tribune

Invoquer le RGPD pour contester un marché public

Avocat Cairn Legal

Une entreprise évincée d'un marché public a invoqué le RGPD pour le contester, estimant que le transfert de données privées vers les États-Unis violait la législation européenne.

Un intéressant arrêt du Conseil d’État met en lumière l’importance de respecter le règlement général sur la protection des données (RGPD) pour les entreprises adjudicataires d’un marché public. À défaut, elles risquent de voir le marché contesté par des concurrents, candidats malheureux au marché attribué.

La Région flamande a lancé un marché public concernant la mise en place et l'exploitation de son futur centre de mobilité (Mobiliteitscentrale). En juillet 2021, elle attribue ce marché à une société belge, filiale d'une entité américaine, qui fait appel aux services d’autres sociétés américaines — dont Amazon Web Services — pour exécuter le marché public attribué. Un candidat évincé se plaint et introduit un recours devant le Conseil d’État, visant à obtenir la suspension, en extrême urgence, de la décision d’attribution.

En 2020, la Cour de justice européenne a annulé le Privacy Shield, qui assurait que les transferts des données de l’UE vers les États-Unis bénéficiaient d’une protection de niveau adéquat.

Le principal argument du plaignant concerne le transfert de données, par l’adjudicataire, vers les États-Unis.

Transfert de données sous conditions

Le RGPD exige que tout transfert de données à caractère personnel vers un pays tiers, tel que les États-Unis, ne puisse se faire que si ce pays présente un niveau de protection adéquat ou, à défaut, si des garanties appropriées sont mises en place, telles que des règles d'entreprise contraignantes, des clauses contractuelles standards, la certification, etc.

Dans l’arrêt Schrems II du 16 juillet 2020, la Cour de justice européenne a annulé le Privacy Shield, une décision de la Commission européenne qui assurait que les transferts des données de l’UE vers les États-Unis bénéficiaient d’une protection de niveau adéquat. La Cour a également jugé que le transfert de données à caractère personnel en dehors de l’UE sur base des clauses contractuelles standards n’était conforme au RGPD que pour autant que le pays destinataire offre une protection des données équivalente à celle de l’UE, ce qui n’est pas le cas des États-Unis.

Par la suite, le Comité européen de la protection des données a publié des recommandations relatives aux mesures supplémentaires à prendre lorsqu’il apparaît que le cadre légal du pays tiers n’offre pas de protection équivalente au RGPD.

Une arme pour dénigrer la concurrence

En l’espèce, le plaignant considérait que l’offre de l’adjudicataire ne respectait pas les dispositions du RGPD relatives aux transferts internationaux de données. Il se fondait notamment sur un avis de la Commission de surveillance de la vie privée du gouvernement flamand (VlaamseToezicht commissie), concernant l'utilisation d'Amazon Web Services — un avis rendu, toutefois, dans d’autres circonstances. Selon cet avis très critique, aucune mesure supplémentaire ne pourrait efficacement remédier au niveau inadéquat de protection des données aux États-Unis. Dès lors, le recours à des fournisseurs de services cloud situés aux États-Unis devrait, de façon quasiment systématique, être considéré comme non-conforme au RGPD.

On peut imaginer que le RGPD soit désormais utilisé par des entreprises cherchant à entacher l’intégrité de leurs concurrents.

Le Conseil d’État n’est toutefois pas d’accord avec cette analyse. En l’espèce, l’offre de l’adjudicataire prévoit la mise en place d’un système de cryptage complet des données avant leur utilisation. En outre, la Région flamande conserve seule le contrôle intégral des clés de cryptage. Selon le Conseil d’État, l'adjudicataire fournit un ensemble étendu de garanties suffisantes. La décision d’attribution du marché n’est donc pas suspendue.

Sous l’angle du RGPD, la motivation du Conseil d’État peut soulever quelques discussions que les spécialistes ne manqueront pas d’aborder. Sous l’angle des relations entre entreprises, la décision met en évidence la propension de certaines sociétés à désormais invoquer le non-respect supposé du cadre réglementaire du RGPD pour s’attaquer à leurs concurrents. On peut imaginer que le RGPD soit désormais également utilisé par des entreprises cherchant à entacher l’intégrité de leurs concurrents, par exemple en intentant une action à leur encontre pour concurrence déloyale ou en portant plainte auprès de l’Autorité de protection des données.

Guillaume RUE, avocat Cairn Legal

Lire également

Messages sponsorisés

Messages sponsorisés