Lorsqu’une institution de prévoyance externalise ses activités, en tant qu’organe fédéral, auprès d’un respon-sable de la protection des données (comme un expert CP, un avocat, etc.), le prestataire externe doit égale-ment disposer d’un conseiller à la protection des données.

En tant que responsable, il doit, tout comme l’institution de prévoyance elle-même, satisfaire à toutes les exi-gences légales, ceci à la différence du sous-traitant.

Dans les relations entre l’institution de prévoyance (responsable) et un tiers qui est également responsable (en particulier des organes selon l’art. 52 LPP), il est recommandé de prévoir une réglementation contractuelle pour le transfert de données de l’institution de prévoyance à ce tiers (délimitation des responsabilités selon la nLPD et l’art. 52 LPP). Voir circulaire de l’ASIP n° 131, p. 8.