Vergabekammer Baden-Württemberg : Transmission de données par toute possibilité théorique d’accès ?

FR DE EN

David Vasella

sur le site

03.08.2022

Branches

Fournisseurs de cloud et d’informatique

Autorité

Vergabekammer BaWü

Lois

Thèmes

Annonce à l’étranger, Droit des marchés publics

Vente à emporter (AI)

Le Vergabekammer Baden-Württemberg a considéré qu’une possibilité d’accès latente aux États-Unis était suffisante pour supposer un transfert de données non autorisé en vertu du RGPD.
Critique : la chambre a omis d’examiner concrètement la probabilité réelle d’un accès des autorités américaines et le droit américain applicable.
Conclusion de l’auteur : les considérations du Royaume-Uni sont trop larges ; une acceptation globale de toute possibilité d’accès théorique est juridiquement infondée.

Le Vergabekammer Baden-Württemberg (VK) a rendu le 13 juillet 2022 (réf. 1 VK 23/22) un arrêt non exécutoire Décision prisequi a fait des vagues (voir par exemple les Cabinet de l’adjudicataire, une Discussion sur Twitter et les Note de Martin Steiger).

Il s’agissait d’un appel d’offres lancé par un organisme public, auquel avaient participé le soumissionnaire retenu jusqu’alors et une concurrente (cette dernière étant la “partie invitée” dans la décision). Cette concurrente avait présenté dans la procédure filiale établie dans l’UE d’un fournisseur de services en nuage ayant des sociétés du groupe aux États-Unis en tant que sous-traitant a été mentionnée. Il ressort de la décision que celle-ci ne ferait pas appel à d’autres sociétés aux États-Unis en tant que sous-traitants.

Le marché a d’abord été attribué au soumissionnaire retenu. La concurrente s’y est opposée et l’appel d’offres a été renouvelé. Une partie du cahier des charges prévoyait alors que les Exigences du RGPD être remplie. En conséquence, le soumissionnaire retenu a demandé La concurrente doit être exclue de la procédure d’adjudicationLa Commission a décidé de ne pas donner suite à cette demande, notamment parce que les conditions susmentionnées n’étaient pas remplies.

Arguments des parties

Le soumissionnaire retenu a fait valoir, en substance, que son concurrent utilisait des un exploitant de centre de données dont la société du groupe est établie dans des pays tiers. EIl y aurait un transfert illicite vers les États-Unis, parce que le “droit de surveillance américain” crée un “risque latent” qu’il y ait un transfert effectif vers les États-Unis. Il s’agit déjà d’un transfert au sens du RGPD 44 et suivants.

Le soumissionnaire perdant a fait valoir, en revanche, que

une transmission présuppose toujours un traitement de données (selon le RGPD 4, point 2) : “traitement [désigne] toute opération […] portant sur des données à caractère personnel, telle que […] la divulgation par transmission, diffusion ou toute autre forme de mise à disposition […]”.). Or, une possibilité d’accès théorique ne constitue pas un traitement et n’est donc pas non plus un transfert vers un pays tiers.
Indépendamment de cela, un transfert – s’il y en a un – serait légitimé par les clauses contractuelles types qui s’appliquent selon les documents contractuels. Des dispositions complémentaires sont également convenues, qui mettent en œuvre les “mesures supplémentaires” exigées par la CJCE.

Considérations de l’autorité adjudicatrice

Le Royaume-Uni considère qu’il s’agit d’un transfert illicite vers les États-Unis :

