Le RGPD peut empêcher les opérateurs économiques de certains pays tiers à l’UE de participer à l’exécution des marchés publics des adjudicateurs belges

Par son arrêt n°246.532 du 23 décembre 2019[1], le Conseil d’État a rejeté les demandes de suspension introduites par un soumissionnaire dont l’offre avait été déclarée irrégulière par l’adjudicateur Vivaqua pour le motif qu’elle prévoyait, en violation du cahier spécial des charges, la participation à l’exécution du marché de sa filiale établie en Tunisie (à savoir un pays tiers à l’Union européenne qui ne fait l’objet d’aucune décision de la Commission européenne constatant qu’il offre un niveau adéquat de protection des données à caractère personnel).

Les faits de l’espèce et l’arrêt du Conseil d’État n° 246.532 du 23 décembre 2019

1. Vivaqua (une entreprise publique de production et de distribution d’eau, soumise au cadre légal et réglementaire des marchés publics dans les secteurs spéciaux) a lancé un marché public de services juridiques portant sur le recouvrement amiable et judiciaire des factures de consommation d’eau impayées.

Eu égard à son objet, l’exécution du marché impliquait de manière évidente la transmission à l’adjudicataire de nombreuses données à caractère personnel (identité des débiteurs, adresse postale, adresse mail, numéro de téléphone). En tant que responsable du traitement de ces données au sens de l’article 5, §2 du RGPD[2], Vivaqua avait en conséquence veillé à définir dans les documents de marché (tant dans le cahier spécial des charges que dans le contrat à conclure) différentes obligations et règles destinées à assurer le respect des règles du RGPD dans le cadre de l’exécution du marché.

À ce titre, le cahier spécial des charges et le contrat faisaient notamment interdiction à l’adjudicataire de transférer des données à caractère personnel vers un pays tiers à l’Union européenne et d’en autoriser la consultation à partir de pays tiers à l’Union européenne, exception faite des pays tiers reconnus comme assurant un niveau de protection adéquat des données conformément à une décision d’adéquation adoptée par la Commission européenne sur pied de l’article 45, §3 du RGPD.

2. Vivaqua a déclaré substantiellement irrégulière l’offre d’un soumissionnaire qui prévoyait de confier à sa filiale tunisienne, dans le cadre de la phase amiable de recouvrement amiable, « le traitement humain des dossiers », dès lors que les tâches confiées à ladite filiale tunisienne (notamment de call-center) auraient nécessairement impliqué le transfert de données à caractère personnel relatives aux consommateurs vers le territoire tunisien ou la consultation de ces données au départ du territoire tunisien.

Il est constant que la Commission européenne n'avait adopté aucune décision d'adéquation concernant la Tunisie lors du lancement du marché et lors du dépôt des offres (et n’a d’ailleurs pas adopté pareille décision à ce jour).

Après que le soumissionnaire ait vu son attention dûment attirée sur la question soulevée et ait décidé de maintenir son offre inchangée au stade de la BAFO, Vivaqua a considéré que l’irrégularité en cause présentait un caractère substantiel, dès lors qu’elle portait sur la méconnaissance d’une exigence substantielle d’exécution du marché désignée comme telle par le cahier spécial des charges et, cumulativement, offrait un avantage discriminatoire au soumissionnaire, « en lui permettant d’exécuter le marché à des prix sensiblement inférieurs à ceux des autres soumissionnaires concernés ».

3. Sans préjudice d’autres critiques qui ne sont pas abordées dans le cadre de la présente analyse (liées notamment à un prétendu manque de transparence des documents de marché et à la modification prétendument irrégulière des documents de marché en cours de procédure d’attribution), la partie requérante a fait valoir deux arguments spécifiquement liés à l’articulation du RGPD avec le cadre légal et réglementaire des marchés publics.

4. La partie requérante a fait valoir en substance, premièrement, que l’adjudicateur avait prétendument  violé le RGPD, les principes généraux de la commande publique (dont le principe de proportionnalité) et les principes généraux de droit administratif en limitant la possibilité de transfert de données vers les pays tiers (ou de consultation de données à partir d’un pays tiers) à la seule hypothèse (visée par l’article 45 du RGPD) dans laquelle la Commission européenne a adopté une décision d’adéquation.

