Le Vergabekammer Berlin (VK Berlin) a, dans le cadre d’une procédure d’adjudication avec Décision du 24 septembre 2020 a fait des remarques intéressantes sur la protection des données. Le marché portait sur des services d’interprétation par téléphone. Le soumissionnaire retenu a fait valoir que l’attribution du marché était nulle parce que l’offre retenue n’était pas conforme à la législation sur la protection des données :
Selon la requérante, il y aurait les exigences en matière de protection des données pour la fourniture de services malgré l’anonymisation/la pseudonymisation par la partie défenderesse. Une pseudonymisation ne répondrait pas aux exigences de l’article 32 du RGPD. La voix et le contenu de la conversation sont des données à caractère personnel.. Le dossier d’appel d’offres ne contenait initialement aucune déclaration concrète sur les exigences en matière de protection des données auxquelles devaient répondre les offres des soumissionnaires, ce qui ne dégageait toutefois pas le défendeur de sa responsabilité quant au respect des exigences en matière de protection des données.
l’offre de la partie adverse doit être exclue en raison de l’absence de cryptage. Le défendeur n’a pas vérifié le respect des exigences en matière de protection des données dans le cadre de l’évaluation des offres. De même, le défendeur n’aurait dû sélectionner, dans le cadre de l’examen de qualification, que des sous-traitants offrant des garanties suffisantes quant au respect des dispositions du RGPD.
La VK Berlin rejette le recours du soumissionnaire évincé, notamment pour les raisons suivantes :
Selon l’article 4, point 1, du RGPD, les données à caractère personnel sont des données qui permettent d’identifier une personne physique. Il est vrai que l’interprète peut éventuellement reconnaître l’origine de la personne qu’il conseille à partir de sa voix. En revanche, il n’est pas possible de procéder à une identification sur la seule base de la voix. De même, la possibilité fictive d’identification ne suffit pas à qualifier une donnée de donnée à caractère personnel.qui déclenche les obligations prévues par le RGPD (cf. Schild in : BeckOK Datenschutzrecht, Wolff/Brink, 33e édition, état : 01.08.2020, RGPD Art. 4, point 18).
La suite de l’explication concernant la “collecte” de données personnelles est également intéressante :
Si la personne à conseiller divulgue de sa propre initiative des données à caractère personnel sans y être invitée par le personnel de l’office compétent, il ne s’agit pas d’un traitement de données à caractère personnel. par le défendeur ou l’office compétent, ce qui déclenche des obligations en vertu du RGPD. En effet, selon le RGPD, les données à caractère personnel doivent être protégées lors du traitement. Selon l’article 4, point 2, du RGPD, on entend par traitement toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte ou l’enregistrement. Si la personne à conseiller divulgue des données de sa propre initiative, celles-ci ne sont pas collectées par le défendeur ou l’office compétent, mais lui reviennent.. En effet, la collecte présuppose un acte actif de la part de l’organisme collecteur (voir Schild in : BeckOK Datenschutzrecht, Wolff/Brink, 33e édition, état au 01.08.2020, RGPD, art. 4, point 35 s.). Ces informations dites “imposées” ne doivent être protégées par le client que lorsqu’il souhaite les traiter et les utiliser.. Or, rien n’indique en l’espèce que le traitement de telles informations imposées soit envisagé par le client. Au contraire, le défendeur a déclaré qu’en règle générale, les personnes à conseiller ne s’expriment pas du tout. Le demandeur n’a pas non plus affirmé que le défendeur ou l’office compétent souhaitait traiter de telles informations. La chambre estime que la transmission par la ligne téléphonique ne constitue pas un traitement au sens de l’article 4, point 2, du RGPD. Si le collaborateur responsable prend des notes sur ce qui a été dit, il est tenu de respecter les obligations en matière de protection des données.mais pas le contractant.
Ainsi, non seulement cette “accumulation” de données ne donne pas lieu à une obligation d’information, mais la législation sur la protection des données ne s’applique pas du tout, car le destinataire n’utilise pas ces données volontairement.