Le terme « fragilité légale » désigne quelque chose de précis et de redoutable : la capacité d’un tiers à faire tomber un montage contractuel ou organisationnel non pas sur le fond, mais sur la forme. Un arrangement peut être parfaitement pertinent, économiquement rationnel, techniquement irréprochable, et néanmoins exposé à une annulation contentieuse fondée sur un vice de procédure, un défaut de qualification légale ou une incompatibilité avec un corpus normatif supérieur. C’est exactement ce type de risque qui pèse sur les offres de DPO externe mutualisé lorsqu’elles s’adressent à des organismes soumis au droit public ou à des régimes d’achat encadrés.
La distinction est importante : la fragilité légale n’est pas une question de mauvaise foi, ni d’incompétence. Elle naît de l’écart entre la réalité opérationnelle d’un service et les exigences formelles du cadre normatif dans lequel il s’inscrit. Et cet écart, lorsqu’il est exploité en contentieux, produit des effets dévastateurs : résiliation unilatérale, demande de remboursement des sommes versées, mise en cause de la désignation CNIL, voire requalification de la relation contractuelle.
Les arrêts du Conseil d’État sur les marchés publics de sécurité : une jurisprudence révélatrice
La jurisprudence du Conseil d’État relative aux marchés publics de sécurité privée constitue un terrain d’observation particulièrement instructif, parce qu’elle illustre de façon répétée comment des contrats conclus de bonne foi peuvent être démantelés sur des fondements purement procéduraux ou qualificatifs.
L’obligation d’allotissement et ses effets cascades. Le Conseil d’État a progressivement durci son interprétation de l’obligation d’allotissement posée par le Code de la commande publique (article L. 2213-1). Dans plusieurs arrêts rendus entre 2018 et 2023, la haute juridiction a sanctionné des acheteurs publics qui avaient attribué un marché de sécurité à un prestataire unique, sans démonter l’existence d’une justification économique ou technique suffisante pour déroger à l’allotissement. Ces décisions ont entraîné l’annulation rétroactive de marchés en cours d’exécution, avec les conséquences que cela implique pour les deux parties.
Ce schéma est directement transposable au domaine du DPO mutualisé. Une collectivité territoriale qui contractualise avec un DPO externe pour l’ensemble de ses entités sans respecter les seuils de publicité et de mise en concurrence s’expose à une contestation identique. Le fait que le DPO soit une personne physique certifiée, que la prestation soit intellectuelle, ou que les montants annuels paraissent modestes, ne suffit pas à exonérer l’acheteur public de ses obligations procédurales.
La question de la qualification du prestataire. Une seconde série d’arrêts du Conseil d’État porte sur les exigences de qualification professionnelle dans les marchés de sécurité. La haute juridiction a jugé que le défaut de qualification formelle d’un prestataire, même lorsque ses compétences réelles sont avérées, constitue un vice affectant la validité du contrat. Appliqué au champ du RGPD, ce principe soulève une question de fond : la « certification » du DPO externe au sens de l’article 43 du RGPD est-elle opposable comme condition de validité d’un marché public de prestation intellectuelle en matière de protection des données ?
La réponse n’est pas tranchée, et c’est précisément ce que signifie « fragilité légale » : une zone d’incertitude normative que l’adversaire peut exploiter.
L’arrêt « Département de l’Oise » et la question de la délégation de mission régalienne. Dans une logique plus structurelle, le Conseil d’État a rappelé, dans sa jurisprudence sur la sécurité, que certaines missions ne peuvent faire l’objet d’une délégation contractuelle à un tiers privé lorsqu’elles participent de l’exercice de prérogatives de puissance publique. Si cette doctrine concerne au premier chef les forces de l’ordre, elle a des prolongements dans le domaine de la protection des données publiques : la fonction de DPO pour une collectivité territoriale, lorsqu’elle est externalisée, doit demeurer cantonnée à un rôle de conseil et de contrôle interne, sans jamais se substituer à la responsabilité propre du responsable de traitement. Tout montage contractuel qui brouille cette ligne de démarcation ouvre un flanc contentieux non négligeable.
Les trois vecteurs de « fragilité légale » dans les offres de DPO mutualisé
À partir de cette lecture de la jurisprudence, trois vecteurs de risque se dégagent pour les prestataires qui structurent une offre de DPO externe mutualisé à destination d’organismes publics ou paraublics.
Premier vecteur : la qualification contractuelle de la prestation. Un marché de DPO mutualisé peut être requalifié en marché de services intellectuels récurrents, ce qui déclenche l’application de règles de publicité et de mise en concurrence que ni le prestataire ni le client n’ont anticipées. La requalification ouvre droit à résiliation et peut générer une obligation de remboursement des honoraires perçus, en tout ou partie.
Deuxième vecteur : la désignation CNIL et sa validité sous condition. La désignation d’un DPO externe auprès de la CNIL suppose que le contrat liant les parties soit valide au regard du droit applicable. Si ce contrat est nul pour un motif de commande publique, la désignation elle-même devient contestable. L’organisme désignataire se retrouve alors dans une situation où il pensait être en conformité RGPD alors qu’il ne dispose plus de DPO légalement désigné.
Troisième vecteur : la structure de groupement et la responsabilité solidaire. Plusieurs offres de DPO mutualisé reposent sur un mécanisme de groupement d’entités clientes, partageant le coût d’un DPO commun. Ce montage, séduisant économiquement, soulève des questions de droit de la commande publique (groupement de commandes au sens de l’article L. 2212-1 du Code de la commande publique) qui, si elles ne sont pas correctement traitées en amont, exposent l’ensemble du dispositif à une annulation en cascade.
Ce que la jurisprudence commande comme posture préventive
La leçon principale des arrêts du Conseil d’État sur les marchés de sécurité n’est pas que l’externalisation est risquée en soi. C’est que la « fragilité légale » est toujours le produit d’un défaut de formalisation, non d’un défaut de compétence. Les prestataires qui résistent aux contentieux sont ceux qui ont anticipé les objections procédurales et construit leur offre en tenant compte des contraintes normatives de leurs clients, pas seulement des leurs.
Pour un DPO externe qui mutualisé sa prestation, cela signifie concrètement trois choses. D’abord, proposer à chaque organisme public un contrat individualisé, clairement qualifié en marché de prestations intellectuelles, avec les mentions obligatoires correspondantes et, si les seuils l’exigent, les preuves de mise en concurrence préalable. Ensuite, documenter avec rigueur la distinction entre le rôle du DPO externe (conseil, contrôle, formation, reporting) et la responsabilité propre du responsable de traitement, de façon à ce que la mission ne puisse jamais être assimilée à une délégation impropre. Enfin, encadrer les mécanismes de mutualisation par une architecture contractuelle qui respecte les règles du Code de la commande publique, quitte à ce que cela complexifie légèrement la structure commerciale de l’offre.
La « fragilité légale » n’est pas une fatalité. C’est une variable que l’on peut maîtriser, à condition de l’avoir d’abord nommée.
