• Association Suisse des
  • Institutions de Prévoyance
  • pour une prévoyance
  • professionnelle solide
  • Relations d’outsourcing
Question
Que signifie l'accord sur le traitement des données avec les prestataires de services et les fournisseurs informatiques ?
Mise en œuvre

Quelles conséquence cela aura-t-il dans le cadre de la relation d’outsourcing (externalisation de la gestion)? La confirmation du partenaire d’outsourcing est-elle suffisante pour leurs fournisseurs informatiques (cloud, logiciel CP) ?

Si l’institution de prévoyance a externalisé sa gestion (gestion technique, administration des actifs et des retrai-tés, comptabilité) auprès d’un tiers, le traitement des données est alors effectué par l’administration – en tant que sous-traitante – sur mandat de l’institution de prévoyance (art. 9 nLPD). Cette dernière doit alors s’assurer en particulier que l’administration est en mesure de garantir la sécurité des données, car l’institution de prévoyance reste responsable. Le fournisseur de cloud (lo-giciel en nuage) est un autre exemple de sous-traitant. Dans ce cas, toute la chaîne allant de l’institution de prévoyance au(x) fournisseur(s) de logiciels et au(x) fournisseur(s) de cloud doit être sécurisée par contrat. Par ailleurs, le sous-traitant ne peut confier le traitement à un tiers qu’avec l’autorisation préalable de l’institution de prévoyance. Dans tous les cas, un contrat ad hoc doit être conclu (contrat de traitement des données ou «Data Processing Agreement»). Dans ce contexte, le fournisseur de cloud (en cas de stockage de données sur le cloud exploité par le fournisseur informatique) n’est considéré que comme un sous-traitant au sens de la nLPD, mais l’institution de prévoyance est néanmoins responsable. Elle doit régler par contrat tous les processus administratifs et informatiques.

La subdélégation du processeur au sous-processeur n’est autorisée qu’avec l’accord préalable du responsable. Comment voyez-vous cela dans la pratique ? Des désignations nominatives sont-elles nécessaires ?

Oui. En tant que responsable selon la nLPD, l’institution de prévoyance doit également régler par contrat avec le partenaire d’outsourcing la relation entre le processeur et le sous-processeur. Il n’est pas nécessaire de mentionner les désignations (à l’exception du registre des activités de traitement; voir plus haut).

La Poste est-elle considérée comme responsable ou chargée du traitement des données au sens de la nLPD?

La Poste est responsable du traitement des données au niveau du transport – dont font partie les adresses figurant sur les envois postaux – (= responsable selon la nLPD); le traitement des données au niveau du contenu – ce que les clients écrivent dans leurs lettres ou sur leurs cartes postales – est l’affaire des clients de la Poste, donc ici de l’institution de prévoyance (= responsable selon la nLPD). Il n’existe pas de responsabilité commune entre l’institution de prévoyance et la Poste, chacune d’elles étant responsable à son niveau d’activité selon la nLPD. Une lettre envoyée par erreur par la Poste à un mauvais destinataire n’affecte donc pas la responsabilité de l’institution de prévoyance en matière de protection des données, en l’occurrence l’institution de prévoyance, alors qu’une lettre portant une adresse erronée relève uniquement de la responsabilité de l’institution de pré-voyance, avec les conséquences qui en découlent, p. ex. en ce qui concerne les obligations d’annoncer les viola-tions de la protection des données.

Voir David Rosenthal, Controller oder Processor: Die datenschuztrechtliche Grechtenfrage, in: Jusletter 17 juin 2019, cm 87.

Retour à la page d'accueil