Principales implications du RGPD en matière de marchés publics
En vigueur depuis le 25 mai 2018, le Règlement UE 2016/679 du Parlement et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après RGPD) entraîne des conséquences dans de nombreux domaines, en ce compris en matière de droit marchés publics. Voici dès lors un aperçu les principales implications du RGPD en matière de marchés publics et ce, du point de vue de l’adjudicateur notamment.
Phase d’attribution
S’assurer que l’adjudicataire présente des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées (art. 28, § 1er, du RGPD)
Conformément à l’article 28, § 1er, du RGPD, l’adjudicateur (responsable du traitement) doit uniquement faire appel à des adjudicataires (sous-traitants) qui présentent des garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées, de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protections des droits de la personne concernée.
En ce qui concerne le lien entre les notions de sous-traitant au sens du RGPD et d’adjudicataire, il convient d’avoir égard à l’avis de la Commission des marchés publics du 5 décembre 2018.
Aux termes d’un arrêt n° 246.532 du 23 décembre 2019 rendu dans le cadre d’une procédure en suspension d’extrême urgence, le Conseil d’Etat a notamment considéré, prima facie, ce qui suit :
– les articles 45 et 46 du RGPD n’imposent pas à l’adjudicateur (responsable du traitement) d’autoriser le transfert de données vers un pays situé en dehors de l’Union européenne même si celui-ci bénéficie d’une décision d’adéquation de la Commission européenne. Selon le Conseil d’Etat, le choix de ne pas autoriser le transfert de données vers un pays tiers à l’Union européenne peut notamment être déterminé par la manière dont l’adjudicateur (responsable du traitement) entend concrètement prendre les mesures lui permettant d’assurer la responsabilité qui lui incombe en vertu de l’article 5.2 du RGPD ;
– il se déduit de l’article 28 du RGPD que l’adjudicataire (sous-traitant) ne peut lui-même décider d’un transfert de données à caractère personnel hors de l’Union européenne dès lors qu’il doit agir conformément au contrat visé au point 3 de l’article 28 et aux instructions de l’adjudicateur (responsable du traitement), lesquelles instructions sont d’ailleurs expressément requises pour les transferts vers des pays tiers, en vertu du point 3.a?
Conclure un contrat de traitement des données avec l’adjudicataire (art. 28, § 3, du RGPD)
L’article 28, § 3, du RGPD impose que le traitement de données à caractère personnel par un adjudicataire (sous-traitant) soit régi par un contrat qui lie l’adjudicataire (sous-traitant) à l’égard de l’adjudicateur (responsable du traitement). L’article 28, § 3, du RGPD précise les principales dispositions que doit prévoir le contrat de traitement de données conclu avec l’adjudicataire.
Phase d’exécution
Traitement et transfert des données à caractère personnel sur instruction documentée de l’adjudicateur (art. 28, § 3, a), du RGPD)
Dans le cadre de l’exécution d’un marché public, l’adjudicateur (responsable du traitement) doit fournir, par écrit, des instructions documentées à l’adjudicataire (sous-traitant) quant au traitement et au transfert des données à caractère personnel.
Mise en œuvre de mesures techniques et organisationnelles pour s’assurer et être en mesure de démontrer que le traitement est conforme au RGPD (art. 24, § 1er, du RGPD)
L’adjudicateur (responsable du traitement) doit, en outre, mettre en œuvre des mesures techniques et organisationnelles appropriées afin de s’assurer et de pouvoir démontrer que le traitement des données a été réalisé en conformité avec le RGPD. L’adjudicateur (responsable du traitement) doit dès lors veiller à s’assurer que l’adjudicataire (sous-traitant) effectue un traitement des données conforme au RGPD et au contrat de sous-traitance conclu.
Notification à l’autorité de contrôle d’une violation de données à caractère personnel (art. 33 du RGPD)
En cas de violation de données à caractère personnel, l’adjudicateur (responsable du traitement) notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55 du RGPD, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
Les modalités et le contenu de la notification à l’autorité de contrôle sont prévus à l’article 33 du RGPD.