La notion de transfert est certes mentionnée dans le RGPD 4, point 2, comme exemple de traitement, mais la notion de “divulgation par transfert” au sens du RGPD 4, point 2, n’est pas la même que la notion de “transfert” au sens du RGPD 44 et suivants. Au contraire, toute divulgation, même sans traitement, est suffisante.
Une telle divulgation doit être admise dès lors que des données personnelles sont placées sur une plate-forme accessible depuis un pays tiers, “indépendamment du fait que l’accès soit effectif ou non”. Une La possibilité d’accès constitue “un risque latent qu’un transfert non autorisé de données à caractère personnel puisse avoir lieu”..
Selon le contrat du fournisseur de services informatiques en nuage, les données des clients peuvent être divulguées, entre autres, si cela est nécessaire pour se conformer à la loi ou à des injonctions effectives et exécutoires des autorités publiques. Certes, les demandes trop larges ou inappropriées des autorités publiques doivent être contestées. Ces dispositions offrent néanmoins aux autorités publiques et privées américaines la possibilité d’accéder aux données des clients. Ce risque latent suffit à justifier un transfert illicite :
Il n’est donc pas important de savoir si et dans quelle mesure la survenance des circonstances énoncées dans les deux clauses, qui sont nécessaires pour un accès dans un cas particulier, est évidente. Enfin, le risque latent peut se concrétiser à tout moment. En concluant un accord avec [le fournisseur de services informatiques en nuage], la partie défenderesse perd, en tout cas partiellement, son pouvoir d’influence sur les données confiées au [fournisseur de services informatiques en nuage].
L’obligation de contester certaines demandes n’élimine pas le risque latent d’accès, a‑t-il ajouté.
La technique de cryptage utilisée par le soumissionnaire perdant n’est pas non plus suffisante. Le jury n’a toutefois pas examiné ce point sur le fond, car le fournisseur de services informatiques en nuage ne souhaitait (ou ne pouvait) divulguer les documents correspondants qu’à la condition qu’ils ne soient communiqués aux autres parties qu’après avoir été expurgés ; de tels documents ne doivent pas faire partie du dossier du jury.
Les CCP “ne permettent pas de légitimer les transferts en soi ; il faut plutôt procéder à un examen au cas par cas”. Cette dernière conduit à l’hypothèse de l’irrecevabilité au regard de la législation sur la protection des données.

Notes

Les considérations du Royaume-Uni doivent être rejetées. La VK s’est rendue la tâche beaucoup trop facile. Si elle est effectivement d’avis que la possibilité théorique d’accès par les autorités américaines constitue déjà une transmission au sens du RGPD 44 et suivants, elle aurait dû vérifier s’il existe effectivement une possibilité d’accès par les autorités américaines, ce qu’elle a toutefois omis de faire (voir ci-dessous). Mais son interprétation large de la notion de transmission est également aberrante. Le fait que le Royaume-Uni parle de “transmission” et n’utilise donc pas les termes de manière cohérente montre également qu’il ne s’est pas suffisamment penché sur ces questions.

Notion de transmission

Question préalable, mais en fait secondaire : transmission comme traitement ?

Le Royaume-Uni veut Transmission au sens du RGPD 44 et suiv. pas comme un cas d’application du traitement comprendre. Il semble qu’elle veuille justifier le fait qu’aucun traitement n’est nécessaire pour la transmission et que cette dernière inclut par conséquent toute possibilité d’accès, même à distance.

Pour son interprétation de la notion de transmission, le Royaume-Uni peut certes s’appuyer prima vista sur la version anglaise du RGPD, car celle-ci fait effectivement la distinction entre la transmission au sens du RGPD 4, point 2, c’est-à-dire en tant que cas d’application du traitement (en allemand : “Offenlegung durch Übermittlung”, en anglais “disclosure by transmission”), et celle selon le RGPD 44 et suivants (en allemand également “Übermittlung”, mais en anglais désormais “.transfert„).

Mais le RU oublie que le RGPD ne s’applique pas aux “transfert” très bien également dans la version anglaise comme un traitement comprend. Le RGPD 28(3)(a) exige que le sous-traitant

processes les données à caractère personnel que sur instructions documentées du contrôleur, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers […] ;

C’est encore plus clair dans le RGPD 48, la disposition qui renvoie à l’entraide judiciaire pour les transmissions en vertu du droit étranger. Le RGPD 48 dit dans le texte allemand

[…] toute décision d’une autorité administrative d’un pays tiers par laquelle […] la Transmission ou divulgation de données à caractère personnel […].

Analogue à la version anglaise :

[…] toute décision d’une autorité administrative d’un pays tiers exigeant […] de transférer ou divulguer données personnelles […]

Il y a donc une distinction claire entre une transmission (“transfer”) et une “disclosure”, qui doit donc être autre chose que le transfert.

La CJCE considère également la transmission au sens du RGPD 44 et suivants comme un traitement. La CJCE a, dans Schrems II au no 83, il est précisé que

[…] le transfert de données à caractère personnel d’un État membre vers un pays tiers constitue en soi un traitement de données à caractère personnel au sens de l’article 4, point 2, du RGPD, effectué sur le territoire d’un État membre.