Le RGPD met en effet en place d’autres mécanismes autorisant le transfert de données vers un pays tiers (ou la consultation de données à partir d’un pays tiers) :  

• l’article 46 du RGPD autorise le transfert de données vers un pays tiers qui n’a pas fait l’objet d’une décision d’adéquation, en présence de « garanties appropriées » fournies par les entités concernées. Ces garanties appropriées peuvent découler, notamment, de clauses contractuelles types conclues entre les entités concernées, de règles d’entreprise contraignantes, d’instruments juridiquement contraignants, de codes de conduite ou de mécanismes de certification.
• l’article 49 du RGPD autorise également, à titre d’exception dans des situations limitativement énumérées par cette disposition, le transfert de données vers un pays tiers en l’absence de décision d’adéquation visée à l’article 45, §3 ou de garanties appropriées au sens de l’article 46.

La partie requérante reprochait à l’adjudicateur d’avoir violé l’article 46 du RGPD en ayant exclu la possibilité pour les opérateurs économiques de se prévaloir de celui-ci et, au surplus, de ne pas avoir tenu compte des prétendues « garanties appropriées » présentées dans son offre.

Il apparaît en effet que la partie requérante avait en l’espèce tenté de démontrer que l’absence de décision d’adéquation relative à la Tunisie n’empêcherait pas de garantir un niveau de protection adéquat des données à caractère personnel dans le cadre de l’exécution du marché, faisant valoir notamment :

• que la Tunisie avait ratifié la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel adoptée sous l’égide du Conseil de l’Europe ;
• que les serveurs, applicatifs et bases de données dédiés au marché seraient hébergés sur le territoire de l’Union européenne et qu’aucun transfert de données ne serait réalisé vers la Tunisie (seules des consultations de données à partir de ce pays tiers étant prévues);
• que la maison-mère et la filiale avaient précédemment conclu des clauses contractuelles standards conformes au modèle de la Directive 2001/497/CE ;
• que, dans le cadre d’un marché public attribué par la SNCB, l’ancienne Commission belge pour la Protection de la Vie Privée avait conclu en avril 2018, après avoir examiné sur place les conditions d’opération de la filiale tunisienne, que la partie requérante et sa filiale apportaient des garanties conformes à la loi (entretemps abrogée) du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel.

Situant sa décision sur le plan des principes, le Conseil d’État a considéré que les adjudicateurs ne sont pas tenus de laisser aux opérateurs économiques la possibilité de démontrer in concreto l’existence de mesures appropriées sur la base de l’article 46 du RGPD et sont fondés à exiger in abstracto que les données communiquées à un adjudicataire soient traitées uniquement sur le territoire de l’Union européenne ou dans un pays tiers ayant fait l’objet d’une décision d’équivalence au sens de l’article 45, §3.

Selon le Conseil d’État, d’un point de vue juridique, les dispositions du RGPD ne semblent pas, prima facie, « imposer au responsable du traitement l’obligation de recourir à ces différentes possibilités de transfert ».

Tout adjudicateur semble donc en principe fondé à choisir, en opportunité, de limiter les possibilités de transfert à l’hypothèse visée par l’article 45, §3, compte tenu de « la manière dont le responsable du traitement entend concrètement prendre les mesures lui permettant d’assumer la responsabilité qui lui incombe en vertu de l’article 5,§2 du RGPD ».

Plus encore, pareil choix semble prima facie d’autant moins critiquable que tout adjudicateur, peut « raisonnablement choisir de n’avoir égard qu’à l’hypothèse de transfert qui lui permette de s’assurer sans doute le plus facilement du respect des obligations qui lui incombent, en sa qualité de responsable du traitement, au titre de l’article 5 du RGPD ».

5. La partie requérante a également fait valoir que l’interdiction du transfert de données vers un pays tiers n’ayant pas fait l’objet d’une décision d’adéquation au sens de l’article 45, §3 du RGPD ne pouvait être qualifiée de condition essentielle du marché et que le non-respect de cette exigence ne pouvait en conséquence constituer une irrégularité substantielle.

Le Conseil d’État s’est ici gardé de déterminer avec clarté si les exigences liées au respect du RGPD devaient être considérées comme substantielles, soit par nature, soit car elles auraient en l’espèce été désignées comme telles par les documents de marché.

Le Conseil d’État a considéré que le refus du soumissionnaire de modifier son offre prévoyant l’implication de sa filiale tunisienne « paraît, prima facie, être de nature à rendre incertain l’engagement de la requérante à exécuter le marché dans les conditions prévues » dans le contrat.

Dès lors, selon le Conseil d’État, le moyen critiquant l’appréciation d’irrégularité substantielle de l’offre ne paraît pas sérieux.

