Nos données publiques peuvent-elles être hébergées hors de nos frontières ? Quel impact en commande publique ? Que change, sur ce point, la nouvelle et forte décision « Google Analytics » de la CNIL ?

Depuis 2018, le RGPD est en vigueur y compris en matière de commande publique, entraînant des obligations (I) bien connues des acheteurs publics et d’ailleurs reprises dans les nouveaux CCAG et traduites en circulaires pour le cloud de l’Etat (II).

Dans ce cadre, se pose souvent la question du traitement de données, notamment en cas d’attributaire ou de sous-traitant hors des frontières de l’Union européenne, même si en soi un tel franchissement, celui de l’Atlantique par exemple, n’est pas forcément dirimant en droit (III).

C’est dans ce cadre que la CNIL  vient de rendre une décision « Google Analytics » d’importance et qui fait prévaloir une inteprétation stricte de ces règles (IV). Si cette décision de la CNIL est confirmée par les juridictions européennes et nationales, ce sera sur ce point une petite révolution. 

On verra bien : aux prestataires de se débrouiller me direz vous ?
Et bien NON. Sans doute non. D’ailleurs un Conseil d’Etat (belge en l’espèce) a posé que les obligations RGPD, quoique relevant de l’exécution du marché public, doivent être vérifiées dans leur faisabilité, dans leur teneur, dès avant l’attribution du marché (V)… et ce au nom d’un droit européen qui s’applique de même chez nous. 

 

 

 

I. Des obligations depuis 2018

Depuis 2018, les acheteurs publics ont l’habitude de traiter des questions de données et de RGPD, avec obligation de prévoir des clauses en ces domaines dans leurs contrats.

L’acheteur public, s’il est alors une autorité publique déterminant les finalités et les moyens du traitement de données, sera, au sens du RGPD, « le responsable du traitement ». Les acheteurs publics ont donc l’obligation d’imposer le respect du RGPD à leurs cocontractants (attributaires qui sont, en droit, leurs « sous-traitants » dans la gestion de ces données, notion qui n’est pas à confondre avec celle de sous-traitant en marchés publics).

Voir :

 

 

II. Traduction dans les nouveaux CCAG ; règles applicables par circulaire au cloud de l’Etat

 

II.A. Traduction dans les nouveaux CCAG 

 

Les nouveaux CCAG ont d’ailleurs repris ces exigences. Dans tous les CCAG, c’est l’article 5.2 qui organise le traitement des données à caractère personnel.

Il en résultera une harmonisation des pratiques ; ce qui participe à une meilleure appropriation de ces règles, encore trop peu maîtrisées.

Les anciens CCAG contenaient déjà un article 5.2. portant sur la protection des données à caractère personnel, mais c’était un article très léger, qui rappelait simplement aux acheteurs publics de respecter la réglementation, prévoyait d’avenanter les marchés publics en cas de modification de la réglementation et de réaliser les déclarations préalables auprès de la Cnil.

Dans les nouveaux CCAG, cet article 5.2 est largement complété pour donner toute son ampleur à la protection des données personnelles dans les marchés publics.

Cet article rappelle que chaque partie au marché est tenue au respect des règles applicables aux traitements des données à caractère personnel mis en œuvre aux fins de l’exécution du marché. Il souligne que toute transmission de données à des tiers qui ne serait pas strictement conforme à la règlementation en vigueur est prohibée.

Toutefois, lorsqu’il est identifié que l’exécution du marché requiert un traitement de données à caractère personnel par le titulaire du marché, le CCAG renvoie aux clauses particulières du marché ! En effet, les CCAG ne constituent qu’une base en matière de protection des données et il est indispensable, pour respecter la réglementation, tant européenne que française, de bien prévoir des clauses particulières adéquates et suffisantes en la matière.

Pour cela, les acheteurs doivent :

  1. suivre les indications fournies par le CCAG : l’article 5.2.3 indique les informations essentielles que les documents particuliers du marché doivent préciser pour que le traitement réponde aux exigences de la réglementation (finalité du traitement, duréedu traitement, obligations de l’acheteur et du titulaire, droits des personnes dont les données sont collectées, mesures de sécurité et modalités de conservation et sort des données en fin d’exécution du marché).
  1. se référant utilement aux clauses contractuelles types établie par la commission européenne en application de l’article 28 du Règlement qui ont été publiées au JOUE cet été ainsi qu’aux indications fournies par la CNIL.

