément aux délais de prescription légaux applicables aux documents des dossiers de marchés publics.

Information des personnes concernées.
Les personnes concernées sont informées de l'identité du responsable du traitement, des finalités poursuivies par le traitement, du caractère obligatoire ou facultatif des réponses à apporter, des conséquences éventuelles, à leur égard, d'un défaut de réponse, des destinataires des données, de leur droit d'opposition et de rectification ainsi que des modalités d'exercice de leurs droits.
Cette information est délivrée notamment au travers des documents électroniques transmis lors de la procédure de passation d'un marché public par voie électronique. Cette information peut aussi figurer sur les portails d'accès aux offres de marchés publics.

Sécurités.
Des mesures de protection physique et logique doivent être prises par la personne publique et, le cas échéant, par les prestataires visés à l'article 5, pour préserver la sécurité du traitement et des informations, empêcher toute utilisation détournée ou frauduleuse des informations, notamment par des tiers non autorisés, et en préserver l'intégrité.
Les accès individuels à l'application s'effectuent par un identifiant et un mot de passe individuels, régulièrement renouvelés, ou par tout autre moyen d'authentification afin que ces accès ne puissent s'effectuer que des seuls postes autorisés.
Les échanges avec la plate-forme de dématérialisation des marchés publics doivent s'effectuer au moyen d'une liaison sécurisée. De surcroît, les documents désignés comme tels par le code des marchés publics doivent être signés électroniquement et, le cas échéant, chiffrés.
Ces mesures doivent notamment permettre le contrôle de l'accès, l'identification et la confidentialité des échanges intervenant entre l'organisme public et les candidats, que ceux-ci soient effectués de façon directe ou par l'intermédiaire d'un prestataire.

Transmissions de données vers des pays tiers à la Communauté européenne.
Ne peuvent prétendre au bénéfice de l'exonération les traitements automatisés comportant la transmission de données à caractère personnel vers des pays tiers à l'Union européenne, y compris lorsque cette transmission est réalisée à des fins de sous-traitance. Ces traitements font l'objet de formalités déclaratives préalables auprès de la CNIL dans les conditions prévues par la loi du 6 janvier 1978 modifiée.

Effets de la dispense de déclaration.
Les traitements répondant aux conditions visées aux articles 2 à 8 peuvent être mis en oeuvre sans délai et sans déclaration préalable auprès de la CNIL.
La dispense de déclaration n'exonère le responsable de tels traitements d'aucune de ses autres obligations prévues par les textes applicables à la protection des données à caractère personnel.

La présente délibération est publiée au Journal officiel de la République française.