• Association Suisse des
  • Institutions de Prévoyance
  • pour une prévoyance
  • professionnelle solide
Vers la page d’accueil de l’ASIP Vers ASIP
  • Relations d’outsourcing
Question
Que signifie l'accord sur le traitement des données avec les prestataires de services et les fournisseurs informatiques ?
Mise en œuvre

Quelles conséquence cela aura-t-il dans le cadre de la relation d’outsourcing (externalisation de la gestion)? La confirmation du partenaire d’outsourcing est-elle suffisante pour leurs fournisseurs informatiques (cloud, logiciel CP) ?

Si l’institution de prévoyance a externalisé sa gestion (gestion technique, administration des actifs et des retrai-tés, comptabilité) auprès d’un tiers, le traitement des données est alors effectué par l’administration – en tant que sous-traitante – sur mandat de l’institution de prévoyance (art. 9 nLPD). Cette dernière doit alors s’assurer en particulier que l’administration est en mesure de garantir la sécurité des données, car l’institution de prévoyance reste responsable. Le fournisseur de cloud (lo-giciel en nuage) est un autre exemple de sous-traitant. Dans ce cas, toute la chaîne allant de l’institution de prévoyance au(x) fournisseur(s) de logiciels et au(x) fournisseur(s) de cloud doit être sécurisée par contrat. Par ailleurs, le sous-traitant ne peut confier le traitement à un tiers qu’avec l’autorisation préalable de l’institution de prévoyance. Dans tous les cas, un contrat ad hoc doit être conclu (contrat de traitement des données ou «Data Processing Agreement»). Dans ce contexte, le fournisseur de cloud (en cas de stockage de données sur le cloud exploité par le fournisseur informatique) n’est considéré que comme un sous-traitant au sens de la nLPD, mais l’institution de prévoyance est néanmoins responsable. Elle doit régler par contrat tous les processus administratifs et informatiques.

Toutefois, si une société de services décide elle-même de la finalité et des moyens des traitements de données à effectuer dans le cadre du mandat, elle est considérée, du point de vue de la protection des données, comme un responsable indépendant (co-contrôleur) - aux côtés de l'institution de prévoyance – et non comme un sous-traitant (processor). Cette différenciation doit être réglée dans l'accord sur les données du mandat entre l'institution de prévoyance et la société de services («Data Processing Agreement» ou «Controller to Processor Agreement» vs «Controller to Controller Agreement»), raison pour laquelle le simple droit du mandat ne suffit pas. Il faut par exemple régler avec l'entreprise informatique la question technique de savoir comment les journaux peuvent être conservés pendant au moins un an, séparément du système dans lequel les données personnelles sont traitées (art. 4, al. 5, nOPDo).

La subdélégation du processeur au sous-processeur n’est autorisée qu’avec l’accord préalable du responsable. Comment voyez-vous cela dans la pratique ? Des désignations nominatives sont-elles nécessaires ?

Oui. En tant que responsable selon la nLPD, l’institution de prévoyance doit également régler par contrat avec le partenaire d’outsourcing la relation entre le processeur et le sous-processeur. Il n’est pas nécessaire de mentionner les désignations (à l’exception du registre des activités de traitement; voir plus haut).

La Poste est-elle considérée comme responsable ou chargée du traitement des données au sens de la nLPD?

La Poste est responsable du traitement des données au niveau du transport – dont font partie les adresses figurant sur les envois postaux – (= responsable selon la nLPD); le traitement des données au niveau du contenu – ce que les clients écrivent dans leurs lettres ou sur leurs cartes postales – est l’affaire des clients de la Poste, donc ici de l’institution de prévoyance (= responsable selon la nLPD). Il n’existe pas de responsabilité commune entre l’institution de prévoyance et la Poste, chacune d’elles étant responsable à son niveau d’activité selon la nLPD. Une lettre envoyée par erreur par la Poste à un mauvais destinataire n’affecte donc pas la responsabilité de l’institution de prévoyance en matière de protection des données, en l’occurrence l’institution de prévoyance, alors qu’une lettre portant une adresse erronée relève uniquement de la responsabilité de l’institution de pré-voyance, avec les conséquences qui en découlent, p. ex. en ce qui concerne les obligations d’annoncer les viola-tions de la protection des données.

Voir David Rosenthal, Controller oder Processor: Die datenschuztrechtliche Grechtenfrage, in: Jusletter 17 juin 2019, cm 87.

Retour à la page d'accueil