Le fournisseur de Cloud (dans le cas d’un stockage de données sur le Cloud géré par le fournisseur d’informatique) est considéré comme un sous-traitant selon la nLPD, mais l’institution de prévoyance est toutefois la responsable. Elle doit régler par voie contractuelle l’ensemble des processus administratifs et informatiques (contrat de traitement de commande ou Data Processing Agreement). Toute la chaîne, de l’institution de prévoyance jusqu’aux fournisseurs de logiciels et de Cloud, doit être garantie par contrat.

Par ailleurs, le sous-traitant ne peut transférer le traitement à un tiers qu’avec l’autorisation préalable de l’institution de prévoyance.

Quiconque, par exemple, permet l’accès de données personnelles en provenance de la Suisse à sa propre filiale à l’étranger est tenu de respecter les règles contenues dans les art. 16s. nLPD et 8-12 nOLPD.

Même chose, si une institution de prévoyance fait parvenir des données personnelles à son fournisseur de Cloud qui se trouve à l’étranger. L’institution de prévoyance doit, dans la déclaration de confidentialité, communiquer aux personnes concernées, c.-à-d. à la personne assurée et aux bénéficiaires de rente, le nom de l’État dans lequel le fournisseur de Cloud est domicilié (art. 19 al. 4 nLPD).