Schrems II ne rend pas automatiquement irrégulière toute attribution à un partenaire cloud américain — si le DPO a analysé concrètement le flux de données, l'attribution tient
Le Conseil d'État rejette la deuxième demande de suspension contre l'attribution de la Centrale de mobilité flamande à ViaVan (filiale d'un groupe américain, utilisant AWS) parce que la Région flamande, après une première suspension, a étendu sa motivation avec un examen concret par son Délégué à la protection des données, et parce que la thèse selon laquelle aucune mesure complémentaire RGPD ne pourrait jamais résoudre la situation — pas même un chiffrement avec gestion des clés en interne — n'est pas crédible.
Que s'est-il passé ?
Le 2 avril 2021, la Région flamande attribue le marché public d'aménagement et d'exploitation de la Centrale de mobilité (cadre du décret accessibilité de base) à la BV ViaVan Technologies — filiale à 100 % de l'américain Via Transportation Inc., recourant pour l'exécution à River North Transit LLC (USA) et à Amazon Web Services. Par arrêt 250.599 du 12 mai 2021, le Conseil d'État suspend cette première attribution. Le Conseil constate prima facie que ViaVan est une filiale américaine utilisant AWS, que le marché implique un traitement à grande échelle de données personnelles — y compris données de santé, données de personnes vulnérables, identifiants uniques — et que le pouvoir adjudicateur n'avait pas motivé comment l'offre pouvait être conforme au RGPD au regard de l'arrêt Schrems II. Le 16 juillet 2021, la Région retire la première décision et attribue à nouveau à ViaVan le même jour. La nouvelle motivation comporte une section 'Régularité matérielle' étendue, exposant un examen séparé par le DPO du département Mobilité et Travaux Publics. Le DPO conclut que toutes les offres respectent les garanties minimales en matière de protection des données. Pour ViaVan : 'Le transfert vers des pays hors EER peut jouer ici, mais rien n'indique pour l'instant que ce transfert ne pourrait avoir lieu conformément aux mécanismes en vigueur.' Qarin et RMC introduisent une nouvelle requête en référé d'extrême urgence le 3 août 2021. Premier moyen, en trois branches : absence de mécanisme de transfert valide post-Schrems II, mesures de sécurité insuffisantes (article 32 RGPD), absence d'accord de sous-traitance (article 28.3 RGPD). Second moyen : la non-disqualification de l'offre comme 'insuffisante' ou 'moyenne' sur le sous-critère 'Architecture ICT'. Le Conseil rejette les deux moyens. Schrems II a invalidé le Privacy Shield mais a expressément confirmé la validité des Clauses Contractuelles Types. Les Recommandations 01/2020 et 02/2020 du CEPD prévoient des mesures complémentaires (chiffrement avec maîtrise des clés en interne, pseudonymisation). La thèse 'aucune mesure ne peut aider' méconnaît la façon dont ces mesures opèrent. L'avis VTC invoqué était limité à quatre cas spécifiques. Rien n'empêche des arrangements contractuels complémentaires. Le second moyen tombe parce que l'analyse RGPD a été intégrée via le DPO. Demande rejetée, dépens à charge des requérants.
Pourquoi c'est important ?
Depuis Schrems II (juillet 2020), toute attribution à un partenaire cloud américain — ou à un fournisseur européen utilisant AWS, Google Cloud ou Azure — porte l'ombre d'une irrégularité RGPD. Les concurrents peuvent en faire un moyen. Cet arrêt offre aux pouvoirs adjudicateurs une voie praticable : (1) faire examiner concrètement l'offre par le DPO sur les annexes de traitement de données ; (2) intégrer cet examen explicitement dans la motivation ; (3) traiter spécifiquement le transfert hors EEE. Qui le fait peut écarter une suspension — même avec un attributaire à parent américain. Pour les concurrents, l'attaque générique 'Schrems II = impossible' ne suffit plus ; il faut démontrer qu'en l'espèce aucune mesure complémentaire ne peut aider — de plus en plus difficile face au chiffrement avec gestion interne des clés. Un premier arrêt de suspension n'est pas un sauf-conduit : après réexamen et motivation suffisante, la même attribution peut survivre au second tour.
La leçon
Pouvoir adjudicateur : si vous attribuez un marché impliquant le traitement de données personnelles par une entité opérant un (potentiel) transfert vers les USA ou un autre pays tiers, votre analyse RGPD doit faire partie de votre examen de régularité et de votre motivation d'attribution — non pas une question pour la phase d'exécution. Procédez via votre DPO, utilisez des annexes où le soumissionnaire décrit ses garanties par catégorie (datacenters, transferts, mesures minimales), et intégrez la conclusion du DPO dans la motivation. Soumissionnaire : structurez votre annexe technique RGPD de manière à ce qu'un DPO puisse la citer — c'est votre meilleure défense contre les recours concurrents.
Posez-vous la question
Imaginez que vous attribuez un marché ICT centré sur le traitement de données personnelles. Testez votre motivation : (1) la problématique 'transfert hors EEE' est-elle explicitement abordée ? (2) Le nom du DPO et son opinion sont-ils mentionnés ? (3) Des garanties concrètes sont-elles citées (chiffrement, gestion des clés, CCT, mesures complémentaires) ? Trois 'oui' = vous atteignez le standard posé par cet arrêt. Un 'non' = un nerf à vif sur lequel un concurrent peut appuyer en référé.
À propos de cette base de données
Le Conseil d'État (Raad van State) est la plus haute juridiction administrative de Belgique. En matière de marchés publics — de l'attribution d'un contrat à l'exclusion d'un soumissionnaire — le Conseil d'État tranche en dernier ressort. Les arrêts de cette base de données sont résumés par TenderWolf en langage clair, avec des leçons pratiques pour les soumissionnaires et les pouvoirs adjudicateurs. Voir tous les arrêts →