Marchés publics : la compatibilité des offres avec le RGPD, au stade de l’exécution, est à vérifier AVANT l’attribution du marché…. selon le Conseil d’Etat… belge

Depuis 2018, le RGPD est en vigueur y compris en matière de commande publique, entraînant des obligations (I) bien connues des acheteurs publics et d’ailleurs reprises dans les nouveaux CCAG (II).

Dans ce cadre, se pose souvent la question du traitement de données, notamment en cas d’attributaire ou de sous-traitant hors des frontières de l’Union européenne, même si en soi un tel franchissement, celui de l’Atlantique par exemple, n’est pas forcément dirimant en droit (III).

Cela dit, gare car un Conseil d’Etat a posé que les obligations RGPD, quoique relevant de l’exécution du marché public, doivent être vérifiées dans leur faisabilité, dans leur teneur, dès avant l’attribution du marché (IV)…

Un Conseil d’Etat… car il s’agit du Conseil d’Etat belge

Mais tout de même, sur ce point de droit, d’un droit largement européen, comparaison peut être raison. Une raison d’être prudent. Même chez nous, en France, ou à notre connaissance notre Conseil d’Etat « à nous » n’a pas encore franchi ce pas. 

 

 

I. Des obligations depuis 2018

Depuis 2018, les acheteurs publics ont l’habitude de traiter des questions de données et de RGPD, avec obligation de prévoir des clauses en ces domaines dans leurs contrats.

L’acheteur public, s’il est alors une autorité publique déterminant les finalités et les moyens du traitement de données, sera, au sens du RGPD, « le responsable du traitement ». Les acheteurs publics ont donc l’obligation d’imposer le respect du RGPD à leurs cocontractants (attributaires qui sont, en droit, leurs « sous-traitants » dans la gestion de ces données, notion qui n’est pas à confondre avec celle de sous-traitant en marchés publics).

Voir :

 

 

II. Traduction dans les nouveaux CCAG

 

Les nouveaux CCAG ont d’ailleurs repris ces exigences. Dans tous les CCAG, c’est l’article 5.2 qui organise le traitement des données à caractère personnel.

Il en résultera une harmonisation des pratiques ; ce qui participe à une meilleure appropriation de ces règles, encore trop peu maîtrisées.

Les anciens CCAG contenaient déjà un article 5.2. portant sur la protection des données à caractère personnel, mais c’était un article très léger, qui rappelait simplement aux acheteurs publics de respecter la réglementation, prévoyait d’avenanter les marchés publics en cas de modification de la réglementation et de réaliser les déclarations préalables auprès de la Cnil.

Dans les nouveaux CCAG, cet article 5.2 est largement complété pour donner toute son ampleur à la protection des données personnelles dans les marchés publics.

Cet article rappelle que chaque partie au marché est tenue au respect des règles applicables aux traitements des données à caractère personnel mis en œuvre aux fins de l’exécution du marché. Il souligne que toute transmission de données à des tiers qui ne serait pas strictement conforme à la règlementation en vigueur est prohibée.

Toutefois, lorsqu’il est identifié que l’exécution du marché requiert un traitement de données à caractère personnel par le titulaire du marché, le CCAG renvoie aux clauses particulières du marché ! En effet, les CCAG ne constituent qu’une base en matière de protection des données et il est indispensable, pour respecter la réglementation, tant européenne que française, de bien prévoir des clauses particulières adéquates et suffisantes en la matière.

Pour cela, les acheteurs doivent :

  1. suivre les indications fournies par le CCAG : l’article 5.2.3 indique les informations essentielles que les documents particuliers du marché doivent préciser pour que le traitement réponde aux exigences de la réglementation (finalité du traitement, durée du traitement, obligations de l’acheteur et du titulaire, droits des personnes dont les données sont collectées, mesures de sécurité et modalités de conservation et sort des données en fin d’exécution du marché).
  1. se référant utilement aux clauses contractuelles types établie par la commission européenne en application de l’article 28 du Règlement qui ont été publiées au JOUE cet été ainsi qu’aux indications fournies par la CNIL.