Avec les nouveaux CCAG, les obligations du titulaire en matière de traitement de données personnelles sont également renforcées sur le plan contractuel. En effet, ils prévoient qu’un manquement à la règlementation peut justifier une résiliation pour faute du marché ! (Il conviendra tout de même de s’assurer du caractère proportionné de cette mesure ; mais à voir comment cela serait reçu en jp…).

De plus, l’acheteur doit prévoir dans les documents du marché les pénalités applicablesau titulaire en cas de méconnaissance de la réglementation.

A ces sujets, voir :

 

 

II.B. règles applicables par circulaire au cloud de l’Etat

 

Le Premier Ministre a signé la circulaire n° 6282-SG du 5 juillet 2021 relative à la doctrine d’utilisation de l’informatique en nuage par l’État (NOR : PRMX2121516C ; Numéro interne : 6282/SG)… bref on parle du « cloud ».

 

Or, pour les services de l’Etat, c’est aussi un paramètre (merci à M.                                         Pierre-Ange ZALCBERG de me l’avoir signalé !).

Voici des extraits significatifs et exigeants (la mise en gras et souligné est de nous) de cette circulaire sur le cloud étatique :

« [R9] Dans le cas d’un recours à une offre de cloud commerciale, les systèmes informatiques en production et en recette, incluant les éléments nécessaires à leur résilience, doivent respecter la règle suivante :
– Tous les systèmes et applications informatiques manipulant des données à caractère personnel doivent être conformes au RGPD. Pour les systèmes contenant des données de santé, l’hébergeur doit de plus être conforme à la législation sur l’hébergement de données de santé.
– Si le système ou l’application informatique manipule des données d’une sensibilité particulière, qu’elles relèvent notamment des données personnelles des citoyens français, des données économiques relatives aux entreprises françaises, ou d’applications métiers relatives aux agents publics de l’État : l’offre de cloud commercial retenue devra impérativement respecter la qualification SecNumCloud (ou une qualification européenne d’un niveau au moins équivalent) et être immunisée contre toute réglementation extracommunautaire.
– Sinon, l’administration en charge du système choisit la solution adaptée en fonction de ses propres critères, en privilégiant chaque fois que possible une offre qualifiée SecNumCloud et immunisée aux réglementations extracommunautaires.
– A titre transitoire, pour les projets déjà engagés, une dérogation à ces deux derniers alinéas pourra être accordée sous la responsabilité du ministre dont relève le projet, sans qu’elle ne puisse aller au-delà de 12 mois après la date à laquelle une offre de cloud acceptable (c’est-à-dire dont les éventuels inconvénients sont supportables ou compensables) sera disponible en France.
[R10] La portabilité multi-clouds doit être assurée. A cette fin, les équipes informatiques s’assureront que les adhérences techniques et fonctionnelles à la plateforme cloud retenue n’entravent pas notablement cette capacité de réversibilité et de changement de fournisseur de cloud. Dans le cas où cette adhérence est néanmoins légitimée par des gains opérationnels immédiats, le surcoût de la réversibilité doit être financé par ces gains.

 

Droits : Chris Isaak

 

 

III. On peut être compatible RGPD tout en ayant un traitement par delà les frontières de l’Union européenne, mais cela nécessite quelques précautions. 

 

Rappelons qu’un cloud ou autre traitement de données peut être effectué hors de l’Europe et être néanmoins compatible avec le RGPD :

 

 

IV. C’est dans ce cadre que la CNIL  vient de rendre une décision importante et qui fait prévaloir une inteprétation stricte de ces règles. Si cette décision de la CNIL est confirmée par les juridictions européennes et nationales, ce sera sur ce point une petite révolution. 

 

Google Analytics permet de disposer de statistiques de fréquentation d’un site web. Saisie de plaintes par l’association NOYB, la CNIL, en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées grâce à cet outil sont transférées vers les États-Unis. La CNIL estime que ces transferts sont illégaux et impose à un gestionnaire du site web français de se conformer au RGPD et, si nécessaire, de ne plus utiliser cet outil dans les conditions actuelles.

