Depuis l'arrêt Schrems II, il est clair que le transfert de données en dehors de l'UE (pays tiers) peut poser problème en matière de protection des données. Mais le risque de transfert vers un pays tiers est-il suffisant ? C'est du moins l'avis du Vergabekammer Baden-Württemberg (chambre des marchés publics du Bade-Wurtemberg).

Pour connaître l'état actuel du débat sur la protection des données, cliquez ici.

Vergabekammer : le risque d'accès dans un pays tiers est un traitement dans un pays tiers

Le Vergabekammer Baden-Württemberg estime qu'il y a déjà transfert (et donc traitement au sens de l'article 4, point 2, du RGPD) lorsqu'il existe un risque que les données soient transférées vers un pays tiers.

Rôle des chambres de recours

Les chambres des marchés publics des Länder sont, tout comme les délégués à la protection des données des Länder, des autorités de contrôle indépendantes (article 157 GWB). Les Vergabekammern n'ont pas la fonction d'une autorité de contrôle, mais fonctionnent plutôt comme un tribunal. Ils contrôlent l'attribution des marchés publics lorsqu'un concurrent dépose un recours (article 155 du GWB).

Position de l'autorité adjudicatrice

Le Vergabekammer Baden-Württemberg a été saisi d'une affaire concernant l'attribution d'un marché pour l'acquisition d'un logiciel de gestion numérique des admissions pour les hôpitaux. Un concurrent non retenu, qui avait fait la publicité de ne stocker les données que sur des serveurs allemands, a déposé un recours. Selon le concurrent malheureux, le concurrent qui a remporté le marché ne respectait pas la législation sur la protection des données. En effet, il utiliserait les services d'une filiale européenne d'un grand service de cloud américain, ce qui entraînerait le risque que la société mère accède aux données stockées dans l'UE depuis le côté américain et que celles-ci ne soient alors plus aussi sûres que l'exige le RGPD.

Le Vergabekammer s'est rangé à cet avis et a annulé l'adjudication. Elle a expliqué que la notion de transfert visée à l'article 4, point 2, et à l'article 44 du RGPD n'était pas la même. Un transfert au sens d'un traitement au sens de l'article 44 du RGPD existe déjà s'il y a un risque de transfert vers un pays tiers.

Le Vergabekammer déclare à ce sujet : "La notion de transmission doit être interprétée à la lumière du libellé de l'article 44, phrase 1, du RGPD. 1 du RGPD ainsi que des exigences énoncées à l'art. 44 p. 2 du RGPD en ce qui concerne l'application de la norme et doit donc être comprise de manière globale : Par transfert, on entend toute divulgation de données à caractère personnel à un destinataire situé dans un pays tiers ou une organisation internationale, peu importe la nature de la divulgation ou la divulgation à un tiers". Il y a divulgation dans ce sens dès lors qu'il existe une possibilité d'accès par un pays tiers, indépendamment de l'accès effectif.

Autorité de protection des données : Les TOM sont là pour minimiser les risques

Suite à cette décision, le délégué régional à la protection des données a également pris position sur la décision du Vergabekammer : Il n'est pas d'accord avec l'interprétation.

Le Landesdatenschutzbeauftragter critique le fait que l'argumentation du Vergabekammer ne tient pas compte du fait qu'il existe justement des mesures techniques et organisationnelles (TOM's) qui minimisent le risque d'accès mis en évidence (article 32 du RGPD). Il s'agit de "contre-mesures efficaces". Elles pourraient créer un niveau optimal de protection des données sur la base d'une évaluation des risques au cas par cas.

Ce qui pose problème dans la décision, c'est surtout la différence d'interprétation de la transmission dans l'article 4, point 2, et l'article 44 du RGPD. Cela ne ressort ni du texte ni des considérants.

Il n'est ni élégant ni économique d'exclure en bloc les entreprises ayant des liens avec des prestataires de services américains. Le point de vue de l'autorité adjudicatrice aurait pour seule conséquence qu'il ne serait pas possible de faire appel à des prestataires de services américains, même si ceux-ci exploitent des fermes de serveurs dans l'UE.

Et maintenant ?

Reste à savoir comment le débat se résoudra finalement. La décision du Vergabekammer est maintenant examinée par le tribunal régional supérieur de Karlsruhe. L'avis du responsable de la protection des données du Land laisse supposer que le tribunal renversera la décision. Il n'y a pas encore d'interdiction globale de transfert, mais plutôt des examens au cas par cas.

Vous recherchez des conseils professionnels dans tous les domaines liés à la protection des données ? Notre équipe d'experts se fera un plaisir de vous aider. Contactez-nous !

DSB buchen
fr_FRFrançais