La Poste est responsable du traitement des données au niveau du transport – dont font partie les adresses fi-gurant sur les envois postaux – (= responsable selon la nLPD); le traitement des données au niveau du contenu – ce que les clients écrivent dans leurs lettres ou sur leurs cartes postales – est l’affaire des clients de la Poste, donc ici de l’institution de prévoyance (= responsable selon la nLPD). Il n’existe pas de responsabilité commune entre l’institution de prévoyance et la Poste, chacune d’elles étant responsable à son niveau d’activité selon la nLPD. Une lettre envoyée par erreur par la Poste à un mauvais destinataire n’affecte donc pas la responsabilité de l’institution de prévoyance en matière de protection des données, en l’occurrence l’institution de prévoyance, alors qu’une lettre portant une adresse erronée relève uniquement de la responsabilité de l’institution de prévoyance, avec les conséquences qui en découlent, p. ex. en ce qui concerne les obligations d’annoncer les violations de la protection des données.

Voir David Rosenthal, Controller oder Processor: Die datenschuztrechtliche Gretchenfrage, in: Jusletter 17 juin 2019, cm 87.