Externalisation (sous-traitance)
Externalisation (sous-traitance)
Vous demeurez responsable de la protection des
données même si vous confiez leur traitement à un sous-traitant.
À quoi faire particulièrement attention lors d’une externalisation ?
Si vous confiez le traitement des données personnelles à un sous-traitant (par ex. fournisseur de services en nuage, hébergeur web, société d’expédition, centre d’appels, entreprise fiduciaire, société d’assistance informatique), la responsabilité de la protection des données demeure de votre ressort. Il vous incombe donc de vérifier si le traitement des données est conforme au contrat ou à la loi.
Le responsable du traitement (le mandant) doit surveiller activement que le sous-traitant respecte la loi dans la même mesure qu’il le fait lui-même. Cela concerne notamment le respect des principes généraux, des règles relatives à la sécurité des données et des règles relatives à la communication des données à l’étranger. Par analogie avec l’art. 55 CO (responsabilité de l’employeur), le responsable du traitement doit éviter toute violation de la loi sur la protection des données (LPD). Ainsi, il est dans l’obligation de choisir soigneusement ses sous-traitants, de les instruire de manière appropriée et de les surveiller dans la mesure du nécessaire.
Le traitement des données par la même personne morale (filiale, unité administrative, collaborateurs) ne constitue pas une sous-traitance.
Les obligations du sous-traitant
- Le sous-traitant doit respecter ses obligations à l’égard du responsable du traitement, notamment lui annoncer toute violation de la sécurité des données, afin que le responsable du traitement puisse à son tour respecter son obligation d’annonce au PFPDT conformément à l’art. 24, al. 1, LPD.
- Le sous-traitant ne peut pas traiter des données personnelles pour ses propres fins. Un tel changement de finalité requiert un motif justificatif valable.
Les obligations du responsable du traitement
Le responsable du traitement est tenu, en vertu de l’art. 9 LPD, de s’assurer et de garantir par contrat :
- que le sous-traitant n’effectue pas des traitements autres que ceux qu’il serait en droit d’effectuer lui-même
Il convient de s’assurer que le sous-traitant traite les données transmises uniquement selon les instructions du mandant et de définir la manière dont ces instructions sont fournies.
- qu’il n’y a pas de violation de l’obligation de garder le secret
Dans certains cas, les données sont soumises à des obligations légales ou contractuelles de garder le secret (par ex. le secret professionnel, le secret bancaire, le secret de fonction). Le cas échéant, il convient de vérifier si l’externalisation de données considérées comme secrètes n’entraîne pas une violation de l’obligation de garder le secret incombant au responsable du traitement.
- que le sous-traitant prend les mesures appropriées pour la sécurité des données
Le responsable du traitement a notamment l’obligation de s’assurer que le sous-traitant est en mesure de garantir la sécurité des données.
Les mesures techniques et organisationnelles prises par le sous-traitant pour la protection de ses systèmes et des données traitées doivent faire l’objet d’un contrat et d’une vérification. Il peut par ailleurs aussi être utile de vérifier les modalités selon lesquelles le sous-traitant s’assure que les mesures mises en œuvre sont adaptées aux risques, efficaces et conformes à l’état de la technique. Pour ce faire, vous pouvez recourir à des audits et à des certifications, par exemple.
- que le sous-traitant ne mandate pas un autre sous-traitant sans son autorisation
Le sous-traitant n’est pas en droit de confier le traitement à un tiers sans l’autorisation préalable du responsable du traitement. Dans le secteur privé, l’autorisation n’est soumise à aucune formalité particulière. Néanmoins, le sous-traitant a la charge de prouver que l’autorisation a été obtenue. Il peut s’agir d’une déclaration générale de consentement. Dans ce cas, le sous-traitant doit informer le responsable du traitement de tout changement (ajout ou remplacement d’autres sous-traitants) afin que ce dernier puisse avoir la possibilité d’émettre des objections à l’encontre de ces changements.
- qu’il reste à même de remplir ses obligations envers l’autorité de surveillance et les personnes concernées
Pour ce faire, il peut être utile de conclure un contrat (incluant une obligation de coopérer par exemple) et de prendre des mesures organisationnelles afin de garantir que les données qui ont été externalisées pourront être effacées ou corrigées si nécessaire et, en cas de traitement d’une demande d’accès, qu’elles pourront être retrouvées.
La communication de données à l’étranger
Si l’externalisation implique une communication de données à l’étranger, il faut vérifier par ailleurs si les pays dans lesquels les données seront traitées présentent un niveau de protection des données adéquat.
Cette étape présuppose de savoir où les données seront traitées et où se trouve le siège du sous-traitant ou du sous-traitant ultérieur. Si le sous-traitant ou le fournisseur de services en nuage se trouve dans un pays qui n’offre pas un niveau de protection des données comparable à celui de la Suisse, ou si les données sont traitées dans un pays qui n’offre pas un niveau de protection adéquat par rapport à notre pays, il est alors nécessaire de prendre d’autres mesures afin de s’assurer que le transfert de données bénéficie d’une protection appropriée à l’étranger. Nous renvoyons à cet égard à nos explications sur la communication de données personnelles à l’étranger.
L’utilisation de services en nuage
La conservation de données dans un nuage informatique est un cas d’application de la sous-traitance qui doit remplir les conditions y relatives. Pour de plus amples informations à ce sujet, veuillez consulter nos explications sur le traitement des données dans un nuage.
Les droits des personnes concernées
Toute personne concernée a la possibilité de faire valoir ses droits (cf. « mes droits ») directement auprès du responsable du traitement. Même si le responsable du traitement confie le traitement de données personnelles à un sous-traitant, il lui incombe toujours l’obligation de fournir des renseignements. S’il n’est pas à même de fournir lui-même les renseignements, il doit transmettre la demande au sous-traitant. Ce dernier est tenu de l’aider à fournir les renseignements demandés, à moins qu’il ne réponde lui-même à la demande pour le compte du responsable du traitement.
La certification de systèmes, de produits et de services favorise la transparence du traitement des données.
La transmission de données personnelles à l’étranger est soumise à des règles spéciales. Avant de transférer des données vers d’autres pays, il convient de veiller au respect des points suivants.
De plus en plus d’entreprises et d’autorités recourent à des services en nuage et confient ainsi des données ou le traitement des données à un fournisseur de services en nuage.
La déclaration de protection des données : pour qui ? Que doit-elle contenir ?
Consultez nos FAQ ou appelez notre hotline.
Accès rapide aux recommandations en matière de protection des données, les actions de justice ainsi que les registres.
Tout ce qu'il faut savoir sur les nouveautés de la loi sur la protection des données.