Elle utilise certains services informatiques de l’employeur, comme par exemple la messagerie Outlook pour communiquer avec nos assurés, ou le stockage en ligne OneDrive (même si les accès sont sécurisés et spécifiques à la Caisse de Pensions) qui est hébergé sur les serveurs de l’employeur, ainsi que différents outils (logiciel comptable, logiciel de paiement).
Est-ce que cela pourrait poser problème ?
Que faudrait-il entreprendre pour respecter la nLPD le cas échéant ?
L’employeur et sa caisse de pension sont des entités tout à fait separées. Dans son jugement prononcé le 10 avril 2012 (A-4467/2011), le Tribunal administratif fédéral a précisé que le traitement et la publication de données personnelles relevait de la loi fédérale sur la protection des données (LPD, complétée par les normes légales spéciales de la LPP et du CO), et que l’IP ne pouvait transmettre à l’employeur que les données personnelles objectivement nécessaires pour remplir les tâches prévues dans le contrat de travail et dans le cadre de la prévoyance professionnelle. Selon le Tribunal administratif fédéral, la remise des certificats de prévoyance aux employeurs dans des enveloppes non fermées afin que ces derniers les transmettent aux salariés assurés chez eux viole le principe de la sécurité des données (art. 7 LPD). Ceci sera bien sûr aussi valable sous la nouvelle loi sur la protection des données. A cause de cela la Caisse de Pension, qui est responsable selon la loi sur la protection des données en vigueur et la nouvelle loi sur la protection des données, doit veiller à ce que l'employeur n'ait pas accès aux données personnelles des assurés et des retraités. Concernant la nLPD la caisse de pension devrait négocier un contrat de traitement des commandes («Data Processing Agreement») avec le fournisseur de cloud de l’employeur qui garantit que les services informatiques de l’employeur sont totalement imperméables pour l'employeur en ce qui concerne les données personnelles des assurés et des retraités. Parce que les accès sont sécurisés et spécifiques à la Caisse de Pensions, la loi sur la protection des données (en vigueur et nouvelle) semble respectée. Ce qui est important est que le logiciel comptable et le logiciel de paiement sont aussi imperméables pour l’employeur. Mais tout cela devrait être prévu dans le contrat (au moins dans une clause contractuelle).