La CC ne pouvait donc manifestement pas dire que la transmission en vertu du RGPD 44 et suivants comprenait globalement une divulgation. Mais même si c’était le cas, elle aurait dû répondre à la question, dans quelles conditions il faut partir du principe d’une telle divulgation. Le fait que toute possibilité théorique suffise ne découle en tout cas pas lui-même de la compréhension très large du Royaume-Uni.

Question principale : Quand une possibilité d’accès entraîne-t-elle une “transmission” ?

La question principale est donc de savoir quel doit être le degré de réalisme d’une possibilité d’accès pour qu’elle puisse constituer un “transfert” au sens du RGPD 4 et suivants. La Grande-Bretagne n’aurait pas dû se contenter d’une herméneutique superficielle du RGPD. Il est clair que pas chaque possibilité d’accès théorique couvert par le RGPD 44 et suivants :

L’argument du Royaume-Uni selon lequel une La transmission n’a pas besoin d’être traitée est fausse, comme nous l’avons vu.. Mais il ne pourrait de toute façon pas encore répondre à la question de savoir dans quelles conditions un accès théorique devient une “transmission”.
S’il est vrai qu’une transmission peut également avoir lieu par le fait que le destinataire des données est Accès accordé (p. ex. stockage sur un serveur avec communication d’un login). Cela ne signifie toutefois pas que tout accès théorique est suffisant. Si c’était le cas, il faudrait chaque traitement un transfert vers un pays tiers, ne serait-ce que parce que le risque de piratage informatique à partir d’un pays tiers n’est jamais nul.
Les exigences en matière d’accès ne partent pas de zéro. Cela découle directement du RGPD, non pas de la sémantique, mais de concepts fondamentaux. En fin de compte, l’échelle pour déterminer quand il y a transfert est la même que pour savoir si une donnée est anonyme ou pseudonyme n’est pas possible. En effet, les deux concepts présupposent que l’accès à un ensemble de données par une personne disposant de connaissances supplémentaires permettant de l’identifier est exclu. Et même avec l’anonymisation et la pseudonymisation personne ne demande d’exclure toute possibilité d’accès théorique:
- En ce qui concerne l’examen du lien avec les personnes, le considérant 26 indique qu’il convient de prendre en considération tous les moyens qui “peuvent être raisonnablement envisagés”. probablement être utilisésLe Comité estime qu’il faut tenir compte de tous les facteurs pertinents. Il convient de tenir compte de “tous les facteurs objectifs”, tels que “le coût de l’identification et le temps nécessaire pour y parvenir”. Cela signifie que toutes les possibilités d’identification théoriques ne sont pas suffisantes. Si tel était le cas, il n’y aurait en fait plus de données factuelles, ce qui n’est clairement pas l’objectif du RGPD et ne doit pas l’être.
- En outre, le RGPD dit à l’article 4, point 5, concernant la Pseudonymisation, celle-ci suppose que les informations complémentaires d’identification soient “conservées séparément et sont soumis à des mesures techniques et organisationnellesLes TOM sont des “mesures visant à garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable”. La référence aux TOM attribue cette question à la sécurité des données, et l’on sait que celle-ci n’exige pas une protection totale, mais une protection adéquate. Cela montre une fois de plus que toute possibilité d’identification théorique n’est pas suffisante.
Il en ressort clairement que le critère pour le transfert au sens du RGPD 44 et suivants est un probabilité suffisante est qu’un destinataire dans un pays tiers aura accès aux données en question. Comme La probabilité que cela soit le cas est ouverte, mais il est clair que toute possibilité théorique n’est pas suffisante. En outre, la probabilité peut être abaissée par des TOM appropriés, et c’est bien entendu la probabilité restante qui est déterminante.

