L’Internet et la numérisation ont facilité la circulation des données dans le monde et aujourd’hui les échanges commerciaux reposent de plus en plus sur des flux de données personnelles. La confidentialité et la sécurité de ces données sont devenues des facteurs centraux de la confiance.
Dans l’Union européenne, le RGPD autorise le transfert des données vers un État tiers à condition d’assurer un niveau adéquat de protection des données grâce à différents instruments (décisions d’adéquation, clauses contractuelles types, BCR, dérogations etc.). En Chine, la loi sur la protection des informations personnelles (PIPL), qui entre en vigueur le 1 novembre 2021, pose, elle aussi, des règles strictes pour les transferts de données en dehors du territoire national.
Le cadre juridique applicable aux transferts de données en dehors de l’Union européenne a été précisé par l’arrêt Schrems II de la Cour de justice de l’Union européenne (1) et par les recommandations du CEPD (2) formulées dans la foulée. Il en ressort qu’après avoir procédé à une évaluation de la loi du pays de destination, s’il apparaît que cette loi ne présente pas un niveau de protection adéquat des données à caractère personnel (ce qui est le cas par exemple aux Etats-Unis), des mesures supplémentaires doivent être adoptées.
Contre toute attente, en Belgique, le Conseil d’Etat a été le premier à se prononcer sur le sujet. Dans cette affaire, la région flamande avait attribué un marché public à une société, filiale d’une entité américaine, pour la mise en place d’une nouvelle plateforme visant à faciliter la mobilité des personnes handicapées. Cette plateforme devant traiter des données à caractère personnel (dont certaines sensibles), le cahier des charges prévoyait des obligations renforcées en matière de conformité au RGPD. Compte tenu de l’arrêt Schrems II, afin de vérifier la capacité des soumissionnaires à respecter les dispositions du RGPD, le pouvoir adjudicateur avait exigé de remplir un questionnaire relatif aux transferts de données et de le joindre à l’offre.
Les concurrents de la société à qui le marché public a été attribué ont fait appel de la décision d’attribution devant le Conseil d’État belge, en mettant en avant le fait que des données étaient susceptibles d’être transférées aux Etats-Unis et qu’aucune mesure supplémentaire ne pouvait être prise pour remédier au niveau inadéquat de protection des données dans ce pays.
Dans une première décision (3), le Conseil d’État belge a décidé de suspendre l’attribution du marché en cause, au motif que la décision prise par le pouvoir adjudicateur ne permettait pas un réel examen de la conformité de l’offre aux dispositions du RGPD et du cahier des charges.
Le pouvoir adjudicateur a alors retiré la décision d’attribution initiale et pris une nouvelle décision d’attribution en faveur ... du même soumissionnaire. Un nouveau recours a été introduit, invoquant une violation des articles 28, 44 et 45 à 50 du RGPD puisque le soumissionnaire retenu mentionnait dans son offre la possibilité de transférer les données aux États-Unis.
Lors de ce nouvel examen de la légalité des offres présentées (4), le Conseil d’État belge a relevé cette fois le soin particulier qui avait été apporté à la vérification du respect de la réglementation en matière de protection des données. En effet, le pouvoir adjudicateur avait demandé au délégué à la protection des données du service de la mobilité et des travaux publics d’examiner attentivement les offres. Ce dernier a confirmé que l’offre était bien conforme aux exigences des documents contractuels, et ce bien qu’un si un transfert de données vers les Etats-Unis soit possible.
De fait, le Conseil d’Etat a rappelé que, même après l’arrêt Schrems II, un transfert de données vers les Etats-Unis pouvait encore être autorisé, à condition que des mesures supplémentaires soient adoptées. Malheureusement, le Conseil n’a pas repris dans sa décision les mesures spécifiques adoptées à cet effet par le titulaire du marché. Il laisse toutefois entrevoir que les mesures demandées par la recommandation 01/2020 du CEPD étaient bien mises en œuvre :
« L’affirmation des requérants selon laquelle aucune mesure supplémentaire n’est envisageable pour remédier au niveau insuffisant de protection des données aux États-Unis, même au moyen du chiffrement ou de la pseudonymisation, semble méconnaître, de manière générale, la manière dont de telles mesures pourraient être mises en œuvre. Il ressort du dossier que ni la VTC [pour « Vlaamse toezichtcommissie voor de verwerking van persoonsgegevens », c’est-à-dire la Commission de contrôle flamande du traitement des données à caractère personnel] ni le Comité européen de la protection des données ne s’opposent à un chiffrement complet des données avant leur remise au prestataire de services, les clés de chiffrement étant conservées entièrement sous le contrôle de l’instance flamande. Il ressort du dossier que le soumissionnaire sélectionné offre un ensemble complet de garanties. » (5)
Par cette décision, le Conseil d’Etat belge a donc confirmé la jurisprudence Schrems II en Belgique et a appliqué la recommandation du CEPD. Il est toutefois regrettable que le Conseil n’ait pas plus détaillé sur les mesures exactes mises en œuvre par l’adjudicataire. Dès lors, il est difficile de savoir si le Conseil a procédé à un examen concret des garanties.
(1) CJUE, 16 juillet2020 (Data Protection Commissioner c. Facebook Ireland Ltd, Maximillian Schrems), C-311/18, ECLI:EU:C:2020:559, accessible à l’adresse : https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=12312155
(2) CEPD, Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE, https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en.)
(3) Conseil d’Etat, 12 mai 2021, n°250.599.
(4) Conseil d’Etat, 19 août 2021, n°251.378
(5) Paragraphe 16 de l’arrêt du Conseil d’État du 19 août 2021 précité (traduction libre).