NB ce qui suit dans le présent IV. reprend largement la prose de la CNIL. 

Google Analytics est une fonctionnalité qui peut être intégrée par les gestionnaires de sites web tels que des sites de vente en ligne afin d’en mesurer la fréquentation par les internautes. Dans ce cadre, un identifiant unique est attribué à chaque visiteur. Cet identifiant (qui constitue une donnée personnelle) et les données qui lui sont associées sont transférés par Google aux États-Unis.

La CNIL a été saisie de plusieurs plaintes par l’association NOYB concernant le transfert, vers les États-Unis, de données collectées lors de visites sur des sites web utilisant Google Analytics. Au total, 101 réclamations ont été déposées par NOYB dans les 27 États membres de l’Union européenne et les trois autres États de l’espace économique européen (EEE) à l’encontre de 101 responsables de traitement qui transfèreraient des données personnelles vers les États-Unis.

La CNIL, en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées dans le cadre de l’utilisation de Google Analytics étaient transférées vers les États-Unis et quels étaient les risques encourus pour les personnes concernées. Il s’agit notamment de tirer collectivement les conséquences de l’arrêt « Schrems II » de la Cour de Justice de l’Union européenne (CJUE) du 16 juillet 2020, ayant invalidé le Privacy Shield. La CJUE avait mis en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux États-Unis, si les transferts n’étaient pas correctement encadrés.

La CNIL conclut que les transferts vers les États-Unis ne sont pas suffisamment encadrés à l’heure actuelle. En effet, en l’absence de décision d’adéquation (qui établirait que ce pays offre un niveau de protection des données suffisant au regard du RGPD) concernant les transferts vers les États-Unis, le transfert de données ne peut avoir lieu que si des garanties appropriées sont prévues pour ce flux notamment.

Or, la CNIL a constaté que ce n’était pas le cas. En effet, si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données.

Il existe donc un risque pour les personnes utilisatrices du site français ayant recours à cet outil et dont les données sont exportées.

La CNIL constate que les données des internautes sont ainsi transférées vers les États-Unis en violation des articles 44 et suivants du RGPD. Elle met donc en demeure le gestionnaire de site de mettre en conformité ces traitements avec le RGPD, si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE. Le gestionnaire de site en cause dispose d’un délai d’un mois pour se mettre en conformité.

Concernant les services de mesure et d’analyse d’audience d’un site web, la CNIL recommande que ces outils servent uniquement à produire des données statistiques anonymes, permettant ainsi une exemption de consentement si le responsable de traitement s’assure qu’il n’y a pas de transfert illégaux. La CNIL a d’ailleurs lancé un programme d’évaluation pour déterminer les solutions exemptées de consentement.

D’autres procédures de mises en demeure ont été engagées par la CNIL à l’encontre de gestionnaires de sites utilisant Google Analytics.

L’enquête de la CNIL et de ses homologues s’étend également à d’autres outils utilisés par des sites et qui donnent lieu à des transferts de données d’internautes européens vers les États-Unis. Des mesures correctrices à ce sujet pourraient être adoptées prochainement.

 

Voici à quoi ressemble une telle mise en demeure :

Voici quelques autres ressources :

 

Si cette décision de la CNIL est confirmée par les juridictions européennes et nationales, ce sera sur ce point une petite révolution.

Cette dernière phrase n’est pas qu’une clause de style : le feuilleton des cookies a démontré que les tâtonnements avant d’arriver à une recette consensuelle peuvent durer longtemps. Voir :

 

 

V. Que se passe-t-il si l’acheteur semble ne pas s’être donné les moyens de contrôler le respect du RGPD au fil de l’exécution du contrat ? Par exemple en cas de stockage de données sur des clouds états-uniens sans respect, semble-t-il, des règles RGPD ? Le marché peut-il ab initio en être fragile ? OUI répond le Conseil d’Etat… belge qui impose que la compatibilité des offres avec le RGPD au stade de l’exécution soit vérifiée (dans son sérieux, donc, en quelque sorte) avant l’attribution du marché… et non pas « une fois » le marché attribué

 

NB ce qui suit reprend un de mes anciens articles : voir ici Marchés publics : la compatibilité des offres avec le RGPD, au stade de l’exécution, est à vérifier AVANT l’attribution du marché…. selon le Conseil d’Etat… belge 

Au delà de ces possibilités et de ces mesures de prudence, que se passe-t-il si l’acheteur semble ne pas s’être donné les moyens de contrôler le respect du RGPD au fil de l’exécution du contrat ?

