Catégories
Justice:

Décision de la Chambre des marchés publics du Bade-Wurtemberg d’interdire le cloud américain | L’informatique de Born

paragrapheTournure intéressante dans la question: Les pouvoirs adjudicateurs peuvent-ils être exclus des appels d’offres pour l’utilisation des services cloud américains. La chambre des marchés publics du Bade-Wurtemberg avait approuvé cela et exclu de l’appel d’offres un fournisseur qui souhaitait utiliser un service cloud américain. Cependant, le tribunal régional supérieur de Karlsruhe a rejeté cette approche – dans certaines circonstances, les autorités allemandes peuvent continuer à examiner les offres si elles incluent des services cloud américains.

Interdiction du cloud aux États-Unis par la Chambre des marchés publics du Bade-Wurtemberg

, Décision de la Chambre des marchés publics du Bade-Wurtemberg d’interdire le cloud américain |  L’informatique de BornIl s’agissait d’une décision de la Chambre des marchés publics du Bade-Wurtemberg, Az. 1 VK 23/22 du 13 juillet 2022, qui a fait des vagues. Dans le cadre d’une procédure d’attribution, la filiale européenne d’une société américaine a soumis une offre comprenant des services d’un fournisseur de cloud américain. Les services en nuage nécessaires à la fourniture des services devraient être fournis par des serveurs situés dans l’UE.

Dans la décision précitée (qui n’était pas encore définitive), la chambre des marchés publics du Bade-Wurtemberg a exclu ce prestataire de la procédure d’appel d’offres. Selon la Chambre des marchés publics du Bade-Wurtemberg, un transfert de données personnelles vers un pays tiers (en dehors de l’UE) était également illégal en vertu de la loi sur la protection des données si le serveur correspondant était exploité par une société basée dans l’UE, qui à son tour est partie d’un groupe américain. La Chambre plaide :

La simple possibilité que des données personnelles puissent être consultées par la société mère non européenne conduit à ce que l’on appelle une « transmission » au sens du RGPD, que cet accès soit ou non effectivement effectué par la société mère américaine. De l’avis de la Chambre des marchés publics, cette divulgation est irrecevable après la suppression du bouclier de protection des données américain. En particulier, elle ne pouvait être légitimée dans la procédure par la conclusion de clauses contractuelles types (appelées SCC).

J’ai signalé ce problème dans le billet de blog La chambre des marchés publics du Bade-Wurtemberg exclut le fournisseur d’un service cloud américain de l’offre. Étant donné que cette décision n’était pas encore définitive et que la partie qui succombait a interjeté appel, le tribunal régional supérieur de Karlsruhe a dû se saisir de la question.

Tribunal régional supérieur de Karlsruhe corrigé

Le tribunal régional supérieur de Karlsruhe (OLG) réexaminait la décision de la chambre des marchés publics du Bade-Wurtemberg, Az. 1 VK 23/22 du 13 juillet 2022 – la partie exclue avait déposé une plainte auprès de l’OLG. Avec la décision (Réf. : 15 Verg 8/22 du 7 septembre 2022), les juges du Tribunal régional supérieur ont corrigé la décision précédente. Teneur du verdict (selon la communauté Beck):

Contrairement à ce que prétend la requérante, ce n’est pas seulement le fait que A. soit une filiale d’un groupe américain qui a fait douter les opposants de la possibilité de tenir la promesse d’exécution. Les Intimés ne devaient pas présumer qu’en raison de l’appartenance à un groupe, la filiale recevrait des instructions illégales ou contraires au contrat ou que la filiale européenne suivrait des instructions illégales de la société mère américaine par l’intermédiaire de ses directeurs généraux.

Interprété cela signifie que l’hypothèse de la Chambre des marchés publics selon laquelle la possibilité théorique de fuite de données à partir de serveurs européens n’est pas suffisante pour l’exclusion d’un soumissionnaire dans la procédure de passation de marché d’une autorité allemande. Actuellement, cependant, le texte intégral de l’arrêt manque toujours, qui n’est d’ailleurs pas encore juridiquement contraignant. Dans cet article, le blog du prix résume les faits du prix, y compris l’histoire.

Le FAZ écrit ici que l’OLG Karlsruhe a constaté que les clients publics s’appuient sur les promesses contraignantes du fournisseur que les données sont traitées exclusivement en Allemagne et ne sont transmises à aucun pays tiers. En principe, on peut supposer qu’un soumissionnaire remplira ses engagements contractuels. Ce n’est que s’il existe des indices concrets qu’il existe des doutes à ce sujet que le pouvoir adjudicateur doit obtenir des informations supplémentaires et vérifier si la promesse de prestation peut être tenue.

Ça a du sens

Tel qu’il est présenté actuellement, l’ensemble a probablement un sens d’un point de vue objectif. Si je me souviens bien, il y a aussi une petite mais décisive variante entre la décision du tribunal des marchés publics et la décision du tribunal de grande instance. La chambre des marchés publics s’est prononcée sur l’exclusion d’une offre dans laquelle le fournisseur souhaitait héberger ses services cloud américains quelque part en Europe. Selon l’OLG Karlsruhe, si le texte de la FAZ est correct, le fournisseur doit héberger ses services cloud américains en Allemagne et s’assurer que ceux-ci ne pas être transmis à un pays tiers.

Encore peu clair

Je classerais la déclaration du FAZ « Le tribunal régional supérieur de Karlsruhe garantit la protection des données » comme un jingle de mots – il s’agit d’une clarification du Sénat concerné. Et la conclusion du FAZ « L’affaire a été définitivement tranchée. » est au moins juridiquement douteux. Je ne connais pas la justification verbale – mais un conseil accorde généralement la possibilité d’un recours – d’autant plus que dans ce cas, cela devrait s’appliquer. Le jugement ne deviendrait définitif qu’une fois le texte intégral publié et le délai de dépôt de la plainte expiré – du moins c’est mon évaluation de profane. Voyons ce qui se passe d’autre dans ce cas. Il y a encore trop de brouillard pour moi – les avocats ne peuvent évaluer le verdict qu’une fois que le texte intégral est disponible.