Actualités
Article à la Une "Le transfert et l’hébergement des données...

Article à la Une "Le transfert et l’hébergement des données...

Par Laetitia
Partager l'article
Partager par e-mail Partager sur LinkedIn

Le transfert et l’hébergement des données à caractère personnel dans les marchés publics

Avec l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le 25/05/2018, la protection des données à caractère personnel (DCP) est passée d’une logique de contrôle a priori à une logique de responsabilisation des opérateurs économiques et des entités publiques.

En matière de marchés publics, le respect du RGPD s’impose aux acheteurs publics et aux titulaires des marchés. Pour accompagner les acheteurs publics, les CCAG prévoient une clause relative à la protection des DCP qui précisent, notamment, que le transfert de données personnelles à des tiers établis hors de l’UE, qui ne serait pas conforme au RGPD, est interdit. A contrario, si le transfert des données réalisé hors UE respecte le RGPD, il est envisageable.

Ainsi, il convient d’apprécier le principe puis les exceptions permettant de transférer et d’héberger des données à caractère personnel hors de l’UE.

L’hébergement des données en UE

L’hébergement des DCP au sein des pays de l’UE ne nécessitent pas d’encadrement spécifique par définition mais l’acheteur public doit, en application de la logique de responsabilisation des acteurs, s’assurer du respect du RGPD par le sous-traitant (au sens du RGPD) à travers un véhicule juridique dédié à la protection des données.
L’article 44 du RGPD autorise le transfert des DCP en dehors de l’UE dans la mesure où un niveau de protection des données est suffisant et approprié. Ce niveau de protection est apprécié différemment en fonction de la sensibilité du traitement, des données, des mécanismes juridiques et/ou des mesures techniques complémentaires mises en œuvre.

Le transfert hors UE sur la base des décisions d’adéquation

Le premier mécanisme est fondé sur les décisions d’adéquation prises par la Commission européenne. Plus précisément, ces décisions sont prises lorsqu’il est constaté qu’un pays tiers assure un « niveau de protection adéquat ». En pratique, cette décision permet au responsable de traitement et aux sous-traitants ne de pas demander d’autorisation spécifique pour le transfert vers les pays suivants : Andorre, Argentine, Canada, Iles Féroé, Guernesey, Israël, Ile de Man, Japon, Jersey, Nouvelle-Zélande, Suisse, Royaume-Uni, Uruguay et Corée du Sud.

Il convient de noter que la CJUE, par une décision du 16 juillet 2020 dite « Schrems 2 » a invalidé (avec effet immédiat) la décision d’adéquation de la Commission européenne qui permettait de transférer des DCP vers les USA. En effet, la législation (Section 702 FISA et Executive Order 12 333) porte atteinte à la vie privée des personnes (dont les DCP sont traitées par des entreprises américaines) et que ces atteintes sont disproportionnées au regard des exigences de la Charte des Droits Fondamentaux de l’UE.

Si le transfert vers les pays ne bénéficiant pas d’une décision d’adéquation n’est pas interdit, il doit être réalisé dans le cadre d’autres mécanismes juridiques prévus par le RGPD.

Les transferts hors UE sur la base d’autres mécanismes juridiques

Lorsque le pays ne bénéficie pas d’une décision d’adéquation, le RGPD prévoit d’autres mécanismes permettant de réaliser un transfert de DCP en dehors de l’UE tout en assurant des garanties appropriées à travers les outils suivants :
- Les clauses contractuelles types (CCT) de la Commission européenne, adoptée par l’autorité de contrôle ou autorisée par l’autorité de contrôle
- Les règles d’entreprises contraignantes (BCR) approuvées par l’autorité de contrôle
- Un code de conduite approuvé par l’autorité de contrôle
- Un mécanisme de certification délivré par l’autorité de contrôle
- Un texte juridiquement contraignant et exécutoire
- D’autres dérogations pour des situations particulières.

Au regard de l’annulation de la décision d’adéquation pour les USA, la question du transfert des DCP vers ce pays se pose.

Le cas du transfert des DCP aux USA

Dans la décision de la CJUE, les juges considèrent que le recours aux autres mécanismes juridiques est conditionné à la mise en œuvre de mesures complémentaires telles que des mesures techniques (chiffrement des données et gestion interne de la clé de chiffrement) et juridiques (clarification des engagements contractuels encadrant le transfert). Ainsi, le transfert des données aux USA reste possible dans la mesure où les CCT de la Commission et les mesures complémentaires prises permettent d’assurer un
niveau de protection adéquat au regard du RGPD (par ex. CE, 12 mai 2021, Doctolib).

Dans le cadre des marchés publics, la DAJ a rappelé que les acheteur publics « ne peuvent pas par principe déduire du risque de conflit de lois entre ces législations de pays tiers et le RGPD que les offres de ces entreprises seraient forcément irrégulières, ni que la candidature de ces entreprises serait irrecevable ipso facto »¹.

¹ Rapport à la Commission européenne relatif à l'application de la règlementation en matière de marchés publics pour la période 2017-2019 (publié en février 2022)

Conclusion
Les acheteurs publics doivent être vigilants sur ce point et s’appuyer sur les compétences de leur délégué à la protection des données (DPO). En outre, la CNIL a indiqué qu’elle apportera une attention particulière aux questions relatives aux transferts de données et à l’encadrement des relations contractuelles entre responsables de traitement et les fournisseurs de solution Cloud (Cloud Solution Provider (CSP)). Enfin, le Conseil d’Etat Belge a déjà été saisi d’une telle question dans le cadre d’un recours contre un marché publics (CE belge,19/08/2021, n°251.378).