Cette probabilité est pas une question d’approche basée sur le risquemais un élément constitutif du transfert conformément au RGPD 44 et suivants. En d’autres termes :

Si des données personnelles sont transmises à un exportateur aux États-Unis de telle sorte qu’il possède effectivement ces données, il y a eu transfert. Une autre question se pose alors, à savoir si les CCP sont suffisants, et dans ce contexte, l’approche basée sur les risques joue un rôle. Il s’agit pas la présente affaire.
En revanche, si, comme ici, il est déjà douteux si des données personnelles sont transmises à un service aux États-Unis parce qu’il n’est pas clair si ce service peut de manière réaliste accéder à ces données personnelles – sous une forme identifiable -, il découle de la notion de transmission que la probabilité de cette possibilité d’accès est déterminante.

Le Royaume-Uni aurait donc dû répondre la probabilité qu’une agence américaine L’autorité de protection des données a donc vérifié si la personne concernée pouvait avoir accès à des données personnelles ou, en d’autres termes, si cette possibilité d’accès était réaliste ou simplement théorique. Sans cet examen, elle ne pouvait pas partir du principe d’une transmission. Encore une fois, il ne s’agit pas d’une question d’approche basée sur le risque, mais d’une question préalable, à savoir s’il faut partir du principe qu’il y a eu un transfert.

Dans ce contexte, il n’est malheureusement pas précisé ce que la solution proposée par le fournisseur de services informatiques en nuage ou utilisée par sa cliente peut faire. Cryptage en ce qui concerne le risque d’accès depuis les Etats-Unis, parce que l’autorité adjudicatrice n’a pas voulu verser les documents correspondants au dossier sous une forme expurgée (sans motiver juridiquement sa décision, si ce n’est par une référence globale au droit d’être entendu). Or, dans la mesure où les clients du fournisseur de services informatiques en nuage cryptent les données des clients de telle sorte que le fournisseur de services informatiques en nuage ne puisse pas utiliser lui-même la clé et/ou qu’il ne puisse pas rechercher dans les données des clients des personnes ciblées par les autorités américaines, un accès par les autorités américaines et donc une transmission seraient exclus.

Risques d’accès selon le droit américain

Le Royaume-Uni aurait donc dû s’intéresser de plus près au droit américain, ce qu’il a également omis de faire. Dans ce contexte, il semblait s’agir du Loi sur les communications stockées (SCA) – qui a été modifié par le CLOUD Act. Dans ce cas, le Royaume-Uni aurait dû vérifier les conditions d’accès :

La CJCE a jugé dans Arrêt Schrems II en ce qui concerne les États-Unis, seuls le FISA et l’OE 12333 ont été considérés comme problématiques, c’est-à-dire incompatibles avec les principes européens (les “garanties essentielles”). Le SCA permet certes aussi des accès des autorités, dans le cadre d’une procédure pénale, mais dans un cadre reconnu en Europe. Le SCA n’est donc normalement pas un problème. Mais le Royaume-Uni a sans doute pensé ici à l’accord déjà mentionné. Art. 48 (“[…] toute décision d’une autorité administrative d’un pays tiers demandant […] le transfert ou la divulgation de données à caractère personnel ne peut en tout état de cause être reconnue ou rendue exécutoire, sans préjudice d’autres motifs de transfert au titre du présent chapitre, que si elle est fondée sur un instrument international en vigueur, tel qu’un accord d’entraide judiciaire entre le pays tiers demandeur et l’Union ou un État membre”). Si une société de l’UE était obligée par le fournisseur de services en nuage de fournir des informations aux autorités américaines en vertu du SCA, une violation de cette disposition serait envisageable.
Le SCA présuppose toutefois qu’il existe aux États-Unis une Compétence existe (jurisdiction). Le fait que cela soit le cas en ce qui concerne la filiale européenne du fournisseur de cloud est loin d’être clair et n’a pas été vérifié.
Un fournisseur de services informatiques en nuage soumis à la juridiction américaine ne serait pas non plus tenu de fournir des données, à laquelle elle n’a pas raisonnablement accès. La question de savoir si c’était le cas en l’espèce dépend entre autres des mesures techniques et organisationnelles prises par le fournisseur de services informatiques en nuage pour limiter l’accès en clair de ses sociétés américaines, notamment des mesures de cryptage.
En outre, la CC aurait dû examiner si une injonction de restitution serait également exécutée à l’encontre de l’art. 48 RGPD – et éventuellement des dispositions analogues du droit applicable à la filiale européenne du fournisseur de services cloud. En effet, les tribunaux américains pourraient, sur la base d’une Analyse de la parité conclure qu’une menace de violation, par exemple de l’article 48 du RGPD, est suffisante pour annuler une ordonnance de divulgation.

