Le règlement apporte une véritable transparence et un contrôle sur la protection des données et il est important de veiller à son respect pendant l’exécution d’un marché mais également dès le début des offres.
L’importance de respecter le RGPD pendant l’exécution d’un marché public
Respecter le RGPD est la base pour s’assurer de la bonne protection des données personnelles. Certaines obligations prévues par ce règlement doivent être respectées par les différents pouvoirs lors de l’exécution d’un marché public sous peine de sanctions.
La protection des données personnelles comme principal enjeu
Les données personnelles sont un terme à prendre au sens large. Effectivement, selon l’article 4 du règlement, ce sont les « informations se rapportant à une personne physique identifiée ou identifiable ». En outre, cela peut être différentes sortes de données telles que le prénom, le nom, le numéro de téléphone mais également les données financières par exemple. Le traitement de ces données comprend quant à lui « la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».
Tous les organismes sont concernés par le RGPD, qu’ils soient publics ou privés, à partir du moment où ils sont établis dans l’Union européenne ou que leurs activités visent des résidents européens.
Le règlement européen concerne également les sous-traitants.
Le traitement de toutes les données à caractère personnel doit donc être conforme au dit règlement.
La sous-traitance du traitement des données personnelles dans les marchés publics
Dans le cadre de la conclusion d’un marché public, le pouvoir adjudicateur et le pouvoir adjudicataire (sous-traitant) doivent tout deux respecter un certain nombre d’obligations afin de se soumettre au règlement.
Tout d’abord, avant même d’avoir conclu le contrat, le pouvoir adjudicateur doit s’assurer au moment du choix du pouvoir adjudicataire, que celui-ci présente les garanties suffisantes (connaissances, ressources, capacités professionnelles) quant au respect du RDPD. Il doit donc vérifier la régularité des offres.
De plus, après la conclusion du contrat, le pouvoir adjudicateur doit donner des instructions précises documentées au pouvoir adjudicataire afin de pouvoir suivre le plus rigoureusement possible le traitement des données personnelles en toute légalité. Il est donc important de préciser ces instructions en amont dans un contrat afin d’être prêt en cas d’action en responsabilité.
Les obligations du pouvoir adjudicataire sont détaillées dans le RGPD.
De toute évidence, pendant toute la durée du contrat le pouvoir adjudicateur doit s’assurer que le pouvoir adjudicataire respecte le RGPD. Leur responsabilité à tous les deux peut être engagée.
Le non-respect des obligations des pouvoirs adjudicataires et adjudicateurs
Le non-respect du RGPD entraine des sanctions. Il sera possible d’engager la responsabilité du pouvoir adjudicataire et du pouvoir adjudicateur en cas de manquement à leurs obligations.
Tout d’abord, l’adjudicataire sera responsable s’il prévoit lui-même les finalités et les moyens du traitement des données à la place du pouvoir adjudicateur. Il sera également responsable de dommages matériaux et moraux causés par le traitement des données dans certains cas strictement prévus, comme par exemple un manquement à une obligation légale spécifique ou contractuelle.
Le pouvoir adjudicateur quant à lui sera responsable de tous les dommages causés par le traitement de données à caractère personnel qui n’est pas conforme au RGPD sauf si le dommage ne lui est pas imputable.
Ces deux personnes sont responsables solidairement. De fait, il est important de veiller à organiser les obligations de chacune des parties dans un contrat afin d’en préciser les contours.
Contester un marché public avec le RGPD dès l’étude des offres
Aujourd’hui, certaines entreprises n’hésitent pas à invoquer le RGDP pour contester un marché public dès l’appel d’offre. Effectivement, le Conseil d’Etat Belge a récemment rappelé dans un arrêt n°250.599 du 12 mai 2021, l’importance de respecter le RGPD pour les entreprises adjudicataires d’un marché public dès l’étude des offres.
En l’espèce, l’arrêt concerne la Région flamande (pouvoir adjudicateur) ayant lancé un marché public attribué à une société belge (l’adjudicataire), filiale d’une société américaine, qui fait appel à des sociétés américaines pour exécuter le marché relatif à la mise en place d’un centre de mobilité. Un candidat non retenu du marché à introduit un recours devant le Conseil d’Etat invoquant un défaut dans le traitement international des données. Pour être plus précis, il a notamment invoqué le fait que le pouvoir adjudicateur n’avait pas vérifié la régularité de l’offre adjudicataire concernant le RGPD.
Après avoir rappelé l’obligation de vérification de la régularité des offres ainsi que l’obligation de respecter les règles fixées par le pouvoir adjudicateur lui-même dans les documents du marché, le Conseil d’Etat a également rappelé l’obligation d’établir une décision motivée d’attribution. En l’espèce, il a considéré que le pouvoir adjudicateur n’avait pas vérifié de manière approfondie la conformité des offres avec le RGPD. En conséquence, la suspension de l’exécution de la décision d’attribution a été ordonnée.
Il est intéressant de noter ici que les concurrents peuvent utiliser le RGPD pour tenter d’annuler l’attribution d’un marché public sur le fondement du non-respect de la protection des données personnelles.
Dès lors et pour conclure, nous comprenons l’importance du respect de ce règlement général des données personnelles dès l’attribution d’un marché et tout au long de son exécution.
Article rédigé par Gabrièle Hournadet, chargée de communication & marketing
Source : RGPD, www.uvcw.be