En cette époque de mondialisation, la communication de données à l’étranger dans le cadre d’une externalisation est de plus en plus fréquente, particulièrement dans le cas des groupes internationaux de sociétés. En outre, conséquence de la division du travail, il n’est pas rare aujourd’hui que le traitement des données soit confié à un sous-mandataire. La question se pose donc de savoir quelles sont les conditions en matière de protection des données qui doivent être remplies pour que la communication de données à un mandataire et à un sous-mandataire à l’étranger soit licite.
Communication de données à l’étranger dans le cadre de l’externalisation (outsourcing) du traitement de données
La loi sur la protection des données prévoit que le traitement de données personnelles peut contractuellement être confié à un tiers, à savoir un mandataire. Toutefois, selon la loi, ces traitements sont limités à ceux que le mandant serait lui-même en droit d'effectuer. Il découle de cette obligation qu'un mandataire qui désire confier le traitement de données à un sous-mandataire doit conclure avec celui-ci un contrat et que le sous-mandataire n'est à son tour en droit d'effectuer que les traitements que le mandant ou le mandataire seraient eux-mêmes en droit d'effectuer. Ces exigences légales valent indépendamment du fait de savoir si le traitement des données est effectué par un (sous-)mandataire en Suisse ou l'étranger. Si le (sous-)mandataire se trouve à l'étranger, les dispositions de l'art. 6 LPD sont en outre applicables.
Nous avons publié des documents concernant la communication de données à l'étranger dans le cadre d'une externalisation. On y trouve les principaux cas d'externalisation ainsi que les directives à observer en matière de protection des données (cf. www.leprepose.ch, sous la rubrique Thèmes - Transmission à l'étranger).
Par ailleurs, nous avons remanié le contrat-type pour l'externalisation du traitement de données à l'étranger («Swiss Transborder Data Flow Agreement») et l'avons complété par des dispositions concernant le traitement de données par un sous-mandataire (uniquement en anglais). Une telle transmission du traitement de données n'est désormais possible qu'avec le consentement préalable écrit du mandant; en outre, le mandataire est tenu de conclure avec le sous-mandataire un contrat écrit dans lequel ce dernier s'engage à respecter les mêmes normes de protection des données que son mandant (direct). Le contrat-type peut être téléchargé sur notre site (www.leprepose.ch, sous la rubrique Thèmes - Transmission à l'étranger).
Mentionnons enfin que la Commission de l'Union européenne s'est également penchée sur le sujet et a récemment modifié ses «Clauses Contractuelles Types pour le transfert de données à caractère personnel vers des sous-traitants», qui sont entrées en vigueur le 15 mai 2010.