OLG Karlsruhe, Beschluss vom 07.09.2022 – 15 Verg 8/​22 – openJur

Les faits

Une société alle­mande de droit public active dans le milieu hospi­ta­lier lance un appel d’offres pour l’ac­qui­si­tion d’une solu­tion infor­ma­tique dans le cadre d’une procé­dure de marché public ouverte dans toute l’Union euro­péenne. Les critères de l’appel d’offres contiennent des exigences en matière de protec­tion des données et de sécu­rité infor­ma­tique. La solu­tion infor­ma­tique doit être conforme au RGPD et les centres d’hébergement doivent être situés exclu­si­ve­ment dans l’Espace écono­mique européen.

Le marché est attri­bué à A. Cette dernière ne four­nit pas l’entier de la pres­ta­tion deman­dée elle-même, mais recourt aux services cloud du sous-trai­tant B (Amazon Web Services EMEA S.à r.l.) basé au Luxembourg, une filiale de la société C (Amazon Web Services, Inc.) basée aux États-Unis. B assure que ses serveurs sont tous situés en Allemagne ou sur le terri­toire de l’Union euro­péenne. Le sous-trai­tant four­nit par ailleurs une garan­tie écrite qu’il ne divul­guera pas les données récol­tées à un tiers, sauf si cela est néces­saire pour se confor­mer à la loi ou à un ordre valable et contrai­gnant d’une auto­rité. Il s’engage dans ce contexte à contes­ter les demandes trop larges ou inap­pro­priées, en parti­cu­lier celles ne respec­tant pas le cadre euro­péen rela­tif à la protec­tion des données.

Un soumis­sion­naire concur­rent attaque cette attri­bu­tion auprès de la Vergabekammer du Bade-Wurtemberg en repro­chant à l’offre de A de ne pas être conforme au RGPD en raison du recours au sous-trai­tant B et de son lien de subor­di­na­tion avec C. Le recours aux services cloud sur sol euro­péen, mais dont la société mère est améri­caine implique, selon lui, un trans­fert de données illi­cite vers les États-Unis, et ce indé­pen­dam­ment du lieu d’hébergement des données. En raison des possi­bi­li­tés d’accès des auto­ri­tés améri­caines réser­vées par le Cloud Act, il existe au moins un risque latent que ces dernières puissent accé­der aux données exter­na­li­sées ; cela suffit déjà pour recon­naître l’existence d’un trans­fert au sens des art. 44 ss RGPD. Or, selon l’arrêt Schrems II de la CJUE, les États-Unis ne disposent pas d’une légis­la­tion jugée adéquate du point de vue du RGPD. Ce trans­fert doit par consé­quent être quali­fié d’illicite.

A se défend en arguant qu’une simple possi­bi­lité théo­rique d’ac­cès depuis l’étran­ger ne consti­tue pas un trans­fert vers ce pays au sens des art. 44 ss RGPD. En outre, A et B ont pris toutes les dispo­si­tions complé­men­taires exigées par la juris­pru­dence Schrems II lors de l’implication d’un pays tiers dans un trai­te­ment de données. Non seule­ment ils ont fait usage des clauses contrac­tuelles types en matière de protec­tion des données (CCT), mais les données sont aussi chif­frées de sorte qu’elles ne peuvent de toute manière pas être lues par des tiers non auto­ri­sés. Finalement, B s’est engagé contrac­tuel­le­ment vis-à-vis de A à assu­rer la pres­ta­tion deman­dée confor­mé­ment aux règle­men­ta­tions de l’Union euro­péenne et de l’Allemagne. Il n’existe ainsi aucun élément concret qui indi­que­rait un futur non-respect des dispo­si­tions du RGPD.

La déci­sion de la Vergabekammer du Bade-Wurtemberg (1 VK 23/​22)

Par déci­sion du 13 juillet 2022, la Vergabekammer du Bade-Wurtemberg donne raison au soumis­sion­naire concur­rent et ordonne l’ex­clu­sion de A du marché public. En raison du recours à B dont la société mère est améri­caine, elle juge que la pres­ta­tion ne serait pas conforme au RGPD comme l’exigent les critères fixés par l’appel d’offres. Elle estime que le recours aux services cloud de B consti­tue un trans­fert illi­cite de données vers les États-Unis.

Pour arri­ver à ce résul­tat, la Vergabekammer procède à l’analyse de l’expression « trans­fert de données » prévue à l’art. 44 RGPD. Elle parvient à la conclu­sion que celle-ci doit être comprise non pas comme un trai­te­ment, mais comme toute divul­ga­tion de données. Le recours à B en tant que four­nis­seur de services cloud consti­tue ainsi un trans­fert de données au sens des art. 44 ss RGPD.

L’utilisation de l’in­fra­struc­ture d’hé­ber­ge­ment de B comporte un « risque latent » d’ac­cès par des orga­nismes tant publics que privés en dehors de l’UE, notam­ment aux États-Unis, peu importe que ce dernier ait son siège dans l’UE et que le stockage des données doive se faire exclu­si­ve­ment sur des serveurs en Allemagne ou dans l’UE. Un tel risque latent peut se concré­ti­ser à tout moment. Il suffit à conclure à l’existence d’un trans­fert de données.

Le RGPD n’au­to­rise pas le trans­fert de données vers un pays tiers à moins que des garan­ties spéciales ne soient prévues (sur la ques­tion, cf. www​.swiss​pri​vacy​.law/45). Depuis l’arrêt Schrems II, l’usage seul des CCT n’est pas de nature à rendre licite le trans­fert de données vers les États-Unis et A ne démontre pas concrè­te­ment en quoi le chif­frage des données permet de proté­ger ces dernières d’un accès par des tiers. En concluant un contrat avec B, A perd, partiel­le­ment en tout cas, son pouvoir d’influence sur les données dont il est responsable.