Par exemple en cas de stockage de données sur des clouds états-uniens sans respect, semble-t-il, des règles RGPD ?

Le marché peut-il ab initio en être fragile ? Est-ce, surtout, à vérifier avant attribution quoiqu’on soit en présence d’une contrainte au stade de l’exécution du marché ?

RÉPONSE OUI selon le Conseil d’Etat… BELGE.

Donc pas de panique chers compatriotes français.

C’est juste un coup de semonce en droit comparé. Mais sur une base de droit comparé qui est tellement en réalité fondée sur le droit de l’Union européenne … qu’une telle comparaison donne des raisons d’être prudent.

En effet, par sa décision n° 250.599, le Conseil d’Etat belge a suspendu en référé (« demande en suspension d’extrême urgence »), le 12 mai 2021 (que nous avons mis donc un peu de temps à commenter… le temps de venir d’outre-quiévrain…), l’attribution d’un marché public par la Flandre.

Selon le Conseil d’Etat du Royaume de Belgique, en effet, le gouvernement de Flandre n’avait pas :

  1. vérifié la conformité de l’offre avec les exigences du RGPD
  2. pris les garanties suffisantes sur le respect dudit RGPD par le soumissionnaire (« adjudicataire ») au fil de l’exécution de ce marché.

 

Les données en question étaient celles d’un centre en matière de mobilités (information des voyageurs, cartographie des itinéraires ; titres de transport…), y compris des traitements de données personnelles de santé, entre autres illustrations de leurs sensibilité.

Selon le Conseil d’Etat belge, donc, c’est avant l’attribution du marché que cette compatibilité des offres avec le RGPD soit être vérifiée par l’acheteur public.

Source (non disponible en français) : Conseil d’Etat belge, 12 mai 2021, n°250.599 (RAAD VAN STATE, AFDELING BESTUURSRECHTSPRAAK ; VOORZITTER VAN DE XIIe KAMER ; ARREST nr. 250.599 van 12 mei 2021, in de zaak A. 233.449/XII-9070, BV QARIN
& BV ROTTERDAMSE MOBILITEIT CENTRALE (RMC) versus het VLAAMSE GEWEST) 

 

Voir d’intéressants commentaires de confrères belges :

 

NB voir aussi cette autre histoire belge, véridique, moins édifiante en droit des marchés publics et du RGPD, mais ô combien plus amusante :

 

 

Conclusion : il n’est plus possible de se contenter de phrases floues et simples dans le DCE sans rien vérifier ensuite

 

Pourquoi en parler ?

Si l’acheteur public énonce dans son DCE que son fournisseur va se débrouiller et devra respecter le RGPD… il a pense avoir évacué le problème. SAUF que le fait qu’il soit possible de s’en tirer à si bon compte est loin maintenant d’être assuré. 

De plus, interdire tout traitement des données hors de France serait illégal .

Car en effet les choses se compliquent si comme le pense le juge belge sur la base d’un droit européen qui s’applique à nous aussi :

  1. vérifié la conformité de l’offre avec les exigences du RGPD
  2. pris les garanties suffisantes sur le respect dudit RGPD par le soumissionnaire (« adjudicataire ») au fil de l’exécution de ce marché.

Si l’on combine cela avec ce que nous avons vu de la position de la CNIL au point IV… alors on arrive à un fort niveau d’exigence en RPGD d’une manière générale pour lequel l’acheteur public ne peut se contenter de renvoyer la balle à son prestataire en se mettant lui-même trop en retrait. 

NB : pour une conclusion intéressante à ce sujet voir JCP ACT, « Données personnelles : peut-on encore utiliser des prestataires américains ? », février 2022, 108, par M. Fabrice Mattatia.