Le Règlement Général sur la Protection des Données (RGPD) encadre le traitement des données personnelles sur le territoire de l’Union Européenne. Ce règlement européen, dans la continuité de la Loi Française Informatique et Libertés du 6 janvier 1978, renforce le contrôle de l’utilisation qui peut être faite des données des citoyens :
Ces principes s’appliquent aux administrations tout comme aux collectivités territoriales dans la manière dont elles poursuivent leurs missions. Dans le cas de figure où celles-ci sont externalisées à des opérateurs privés/économiques (contrat passés selon le code de la commande publique), la responsabilité quant aux obligations RGPD peut être transférée à l’opérateur économique (en co-responsabilité ou sous-traitance) selon les modalités prévues au contrat.
Dans le cadre de la gestion des services publics d’eau potable et d’assainissement, le recours à une concession de service public (affermage, régie intéressée, etc.), induit un transfert plus ou moins substantiel du « risque » pour la gestion du service. L’exploitant devra poursuivre les objectifs qui lui ont été confiés, tout en veillant au bon traitement des données personnelles des administrés, conformément au RGPD.
Le fichier des abonnés représente donc un enjeu particulier dans la gestion d’un service d’eau potable et d’assainissement, puisqu’il permet d’une part :
D’autre part, il compile l’ensemble des données personnelles des usagers du service, nécessaire à la gestion continue de celui-ci, et doit donc être en conformité avec les principes du RGPD.
Lorsque le gestionnaire, opérateur privé, assure quotidiennement la gestion du fichier abonnés, c’est à lui que revient la charge d’assumer les obligations prévues par le RGPD et la loi Informatique et Libertés que ce soit en termes de « traitement initial, de collecte, de gestion courante, de conservation, de transmission ou encore de transparence. »
Pour autant, le maître d’ouvrage, qui, juridiquement, reste toujours responsable de la bonne marche du service (qu’il en assure ou non la direction), pourra tout aussi bien s’intéresser spécifiquement aux conditions de gestion des données relatives aux usagers et, par conséquent, ne pas laisser à l’opérateur économique une totale liberté en la matière. Dans une telle hypothèse, un accord de sous-traitance (ou son équivalent dans les clauses du contrat) doit être mis en place. Le sous-traitant agira pour le compte du responsable de traitement dans le cadre de la gestion des données personnelles.
A contrario, lorsque le maître d’ouvrage dispose moins de sensibilités/d’appétences à l’égard du traitement des données personnelles, la co-responsabilité est recommandée.
En définitive, dans le cas des affermages, il est souvent recommandé au maître d’ouvrage d’avoir recours à des clauses de sous-traitance, afin de déterminer précisément les responsabilités et obligations en matière de gestion des données personnelles des usagers. Ce document garantira au maître d’ouvrage la juste répartition qu’il souhaite mettre en œuvre à l’égard de ce traitement.