L’acheteur public doit vérifier dès la phase d’analyse des offres, la capacité du candidat à respecter le RGPD durant toute l’exécution du marché.
L’analyse par le Conseil d’Etat Belge des obligations de l’acheteur public au regard du RGPD
Par un arrêt du 12 mai 2021 (1), le Conseil d’Etat Belge a suspendu la décision par laquelle le gouvernement flamand avait attribué un marché public. En cause, celui-ci n’avait pas pris les garanties nécessaires permettant, entre autres, d’attester de la conformité au RGPD du futur titulaire durant toute l’exécution du marché.
En l’espèce, cinq soumissionnaires ont répondu à un marché public relatif à l’organisation et à l’exploitation d’installation de base d’un centre de mobilité chargé notamment d’informer les voyageurs sur les transports publics en Flandre.
Dans le cadre de ce marché, des données personnelles, dont certaines sensibles, étaient amenées à être traitées par le titulaire du marché.
A la suite de l’attribution du marché, l’un des candidats évincés a formé un recours devant le juge administratif. Il a soulevé :
- la violation des dispositions des articles 28 et 32 du RGPD et
- le non-respect des exigences minimales en termes de traitement des données personnelles.
La capacité du candidat à respecter le RGPD
Par son premier moyen, la partie requérante soulève que le pouvoir adjudicateur n’aurait pas :
- suffisamment examiné si le candidat retenu avait la capacité de se conformer au RGPD
- déterminé que l’offre retenue était bien conforme aux dispositions du RGPD.
S’agissant de la violation de l’article 28 du RGPD, le requérant retient que le gouvernement flamand n’aurait pas vérifié la réelle capacité de conformité de l’attributaire aux exigences du RGPD.
Le marché en question étant susceptible de concerner des données de santé, le requérant a également soulevé la violation de l’article 32 du RGPD relatif aux exigences en termes de sécurité du traitement.
Selon le requérant, la décision d’attribution ne démontre en rien que le candidat retenu :
- sera conforme au RGPD et
- aura la faculté d’assurer les garanties adéquates aux mesures requises par le RGPD.
Le pouvoir adjudicateur se défend en arguant que la conformité s’apprécie au moment de l’attribution de l’offre et non pas au cours de l’exécution du marché.
C’est en l’état que le juge a statué.
L’analyse des offres au regard du traitement des données
En premier lieu, le Conseil d’Etat Belge juge que, de par la rédaction du cahier des charges qui prévoit avec minutie les opérations de traitement de données personnelles, le gouvernement flamand avait une attente importante en termes de traitement des données. Cette attente aurait dû se matérialiser dans le jugement de l’analyse des offres.
Partant, pour qualifier le non-respect du traitement des données aux exigences du RGPD, le juge retient comme indice le fait d’attribuer un score non satisfaisant au sous-critère relatif à l’architecture des TIC correspondant aux traitements des données.
En deuxième lieu, le gouvernement flamand considérait que l’évaluation concrète des prestations du titulaire n’était pas possible puisqu’un accord de traitement devait préalablement être conclu. Le Conseil d’Etat juge que l’argument ne peut être retenu. Il rappelle que le traitement des données personnelles n’est pas un aspect qui doit uniquement être examiné dans le cadre de la mise en œuvre des prestations.
Ainsi cet accord de traitement ne pouvait pas intervenir après l’attribution du marché dès lors que :
- D’une part, le marché était suffisamment explicite sur les exigences relatives aux données personnelles et que,
- D’autre part, les modalités de traitement des données personnelles doivent s’apprécier dès le stade de l’analyse des offres.
Le Conseil d’Etat juge même que le fait pour un soumissionnaire de ne pas indiquer la méthodologie mise en œuvre pour respecter les exigences du RGPD est de nature à rendre son offre non conforme.
Enfin, il retient que la rédaction par laquelle le pouvoir adjudicateur indique que le respect du RGPD est un « point d’attention » démontre une insuffisance patente dans son analyse.
Il a donc accueilli le recours du candidat évincé et a ordonné la suspension en urgence de l’attribution du marché.
Les bonnes pratiques à mettre en œuvre
Cet arrêt démontre que, dans le cadre des marchés publics, le juge administratif est de plus en plus exigeant sur les modalités et attentes du pouvoir adjudicateur en termes de traitement de données personnelles et de respect du RGPD.
Ainsi, il alerte le pouvoir adjudicateur sur plusieurs points d’attention :
- Une rédaction conforme et adéquate de son cahier des charges en termes de respect du RGPD ;
- Une attention particulière sur la capacité du titulaire à respecter le RGPD tout au long de l’exécution du marché ; et ce, dès l’analyse des offres.
Par cet arrêt, la problématique du traitement des données personnelles dans le cadre des marchés publics se place définitivement comme primordiale au regard du juge administratif.
Cet arrêt ne concerne pas directement le cadre juridique français. Il ne serait pas étonnant, eu égard à l’harmonisation européenne visée par le RGPD, qu’une telle décision fasse jurisprudence.
François Jouanneau
Benjamin Brami
Lexing Marchés publics numériques
(1) Conseil d’Etat belge, 12e ch., arrêt n° 250.599 du 12 mai 2021.