Vérification de la conformité des offres avec le RGPD : quelles obligations pour le pouvoir adjudicateur ?
Rappel des faits
En mars 2020, le Gouvernement flamand a lancé un marché public relatif à la mise en place d’un centre de mobilité chargé notamment d’informer les voyageurs sur les transports publics en Flandre, de cartographier les itinéraires et d’acheter des tickets de transport.
Suite à l’attribution du marché en date du 2 avril 2021, le Conseil d’Etat a été saisi d’une demande en suspension d’extrême urgence aux termes de laquelle la partie requérante a notamment critiqué le fait que le pouvoir adjudicateur n’ait pas vérifié la régularité de l’offre de l’adjudicataire quant à sa conformité avec le Règlement Général sur la Protection des Données (RGPD), d’une part, et si l’adjudicataire entendait se conformer au RGPD lors de l’exécution du marché, d’autre part.
Principes et dispositions applicables
Afin d’être considérée comme régulière, une offre doit être conforme à la réglementation relative aux marchés publics ainsi qu’aux conditions essentielles prévues par le cahier spécial des charges.
Sur la base de l’article 76 de l’arrêté royal du 18 avril 2017 relatif à la passation des marchés publics dans les secteurs classiques et de l’article 74 de l’arrêté royal du 18 juin 2017 relatif à la passation des marchés publics dans les secteurs spéciaux, une distinction doit être faite entre, d’une part, les irrégularités substantielles et, d’autre part, les irrégularités non-substantielles.
Lorsqu’une offre est affectée d’un ou de plusieurs irrégularités non-substantielles qui, même cumulées ou combinées, n’ont pas les effets d’une irrégularité substantielle, l’article 76, § 2, prévoit que l’offre n’est pas déclarée nulle.
Si, par contre, l’offre est affectée d’une irrégularité substantielle ou de plusieurs irrégularités non-substantielles qui, du fait de leur cumul ou de leur combinaison, sont de nature à avoir les mêmes effets qu’une irrégularité substantielle, le pouvoir adjudicateur doit alors déclarer l’offre nulle (procédure ouverte et restreinte) ou peut éventuellement faire régulariser l’offre moyennant le strict respect des conditions prévues à l’article 76, §§ 4 et 5 (procédures permettant une négociation).
Selon l’article 76, § 1er, de l’arrêté royal du 18 avril 2017, constitue une irrégularité substantielle celle qui est de nature :
– à donner un avantage discriminatoire au soumissionnaire ;
– à entraîner une distorsion de concurrence ;
– à empêcher l’évaluation de l’offre du soumissionnaire ou la comparaison de celle-ci aux autres offres ;
– à rendre inexistant, incomplet ou incertain l’engagement du soumissionnaire à exécuter le marché dans les conditions prévues.
En outre, sont d’office réputées substantielles les irrégularités prévues par l’article 76, § 1er, alinéa 4, 1° à 3°, de l’arrêté royal du 18 avril 2017.
Au vu de ce qui précède, les conséquences attachées à chaque type d’irrégularité (substantielle ou non-substantielle) peuvent fortement varier d’un marché à l’autre.
A cet égard, le Conseil d’Etat rappelle, de manière constante, qu’au titre de l’obligation de motivation formelle, un pouvoir adjudicateur confronté à une irrégularité ne peut se limiter à constater celle-ci. Il doit en effet se prononcer sur le caractère substantiel ou non de l’irrégularité et, le cas échéant, exposer les motifs pour lesquels il décide d’écarter ou de retenir l’offre affectée d’une irrégularité considérée comme non-substantielle (C.E., arrêt n° 247.300 du 12 mars 2020, SA SERVITEX).
Décision du Conseil d’Etat
Aux termes de son arrêt n° 250.599 du 12 mai 2021, le Conseil d’Etat a tout d’abord rappelé l’obligation de vérification de la régularité des offres prévue à l’article 76 de l’arrêté royal du 18 avril 2017 ainsi que l’obligation, pour le pouvoir adjudicateur, de respecter les règles qu’il a lui-même fixées dans les documents du marché, conformément au principe « Patere legem quam ipse fecisti ».
Le Conseil d’Etat a ensuite rappelé l’obligation d’établir une décision motivée d’attribution qui contient les motifs de droit et de fait justifiant la décision et mettant en évidence les caractéristiques et avantages de l’offre retenue (voy. les articles 4 et 5 de loi du 17 juin 2013 relative à la motivation, à l’information et aux voies de recours en matière de marchés publics, de certains marchés de travaux, de fournitures et de services et de concessions et les articles 2 et 3 de la loi du 29 juillet 1991 relative à la motivation formelle des actes administratifs).