Dans le cas présent, le recours aux services de B consti­tue ainsi un trans­fert illi­cite de données vers les États-Unis.

Saluée par certains, cette déci­sion n’a pas fait l’unanimité, y compris auprès de l’Autorité de protec­tion des données du Bade-Wurtemberg. Dans une prise de posi­tion du 15 août 2022, cette dernière a quali­fié de douteuse l’assimilation faite par la Vergabekammer entre le risque d’accès et le trans­fert de données. Même si elle recon­naît que l’approche fondée sur les risques est géné­ra­le­ment trop favo­rable au respon­sable du trai­te­ment, elle est d’avis que l’approche adop­tée par la Vergabekammer du Bade-Wurtemberg consti­tue un revi­re­ment de pratique brutal préju­di­ciable aux respon­sables du traitement.

Le juge­ment de l’Oberlandesgericht de Karlsruhe (15 Verg 8/​22)

Par juge­ment du 7 septembre 2022, l’Oberlandesgericht de Karlsruhe casse la déci­sion du 13 juillet 2022 de la Vergabekammer du Bade-Wurtemberget confirme l’attribution du marché public à A.

Elle relève qu’en signant les contrats spéci­fiques conte­nant des garan­ties rela­tives au respect de la légis­la­tion euro­péenne en matière de protec­tion des données impo­sées par A, B fait une promesse de pres­ta­tion claire et sans équi­voque dans laquelle elle garan­tit que le trai­te­ment des données non seule­ment ne quit­te­rait pas l’Union euro­péenne, mais se ferait unique­ment en Allemagne. C’est dans le sens d’une telle promesse contrai­gnante que le pouvoir adju­di­ca­teur a égale­ment compris les décla­ra­tions de A dans les docu­ments d’ad­ju­di­ca­tion. Le pouvoir adju­di­ca­teur pouvait légi­ti­me­ment se fier à cette promesse de pres­ta­tion. Contrairement à ce que pense le concur­rent évincé, le seul fait que B soit une filiale d’un groupe améri­cain ne doit pas faire douter le pouvoir adju­di­ca­teur de la possi­bi­lité de remplir la promesse de pres­ta­tion. Rien ne permet de dire qu’en raison du lien exis­tant entre B et la société mère améri­caine, des instruc­tions contraires à la loi et au contrat seraient données à B ou que B, en tant que filiale euro­péenne de C, suivrait, par l’in­ter­mé­diaire de ses direc­teurs, des instruc­tions de la société mère améri­caine qui sont contraires à la loi.

Appréciation

De manière un peu déce­vante, l’Oberlandesgericht de Karlsruhe ne se prononce pas (direc­te­ment) sur les ques­tions de protec­tion des données sous-jacentes, mais fonde son raison­ne­ment du seul point de vue contrac­tuel. On ne trouve ainsi aucun raison­ne­ment concer­nant le fait que la Vergabekammer du Bade-Wurtemberg assi­mile le recours à des services cloud euro­péens propo­sés par un four­nis­seur améri­cain à un trans­fert de données illi­cite vers les États-Unis.

Selon l’opinion que nous défen­dons, il n’est toute­fois pas possible de répri­mer un acte illi­cite qui ne s’est pas encore réalisé au seul motif qu’il existe un risque – peut-il alors être autre chose que « latent » ? – qu’il ne se réalise. Une analo­gie inté­res­sante peut être faite ici avec la circu­la­tion routière. Dès le moment où un véhi­cule est mis en circu­la­tion, on accepte le risque que non seule­ment le conduc­teur, mais aussi des tiers (autres usagers, cyclistes, piétons) puissent subir un acci­dent. Ce risque est même très préci­sé­ment quan­ti­fié. Selon les chiffres de l’Office fédé­ral de statis­tique, l’année 2021 a connu 20’794 victimes de la route en Suisse dont 200 tuées, 3993 grave­ment bles­sées et 16’601 légè­re­ment bles­sées. Il s’agit donc d’un risque élevé et concret. Pour y remé­dier, la légis­la­tion en matière de circu­la­tion routière fixe de nombreuses règles de compor­te­ment à respec­ter. Ces règles sont renfor­cées par des dispo­si­tifs de sécu­rité comme l’installation de cein­tures ou d’airbags, la pose de radars ou des contrôles de police. Mais le risque demeure et des acci­dents surviennent.

Cette même concep­tion se retrouve dans la légis­la­tion sur le fait des produits défec­tueux, dans la légis­la­tion sur la recherche sur l’être humain, dans la légis­la­tion sur les produits théra­peu­tiques ou encore dans la légis­la­tion bancaire et finan­cière. On accepte l’exis­tence d’un risque rési­duel, car il n’y a pas vrai­ment d’alternative. Pourquoi devrait-il en aller diffé­rem­ment dans la légis­la­tion sur la protec­tion des données ? Dans une inter­view récente, la Préposée zuri­choise à la protec­tion des données a déclaré que l’uti­li­sa­tion de services cloud améri­cains devrait être inter­dite même si la proba­bi­lité d’un accès illi­cite était de 0,0001 pour cent. Il va sans dire que le droit fonda­men­tal à la protec­tion des données est un droit très précieux et qu’il doit être protégé. Mais est-il plus précieux que l’intégrité physique, la vie ou le patri­moine au point de justi­fier la créa­tion d’un nouveau régime de respon­sa­bi­lité sans précé­dent qui rejette entiè­re­ment le risque ?