- Les pouvoirs adjudicateurs doivent vérifier la conformité des offres remises par les soumissionnaires au regard du RGPD, sous peine de méconnaître la réglementation des marchés publics et d’adopter une décision d’attribution du marché irrégulière. Cette obligation prend des contours variables selon l’objet du marché et selon les spécificités du traitement de données proposé par le soumissionnaire.
- Dans un premier cas de figure, le marché public a pour objet le traitement de données pour le compte du pouvoir adjudicateur, ou, même si ce n’est pas son objet principal, le marché public implique un traitement de données pour le compte du pouvoir adjudicateur.
Dans ce cas de figure, le pouvoir adjudicateur est responsable de traitement des données et doit conclure un contrat de traitement, puisque le marché public implique la désignation d’un sous-traitant au sens des articles 4,8° et 28, §3 du RGPD (Avis de la Commission des marchés publics du 5 décembre 2018).
Sur la base d’arrêts récents du Conseil d’Etat (C.E., arrêt n°246.532 du 23 décembre 2019 ; C.E., arrêt n°250.599 du 12 mai 2021 ; C.E., arrêt n° 253.677 du 6 mai 2022), les obligations en la matière peuvent se résumer de la manière suivante :
- Le pouvoir adjudicateur doit vérifier que les services offerts par les soumissionnaires présentent bien les "garanties suffisantes" en matière de RGPD.
- Un pouvoir adjudicateur doit, plus spécifiquement, vérifier systématiquement la conformité des offres au regard des clauses du cahier spécial des charges qui décrivent les exigences en matière de RGPD.
La non-conformité au RGPD constituera, de par sa nature, une méconnaissance d’une exigence minimale du cahier spécial des charges et, dès lors, une irrégularité substantielle de l’offre au sens de l’article 76, § 1er, al. 4, 3°, de l’arrêté royal du 18 avril 2017 relatif à la passation des marchés publics dans les secteurs classiques.
Le pouvoir adjudicateur doit déclarer nulle une telle offre – sauf éventuellement si le marché est passé par procédure négociée –. - Tel devrait être selon nous également le cas même si le cahier spécial des charges ne prévoit rien au sujet du RGPD.
En effet, le non-respect du RGPD pourrait également entrer dans le cadre de la définition de l’alinéa 3 de l’article 76, § 1er, de l’arrêté royal du 18 avril 2017 relatif à la passation des marchés publics dans les secteurs classiques, en ce sens qu’il entraîne une distorsion de concurrence et empêche la comparaison des offres. - L’existence de difficultés, c’est-à-dire, par exemple, si l’une des offres prévoit le traitement de données dans un pays tiers à l’UE, engendre une obligation de vérification accrue, dont doit témoigner la motivation formelle de la décision d’attribution (à cet égard, voy. C.E., n°246.532 du 23 décembre 2019 et C.E., n° 253.677 du 6 mai 2022).
- Dans un second cas de figure, le marché public ne nécessite pas de traitement de données pour le compte du pouvoir adjudicateur. Tel est, par exemple, le cas d’un marché de construction d’un bâtiment.
Dans ce cas, le pouvoir adjudicateur ne doit pas conclure de contrat de traitement avec l’adjudicataire (en ce sens, voy. L’avis de la Commission des marchés publics du 5 décembre 2018). C’est l’adjudicataire qui est le responsable de traitement, et non le pouvoir adjudicateur.
En principe, le pouvoir adjudicateur ne devrait pas prêter une attention particulière au respect du RGPD par le sous-traitant dans son cahier spécial des charges, et l’offre du soumissionnaire ne devrait, normalement, pas aborder le sujet.
Pour des motifs particuliers liés au marché en question, le pouvoir adjudicateur pourrait toutefois inscrire, dans son cahier spécial des charges, le respect du RGPD en exigence minimale. L’offre d’un opérateur économique devra, dès lors, respecter le RGPD, sous peine d’irrégularité substantielle de son offre au sens de l’article 76 de l’arrêté royal du 18 avril 2017, sauf, à nouveau, dans l’hypothèse d’une procédure négociée, dans certaines circonstances.
- La jurisprudence du Conseil d’Etat apportera certainement d’autres précisions en la matière.
Nous attirons toutefois déjà l’attention des deux parties, pouvoir adjudicateur et soumissionnaire, sur l’importance du respect du RGPD dans le cadre de la passation de marchés publics.