Non-respect des obligations imposées par le RGPD
1. Responsabilité de l’adjudicateur
En cas de manquement au RGPD, l’adjudicateur (responsable du traitement) peut être contraint de réparer le préjudice causé (art. 82 du RGPD) et se voir infliger une amende administrative pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise (art. 83 du RGPD). L’adjudicateur (responsable du traitement) est toutefois exonéré de sa responsabilité s’il prouve que le fait qui a provoqué le dommage ne lui est pas imputable (art. 82, § 3, du RGPD).
L’article 221, § 2, de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel prévoit toutefois que « l’article 83 du Règlement ne s’applique pas aux autorités publiques et leurs préposés ou mandataires sauf s’il s’agit de personnes morales de droit public qui offrent des biens ou des services sur un marché ». A cet égard, il y a lieu de préciser que l’article 5 de la loi du 30 juillet 2018 définit la notion d’autorité publique. Cette définition correspond à la définition de « pouvoir adjudicateur » prévue à l’article 2, 1°, de la loi du 17 juin 2016 relative aux marchés publics.
Le 6 mars 2019, la FEB a introduit un recours devant la Cour constitutionnelle afin de solliciter l’annulation de l’article 221, § 2, de la loi du 30 juillet 2018 en ce qu’il impliquerait une différence de traitement injustifiée entre le secteur public et le secteur privé. Ce recours est toujours pendant à ce jour.
2. Responsabilité de l’adjudicataire
En cas de manquement aux obligations découlant du RGPD, l’adjudicataire (sous-traitant) peut, à l’instar de l’adjudicateur, être contraint de réparer le préjudice causé (art. 82 du RGPD) et se voir infliger une amende administrative pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise (art. 83 du RGPD). L’adjudicataire (sous-traitant) est toutefois exonéré de sa responsabilité s’il prouve que le fait qui a provoqué le dommage ne lui est pas imputable (art. 82, § 3, du RGPD).
3. Responsabilité solidaire de l’adjudicateur et de l’adjudicataire
L’article 82, § 4, du RGPD prévoit une responsabilité solidaire lorsque plusieurs adjudicateurs (responsables du traitement) ou adjudicataires (sous-traitants) ou lorsqu’à la fois, un adjudicateur (responsable du traitement) et un adjudicataire (sous-traitant) participent au même traitement et lorsqu’ils sont responsables d’un dommage causé par le traitement. Dans cette hypothèse, chacun est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective.
L’article 82, § 5, du RGPD ajoute que lorsqu’un adjudicateur (responsable du traitement) ou un adjudicataire (sous-traitant) a réparé totalement le dommage subi, il est en droit de réclamer auprès des autres intervenants ayant participé au même traitement la part de la réparation correspondant à leur part de responsabilité dans le dommage, conformément aux conditions fixées à l’article 82, § 2, du RGPD.
Marchés publics en cours d’exécution
Le RGPD étant d’application directe, celui-ci s’applique aux marchés publics en cours et, par voie de conséquence, même à ceux dont l’exécution a débuté avant le 25 mai 2018.
Afin de rendre les marchés publics en cours d’exécution conformes au RGPD, un avenant pourrait être conclu avec l’adjudicataire pour les marchés qui impliquent un traitement de données à caractère personnel de la part de l’adjudicataire.
En cas de non-respect du RGPD par l’adjudicataire, il pourrait être envisagé de résilier le marché. A défaut, l’adjudicateur pourrait être tenu responsable, en tout ou en partie, du non-respect du RGPD au motif qu’il a laissé se poursuivre un marché public dans le cadre duquel un traitement de données non-conforme au RGPD est opéré.
Besoin d’en savoir plus ?
Pour plus d’informations ou des renseignements complémentaires par rapport à ce qui précède, n’hésitez pas à prendre contact avec moi. Je me ferai un plaisir de vous aider et de vous accompagner dans vos démarches. Mon cabinet est accessible du lundi au vendredi de 8h00 à 19h00 (02/896.89.10 – c.dony@avocat.be).