La décision Belge pourrait bien inspirer les juges français.
Le gouvernement flamand souhaite établir un centre de mobilité, dans l’objectif de faciliter le fonctionnement des services de transport public. Dans l’exécution de ses missions, le centre est tenu de traiter des données à caractère personnel (notamment des données sensibles), de passagers et de tiers.
Une procédure d’appel d’offres a été lancée par le gouvernement flamand (aussi appelé « le pouvoir adjudicateur » ici), pour la mise en place et le fonctionnement de ce centre de mobilité. Le cahier des charges comprenait une partie spécifique aux traitements des données personnelles au bénéfice du gouvernement flamand, exigeant que le soumissionnaire présente une démarche conforme au RGPD.
Plusieurs entreprises ont répondu à l’appel d’offres et le gouvernement flamand a attribué le marché public à l’une d’entre elles.
L’un des soumissionnaires non retenu (ci-après « la partie requérante ») a saisi le Conseil d’Etat belge d’une demande de suspension d’extrême urgence de la décision d’attribution prise par le pouvoir adjudicateur, lui reprochant de ne pas avoir respecté certaines dispositions relatives au RGPD.
Le Conseil d’Etat belge accueille la demande de cette partie requérante, en considérant que :
Le pouvoir adjudicateur était tenu de respecter les documents contractuels, dont le cahier des charges, qu’il a établis ;
Le marché public accordait une grande importance au respect du RGPD, illustrée notamment par les stipulations du cahier des charges ;
Le pouvoir adjudicateur était tenu d’apporter une attention particulière aux offres des soumissionnaires et à leur capacité de se conformer au regard du RGPD et des exigences du marché. Par exemple, il devait vérifier que le candidat offrait les garanties nécessaires en cas de traitement sécurisé, de traitement de données sensibles et de transfert de données vers les Etats-Unis ;
Dans sa décision d’attribution, le pouvoir adjudicateur devait expliquer en quoi le candidat retenu correspondait aux attentes du marché, particulièrement en matière de RGPD.
Le pouvoir adjudicateur n’avait pas suffisamment motivé sa décision d’attribution et n’avait pas procédé à une analyse approfondie des offres.
Par conséquent, la décision d’attribution du marché public devait être suspendue au regard du non-respect au RGPD.
Le Conseil d’Etat belge précise ainsi que l’analyse du pouvoir adjudicateur au regard du RGPD ne doit pas être effectuée uniquement pendant l’exécution du marché public, mais également dès l’étude des offres.
Qu’en est-il de la situation en France ?
Cette décision en date du 12 mai 2021 a été prise par les juridictions administratives belges et non par les juridictions françaises.
Toutefois, eu égard à leur appartenance à l’Union Européenne (UE) et à l’application du RGPD sur le territoire européen, il est conseillé de ne pas ignorer ce type de décision et de rester vigilant en matière de protection des données aussi dans le cadre des marchés publics.
En toute hypothèse, le RGPD concerne, en principe, tout type de contrat impliquant un traitement de données à caractère personnel sur le territoire de l’UE, que le traitement ait lieu ou non dans l’UE [1]. Les marchés publics ne sont donc pas exclus de l’application du RGPD.
A titre d’illustration, l’article 28 du RGPD relatif aux sous-traitants sera automatiquement applicable, dans l’hypothèse où un pouvoir adjudicateur confie au titulaire du marché public le traitement de données à caractère personnel. Tel était le cas dans l’arrêt du Conseil d’Etat belge.
Il est donc prudent de considérer cette décision Belge et de s’assurer, à tous les stades d’un projet, y compris pendant les appels d’offres, de sa conformité au RGPD, y compris dans le cadre d’un marché public.