Dans la mesure où le marché public litigieux implique le traitement de données à caractère personnel à grande échelle dont des données sensibles (données relatives à la santé, données de personnes vulnérables, numéros de compte bancaire, numéros de carte de crédit, etc.), plusieurs dispositions du cahier spécial des charges ont imposé un traitement de ces données conforme au RGPD.
Selon le Conseil d’Etat, la compatibilité des offres avec le RGPD aurait dès lors dû être vérifiée avant l’attribution du marché. Même si le traitement des données à caractère personnel concerne les conditions d’exécution du marché, chaque soumissionnaire doit néanmoins accepter lesdites conditions dans son offre. S’il apparait que le soumissionnaire n’accepte pas ces conditions, ou si le soumissionnaire n’indique pas qu’il s’y conformera ou de quelle manière il le fera, ou si le soumissionnaire est vague sur ce point, le Conseil d’Etat estime que son offre n’est pas conforme au cahier spécial des charges de sorte qu’elle peut être rejetée pour ce motif.
En l’espèce et compte tenu des nombreuses données à caractère personnel à traiter dans le cadre du marché litigieux, le Conseil d’Etat a considéré que le pouvoir adjudicateur aurait dû vérifier de manière approfondie la compatibilité des offres avec le RGPD – en demandant éventuellement de l’aide à la Commission flamande de contrôle du traitement des données (Vlaamse Toezichtcommissie) – et que la décision motivée d’attribution ne pouvait dès lors se contenter d’indiquer que l’offre de l’adjudicataire « implique le traitement de données à caractère personnel conformément à la réglementation en vigueur ».
Par voie de conséquence, le Conseil d’Etat a ordonné la suspension de l’exécution de la décision d’attribution en raison de l’absence d’examen approfondi concernant la conformité de l’offre de l’adjudicataire au RGPD, ce qui méconnait une exigence des documents du marché et entraine une motivation insuffisante de la décision d’attribution.
Suite à cet arrêt du Conseil d’Etat, le pouvoir adjudicateur a retiré sa décision d’attribution a et en a adopté une nouvelle le 16 juillet 2021 après avoir effectuée une nouvelle analyse des offres.
Cette décision a toutefois fait l’objet d’un nouveau recours aux termes duquel la vérification du respect du RGPD par le pouvoir adjudicateur a encore une fois fait l’objet de critiques.
Par un arrêt n° 251.378 du 19 août 2021, le Conseil d’Etat a tout d’abord rappelé que, conformément à l’arrêt de la CJUE du 16 juillet 2020, les clauses contractuelles types (CCT) de la Commission européenne peuvent être valablement utilisées pour tout transfert vers un pays tiers de l’Union européenne et que, le cas échéant, des mesures supplémentaires peuvent être prises pour combler d’éventuelles lacunes dans la législation du pays de destination.
Prétendre, à l’instar de la partie requérante, que tout transfert de données personnelles effectué vers les Etats-Unis en application des CCT, violerait nécessairement le RGPD, ne constitue dès lors pas un moyen sérieux.
Le Conseil d’Etat a ensuite observé que, contrairement à la première décision d’attribution du 2 avril 2021, le pouvoir adjudicateur a désormais procédé à un examen approfondi du respect du RGPD par l’adjudicataire et ce, avec l’assistance de son délégué à la protection des données qui, en connaissance des différentes offres et donc des liens avec les Etats-Unis, a examinés concrètement les garanties relatives au traitement des données fournies par les différents soumissionnaires ainsi que la compatibilité d’un éventuel transfert de données vers un pays tiers en cours d’exécution du marché.
En procédant à un examen détaillé de la régularité des offres au regard du RGPD, le Conseil d’Etat a considéré que le pouvoir adjudicateur avait répondu de manière adéquate aux considérations de l’arrêt du 12 mai 2021.
Besoin d’en savoir plus ?
Pour plus d’informations ou des renseignements complémentaires par rapport à ce qui précède, n’hésitez pas à prendre contact avec moi. Je me ferai un plaisir de vous aider et de vous accompagner dans vos démarches. Mon cabinet est accessible du lundi au vendredi de 8h00 à 19h00 (02/896.89.10 – c.dony@avocat.be).