Les enseignements liés à l’articulation du RGPD avec le cadre légal et réglementaire des marchés publics

Bien que rendu au stade de la suspension d’extrême urgence, l’arrêt commenté fournit des précisions particulièrement intéressantes quant à la manière dont les adjudicateurs sont tenus d’articuler (et avec quelle marge de manœuvre) les obligations imposées par le RGPD et par le cadre légal et réglementaire des marchés publics (qui ne dit rien du traitement des données à caractère personnel, à l’exception de dispositions particulières liées à la facturation électronique et aux moyens de communication entre adjudicateurs et opérateurs économiques).

Il apparaît, au vu de cet arrêt et des enseignements qui semblent plus largement devoir en être tirés :

• que tout adjudicateur est tenu de définir, dans le cadre de ses marchés publics impliquant le traitement de données personnelles par l’adjudicataire, une politique claire de traitement desdites données couvrant notamment la problématique du transfert éventuel de ces données vers des pays tiers à l’Union européenne.

Intégrée de manière cohérente à la stratégie générale de l’adjudicateur en termes de données à caractère personnel, ladite politique doit viser à garantir le respect intégral du RGPD, que l’adjudicateur se doit d’assurer en tant que responsable du traitement (sous peine de porter atteinte à sa réputation, d’engager sa responsabilité civile et de s’exposer à des amendes pénales et administratives).

• que tout adjudicateur est en principe autorisé (sans y être contraint) à interdire la participation à l’exécution de ses marchés (à quelque titre que ce soit) des entreprises établies dans des pays tiers à l’Union européenne pour lesquels la Commission européenne n’a adopté aucune décision d’adéquation au sens de l’article 45, §3 du RGPD.

Comme semble l’admettre le Conseil d’État, cette option limitative apparaît à la fois la plus sécurisante eu égard à la responsabilité finale de l’adjudicateur (en sa qualité de responsable de traitement) et s’avère sans aucun doute la plus simple à mettre en œuvre (étant entendu que l’examen des « mesures adéquates » présentées par un soumissionnaire sur pied de l’article 46 du RGPD est susceptible d’impliquer une charge opérationnelle et administrative supplémentaire, de nécessiter une expertise dont l’adjudicateur ne dispose pas nécessairement et de donner lieu à l’exercice d’une marge d’appréciation qui pourrait engendrer des contestations juridictionnelles ultérieures).

Dès lors que seul un nombre restreint de pays tiers à l’Union européenne (à laquelle il faut ajouter l’Islande, le Liechtenstein et la Norvège, en tant que membres de l’Espace économique européen) fait actuellement l’objet d’une décision d’adéquation[3], les exigences de respect de RGPD (qui valent au surplus et sans préjudice des règles générales limitant l’accès des opérateurs économiques des pays tiers aux marchés publics des adjudicateurs belges), apparaissent susceptibles de limiter de manière drastique la possibilité pour les entreprises des autres pays tiers de participer à quelque titre que ce soit à l’exécution de tous les marchés impliquant le traitement de données personnelles par l’adjudicateur.

Cette limitation est loin d’être anodine et est sans doute appelée à gagner en importance pratique dans un contexte économique marqué par la digitalisation des services et l’internationalisation corrélative des chaînes de prestation desdits services.

Elle constitue également une illustration intéressante d’hypothèse dans laquelle un pouvoir adjudicateur est fondé à ériger un standard régulatoire européen ambitieux comme condition d’exécution d’un marché public et comme condition d’accès au marché intérieur européen.

• que les exigences et directives de l’adjudicateur relatives à la protection des données se doivent d’être rédigées de manière claire, exhaustive, transparente et non équivoque, en insistant également sur le caractère substantiel de ces exigences et sur les sanctions assortissant leur méconnaissance.

Si ces éléments semblent nécessaires afin d’assurer le respect du RGPD (et de préserver la responsabilité de l’adjudicateur en tant que responsable du traitement), ils semblent également nécessaires afin de conférer à l’adjudicateur une base juridique incontestable afin de sanctionner tout opérateur économique récalcitrant (notamment en déclarant son offre substantiellement irrégulière au stade de la passation et en adoptant toutes les sanctions adéquates au stade de l’exécution).

Notes de bas de page:

[1] C.E., arrêt n°246.532 du 23 décembre 2019, S.A. Venturis / Vivaqua.
[2] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, J.O. L 119 du 4 mai 2016, pp. 1-88.
[3] Pour une liste des pays tiers et des types de traitement concernés : Cliquez ici.