Actualités

📢 RGPD & Marché Public : Transférer des données hors UE peut faire annuler une attribution de marché ! 🌍❌

🗓️ Le 21 décembre 2023, le Conseil d’État belge a annulé une décision d’attribution d’un marché public.

En cause ?
❌ Le marché a été attribué à un responsable de traitement, et le pouvoir adjudicateur aurait dû vérifier la conformité de sa candidature.
➡️ Ce responsable de traitement fait appel à un sous-traitant basé en Tunisie pour le traitement de dossiers de recouvrement de factures impayées d’eau.

🔍 Le problème ? Le cahier des charges n’autorisait l’accès aux données personnelles qu’à des pays disposant d’un niveau de protection adéquat, conformément à l’article 45 du RGPD.

📜 Pour rappel, seuls certains pays sont reconnus comme "adéquats" par la Commission européenne :
Guernesey, Île de Man, Îles Féroé, Israël, Japon, Jersey, Nouvelle-Zélande, Royaume-Uni, Suisse, Uruguay…

📛 La Tunisie ne figurant pas sur cette liste, le transfert n’était pas conforme.

⚖️ Le sous-traitant a tenté de justifier la mise en place de garanties selon l’article 46 du RGPD, mais il a été débouté :
👉 Conformément à l’article 28.3-a, un sous-traitant ne peut décider seul d’un transfert de données hors UE. Il ne peut agir que sur instruction du responsable de traitement.

🚨 Conséquences :
• ❌ L’attribution du marché a été annulée.
• 📉 Atteinte à l’image du pouvoir adjudicateur.
• ⚠️ Rappel : La vigilance RGPD s’applique aussi dans les marchés publics !

🔐 Le RGPD n’est pas une option.