Pertinence du droit étranger uniquement en cas d’applicabilité concrète

Le Royaume-Uni aurait dû examiner ces questions avec soin. Un renvoi global au Arrêt Schrems II ne peut pas remplacer cela, car le La CJCE avait constaté l’insuffisance de certaines bases juridiques du droit américain de manière générique La Commission a constaté que le Privacy Shield n’était pas un instrument de protection des données, mais un instrument de protection de la vie privée, c’est-à-dire qu’il ne confère pas en soi une protection adéquate, sans qu’il soit nécessaire d’examiner plus avant la question de son applicabilité.

En l’occurrence, la question pertinente n’aurait toutefois pas été de savoir si le droit américain est déficitaire sur certains points, mais si le droit déficitaire – ou, dans le cas de la SCA, le droit autre – est à l’application en général est à l’ordre du jour. Cet examen n’a à nouveau rien à voir avec l’approche fondée sur le risque, mais la précède – ou précède également l’approche du risque zéro – en tant que question préalable. En effet, contrairement à l’évaluation de la CJCE et comme pour les CSC, il ne s’agit pas ici d’évaluer le droit américain en soi, mais son effet dans un scénario donné.

En référence à la Clauses standard la CJCE a également constaté (ch. 141) qu’il n’y a pas de

doit être considérée comme une violation de ces clauses si une obligation découlant de la loi du pays tiers de destination est respectéeLes données personnelles sont traitées dans le cadre d’une politique de protection des données qui va au-delà de ce qui est nécessaire à des fins telles que celles mentionnées ci-dessus.

Cela montre l’évidence qu’une base juridique déficiente – ou ici le SCA – ne s’oppose pas à un transfert sur la base du SCC, tant que cette base juridique s’applique aux données transmises non applicable n’est pas respectée. Pour la même raison, la clause 14 de la CSC prévoit que les parties s’engagent à

de n’avoir aucune raison de croire que […] la législation et les pratiques du pays tiers de destination […] empêcheront l’importateur de données de Accomplissement de ses obligations conformément à ces clauses empêchent.

Il s’agit donc toujours du droit local, qui s’applique dans un cas concret et doit être examiné en conséquence.

Cela n’a – encore une fois – rien à voir avec une approche basée sur le risque. Il ne s’agit pas de quantifier, le cas échéant, l’acceptation d’un risque d’accès sur la base du droit américain, mais de savoir si des possibilités d’accès existent en vertu de ce droit (à moins de supposer que les États-Unis agissent de manière générale sans base juridique, ce que les autorités européennes ne font pas jusqu’à présent, du moins pas ouvertement).

Dans ce contexte, les explications du Vergabekammer ne font tout d’abord pas jurisprudence. Trop de questions juridiques et factuelles sont restées sans réponse et non posées. Mais elles doivent également être rejetées sur le fond et sur le résultat. Elles auraient pour conséquence directe qu’à l’avenir, tout concurrent ayant le moindre lien avec les États-Unis pourrait être éliminé par des affirmations péremptoires, et pour conséquence indirecte que tout risque devrait être exclu pour tout traitement de données et qu’il n’y aurait plus d’anonymisation ni de pseudonymisation – le RGPD serait alors vraiment “the law of everything”. Ce serait non seulement absurde, mais aussi tout simplement en dehors des compétences législatives de l’UE.

Ver­ga­be­kam­mer Baden-Würt­tem­berg : Trans­mis­si­on de don­nées par tou­te pos­si­bi­li­té thé­o­ri­que d’accès ?

Argu­ments des parties

Con­sidé­ra­ti­ons de l’au­to­ri­té adjudicatrice

Notes

Noti­on de transmission

Que­sti­on pré­alable, mais en fait second­ai­re : trans­mis­si­on com­me traitement ?

Que­sti­on prin­ci­pa­le : Quand une pos­si­bi­li­té d’ac­cès ent­raî­ne-t-elle une “trans­mis­si­on” ?

Ris­ques d’ac­cès selon le droit américain

Per­ti­nence du droit étran­ger uni­quement en cas d’ap­pli­ca­bi­li­té concrète