Avec les nouveaux CCAG, les obligations du titulaire en matière de traitement de données personnelles sont également renforcées sur le plan contractuel. En effet, ils prévoient qu’un manquement à la règlementation peut justifier une résiliation pour faute du marché ! (Il conviendra tout de même de s’assurer du caractère proportionné de cette mesure ; mais à voir comment cela serait reçu en jp…).

De plus, l’acheteur doit prévoir dans les documents du marché les pénalités applicables au titulaire en cas de méconnaissance de la réglementation.

A ces sujets, voir :

 

 

III. On peut être compatible RGPD tout en ayant un traitement par delà les frontières de l’Union européenne, mais cela nécessite quelques précautions. 

 

Rappelons qu’un cloud ou autre traitement de données peut être effectué hors de l’Europe et être néanmoins compatible avec le RGPD :

 

 

IV. Que se passe-t-il si l’acheteur semble ne pas s’être donné les moyens de contrôler le respect du RGPD au fil de l’exécution du contrat ? Par exemple en cas de stockage de données sur des clouds états-uniens sans respect, semble-t-il, des règles RGPD ? Le marché peut-il ab initio en être fragile ? OUI répond le Conseil d’Etat… belge qui impose que la compatibilité des offres avec le RGPD au stade de l’exécution soit vérifiée (dans son sérieux, donc, en quelque sorte) avant l’attribution du marché… et non pas « une fois » le marché attribué

 

Au delà de ces possibilités et de ces mesures de prudence, que se passe-t-il si l’acheteur semble ne pas s’être donné les moyens de contrôler le respect du RGPD au fil de l’exécution du contrat ?

Par exemple en cas de stockage de données sur des clouds états-uniens sans respect, semble-t-il, des règles RGPD ?

Le marché peut-il ab initio en être fragile ? Est-ce, surtout, à vérifier avant attribution quoiqu’on soit en présence d’une contrainte au stade de l’exécution du marché ?

RÉPONSE OUI selon le Conseil d’Etat… BELGE.

Donc pas de panique chers compatriotes français.

C’est juste un coup de semonce en droit comparé. Mais sur une base de droit comparé qui est tellement en réalité fondée sur le droit de l’Union européenne … qu’une telle comparaison donne des raisons d’être prudent.

En effet, par sa décision n° 250.599, le Conseil d’Etat belge a suspendu en référé (« demande en suspension d’extrême urgence »), le 12 mai 2021 (que nous avons mis donc un peu de temps à commenter… le temps de venir d’outre-quiévrain…), l’attribution d’un marché public par la Flandre.

Selon le Conseil d’Etat du Royaume de Belgique, en effet, le gouvernement de Flandre n’avait pas :

  1. vérifié la conformité de l’offre avec les exigences du RGPD
  2. pris les garanties suffisantes sur le respect dudit RGPD par le soumissionnaire (« adjudicataire ») au fil de l’exécution de ce marché.

 

Les données en question étaient celles d’un centre en matière de mobilités (information des voyageurs, cartographie des itinéraires ; titres de transport…), y compris des traitements de données personnelles de santé, entre autres illustrations de leurs sensibilité.

Selon le Conseil d’Etat belge, donc, c’est avant l’attribution du marché que cette compatibilité des offres avec le RGPD soit être vérifiée par l’acheteur public.

Source (non disponible en français) : Conseil d’Etat belge, 12 mai 2021, n°250.599 (RAAD VAN STATE, AFDELING BESTUURSRECHTSPRAAK ; VOORZITTER VAN DE XIIe KAMER ; ARREST nr. 250.599 van 12 mei 2021, in de zaak A. 233.449/XII-9070, BV QARIN
& BV ROTTERDAMSE MOBILITEIT CENTRALE (RMC) versus het VLAAMSE GEWEST) 

 

Voir d’intéressants commentaires de confrères belges :

 

NB voir aussi cette autre histoire belge, véridique, moins édifiante en droit des marchés publics et du RGPD, mais ô combien plus amusante :