Dans le cadre de la localisation des branchements, Enedis sollicite les AODE Maîtres d’Ouvrage (MOA) afin qu’elles complètent les informations.
Au-delà d’un accord nécessaire sur cette prestation complémentaire, les entreprises intervenant pour les AODE Maîtres d’Ouvrage (MOA) sont amenées à compléter les informations.
Il apparaît ainsi une problématique de traitement de données à caractère personnel.
Les entreprises prestataires vont en effet rechercher le nom du titulaire du contrat de fourniture et son adresse. Puis elles vont communiquer ces informations à Enedis qui vont venir compléter le n° de PRM et la base de données notamment cartographique.
Or, les informations relatives à l’identité des parties à un contrat de fourniture relèvent des ICS en application du 1° de l’article R. 111-26 du code de l’énergie. Elles constituent également des données à caractère personnel dès lors qu’elles permettent d’identifier une personne physique. La collecte de ces données constitue donc un traitement de données personnelles et la loi Informatique et liberté et le RGPD doivent s’appliquer.
Il va donc être nécessaire de compléter sur ce point les marchés de travaux et/ou de maîtrise d’œuvre.
En pratique, dans le cadre d’un marché public, c’est l’acheteur – donc ici l‘AODE – qui est responsable de traitement des données personnelles et le titulaire – l’entreprise de travaux – son sous-traitant au regard du RGPD. Mais, dans la mesure où c’est Enedis qui, d’une part, demande la collecte de ces données et, d’autre part, est liée aux personnes physiques concernées dans le cadre du contrat unique (le contrat de fourniture est aussi un contrat d’accès au RPD), le GRD devrait également être regardé comme responsable du traitement des données personnelles. Enedis et l‘AODE seraient donc co-responsables de traitement et l’entreprise de travaux agirait en qualité de sous-traitante au regard du RGPD. Par sécurité juridique, il convient donc de formaliser l’ensemble de ce dispositif par un acte. Ce même acte réglerait également le sujet de la confidentialité des ICS. Les obligations en la matière incombant en premier lieu au GRD, il lui revient de s’assurer que les entreprises de travaux en garantissent la confidentialité.
Cet acte pourrait aussi encadrer les conditions de réalisation des prestations supplémentaires pour mener à bien cet inventaire.
Les services de la FNCCR instruisent ce dossier pour, dans un premier temps, recenser les besoins des adhérents en la matière, puis, dans un second temps, mettre en place un dispositif commun au niveau national.
Une prochaine réunion est prévue avec Enedis sur ce sujet le 28 juin.