RGPD et marchés publics

[hpchavaz]

Une décision intéressante d'une cour allemande dans la logique de l'arrêt Schrems II  (CJUE, 16 juillet 2020,  C-311/18) portant sur la non-conformité d'une offre du fait de l'absence de mesures propres à assurer le respect des dispositions du RGPD : VK Baden-Württemberg - 1 VK 23/22

En résumé, dans le cas d'un appel d'offres public, le  soumissionnaire avait prévu d'utiliser les services Amazon Web Services (AWS). Bien que les serveurs d'AWS qu'il était prévu d'utiliser aient été en Europe et qu'AWS ait indiqué qu'elle ne divulguerait pas les données des clients à des tiers, sauf si cela est nécessaire pour maintenir ou fournir les services, ou si cela est nécessaire pour se conformer à la loi ou à un ordre valide et contraignant d'un organisme gouvernemental, le tribunal,à la demande d'un candidat évincé, semble avoir retenu que la compatibilité avec le RGPD (exigence de l'appel d'offres) n'était pas assurée et partant l'offre irrégulière, et semble-t-il non régularisable.

Rien au demeurant de très étonnant. Cependant, l'exigence de la conformité au RGPD allant de soi, cela revient à considérer irrégulière toute offre recourant aux services d'un prestataire faisant parti d'un groupe US pour le traitement de données à caractère personnel en l'absence de mesures spécifiques. Si le traitement ne porte que sur du stockage de données, un chiffrage convenablement mis en oeuvre peut sans doute régler le problème mais dès que le traitement devient un peu plus sophistiqué cela devient beaucoup plus compliqué.

[Michel]

cela revient à considérer irrégulière toute offre recourant aux services d'un prestataire faisant parti d'un groupe US pour le traitement de données à caractère personnel

   b'en OUI normal puisque aucune société US ne peut refuser la divulgation de toutes données quelqu'elles soient à ses administrations fédérales ! 
Si les OE veulent candidater , b'en elles leur suffit de recourir à une entreprise Françaises hébergeant les données en France ! (voir européenne hébergeant en Europe)   Ils en existe d'excellentes ! 
Pourquoi vouloir faire compliqué quand il est simple de faire simple ! 

[hpchavaz]

b'en OUI normal ...

Je ne dis pas autre chose.

...
Pourquoi vouloir faire compliqué quand il est simple de faire simple !
...

Peut être parce que dès qu'il ne s'agit plus d'hébergement mais d'accès aux autres services du type de ceux offerts part AWS, il est un peu plus difficile de trouver des équivalents.

[Michel]

accès aux autres services du type de ceux offerts part AWS, il est un peu plus difficile de trouver des équivalents.

là OUI certes, cela verrouille un peu beaucoup le besoin 

[dominique]

Voir le dossier produit alors par la CNIL à l'époque sur l'arrêt d'origine
https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-suites-de-larret-de-la-cjue
Dominique Fausser