• Association Suisse des
  • Institutions de Prévoyance
  • pour une prévoyance
  • professionnelle solide
  • Communication de données personnelles à l’étranger
Question
Lorsque des données sont stockées dans le Cloud, on ne sait pas vraiment où elles sont conservées. S’agit-il d’un transfert de données à l’étranger?
Mise en œuvre

Le fournisseur de Cloud (dans le cas d’un stockage de données sur le Cloud géré par le fournisseur d’informatique) est considéré comme un sous-traitant selon la nLPD, mais l’institution de prévoyance est toutefois la responsable. Elle doit régler par voie contractuelle l’ensemble des processus administratifs et informatiques (contrat de traitement de commande ou Data Processing Agreement). Toute la chaîne, de l’institution de prévoyance jusqu’aux fournisseurs de logiciels et de Cloud, doit être garantie par contrat.

Par ailleurs, le sous-traitant ne peut transférer le traitement à un tiers qu’avec l’autorisation préalable de l’institution de prévoyance.

Quiconque, par exemple, permet l’accès de données personnelles en provenance de la Suisse à sa propre filiale à l’étranger est tenu de respecter les règles contenues dans les art. 16s. nLPD et 8-12 nOLPD.

Même chose, si une institution de prévoyance fait parvenir des données personnelles à son fournisseur de Cloud qui se trouve à l’étranger. L’institution de prévoyance doit, dans la déclaration de confidentialité, communiquer aux personnes concernées, c.-à-d. à la personne assurée et aux bénéficiaires de rente, le nom de l’État dans lequel le fournisseur de Cloud est domicilié (art. 19 al. 4 nLPD).

Voir David Rosenthal, «Controller oder Processor: Die datenschutzrechtliche Gretchenfrage», Jusletter du 17 juin 2019, ch. 66 (version française 16 novembre 2020)

Retour à la page d'accueil