droit – Depuis l’entrée en vigueur de la nouvelle loi sur la protection des données («LPD») au 1er septembre 2023, les questions relatives au traitement des données à caractère personnel se sont multipliées. Voici quelques éléments de réponse.
Bien que la nécessité de contrats adaptés («contrats de traitement des commandes») était déjà une obligation figurant dans l’ancienne loi sur la protection des données, le thème de la protection des données est revenu sur le devant de la scène avec l’introduction du Règlement général européen sur la protection des données (RGPD). Et en Suisse, on l’a vu réapparaître dès le début de la révision totale de la loi sur la protection des données.
En matière de protection des données, il faut opérer une distinction entre les rôles de responsable et de sous-traitant. Cette qualification a une influence sur les obligations que le responsable du traitement des données doit respecter. S’il est considéré comme responsable du traitement des données, il a plus d’obligations que s’il traite «simplement» les données en tant que sous-traitant. Le responsable décide seul ou avec d’autres – il s’agit dans ce cas d’une «responsabilité conjointe» – de la finalité et des moyens du traitement. En revanche, le sous-traitant traite les données personnelles uniquement sur mandat du responsable du traitement.
La ligne de partage, toutefois, s’avère en pratique parfois difficile à tracer. Se posent alors des questions de délimitation difficiles à trancher.
Voici des exemples de «constellations» de services dans lesquelles on trouve les traitements de données de commande:
• fournisseurs de service d’hébergement ou de cloud computing,
• services dédiés aux newsletters,
• commande d’impressions, y compris services de distribution,
• comptabilité externe des salaires,
• maintenance IT externe.
En revanche, il n’y a généralement pas de traitement des commandes (et donc de responsabilité autonome ou commune) dans les cas suivants:
• activité des avocats, des auditeurs et des conseillers fiscaux,
• activité des banques pour les virements,
• prestataire de services de paiement pour les paiements électroniques,
• services de transport de lettres et de colis,
• artisans mandatés par le bailleur.
De plus, on peut imaginer des situations dans lesquelles un prestataire de services «entre en contact» avec des données personnelles sans être responsable du traitement ou sous-traitant. C’est par exemple le cas de l’entreprise de déménagement qui transporte des classeurs fédéraux (contenant des données personnelles).
Dans de telles constellations, il manque typiquement un traitement de données qui fait l’objet de la prestation. Dans de tels cas, il peut toutefois être indiqué de conclure un accord de confidentialité. Parfois, des questions de délimitation difficiles peuvent toutefois se poser, même dans ces constellations. Comment procéder au mieux dans la pratique?
En premier lieu, il est recommandé de se faire une idée claire des constellations de traitement des commandes qui se présentent. Il existe à cet effet des aides à l’interprétation sur Internet, par exemple de l’Office bavarois de surveillance de la protection des données, qui peut aussi être consulté pour la Suisse. Il faut ensuite vérifier s’il existe ou non des contrats de traitement des données de commande pour les constellations identifiées.
Avec les prestataires de services informatiques, ces contrats de traitement des données à caractère personnel sont souvent conclus dans le cadre des contrats existants (p. ex. en annexe au contrat de service). Pour ce faire, il est préférable de rechercher sur Internet le prestataire de services correspondant et la désignation pour le traitement des commandes: le cas échéant, en anglais «Data Processing Agreement» ou le terme synonyme du RGPD de l’UE «traitement des données de commande»).
S’il n’existe pas de contrat, demandez au prestataire de services s’il en propose un. Sinon, il reste à vérifier si, en l’absence de traitement des commandes, il n’est vraiment pas nécessaire d’en conclure un. On demandera au prestataire de services une brève explication sur les raisons pour lesquelles il estime ne pas pouvoir être qualifié de sous-traitant.
Si l’on parvient néanmoins à la conclusion qu’il y a traitement de la commande et qu’un contrat de traitement des données de la commande doit être conclu, il faudra savoir se montrer insistant. Le cas échéant, on enverra son propre modèle de contrat ou on changera de fournisseur. En revanche, si l’on est parvenu à la conclusion qu’il n’y a pas de traitement des données de commande, il sera nécessaire de documenter sa décision motivée. En effet, le recours intentionnel à un sous-traitant sans respecter les conditions légales est passible d’une amende pouvant aller jusqu’à 250 000 francs sur plainte.
Quelles conditions la nouvelle loi sur la protection des données impose-t-elle au contenu d’un tel contrat? Les conditions sont les suivantes:
• il existe une base contractuelle ou légale pour le transfert,
• le sous-traitant ne traite les données que comme le responsable du traitement le ferait lui-même,
• aucune obligation légale ou contractuelle de confidentialité n’interdit le transfert,
• le responsable du traitement s’assure que le sous-traitant garantit la sécurité des données,
• et le sous-traitant ne peut confier le traitement des données à un tiers qu’avec l’autorisation préalable du responsable du traitement.
Dans le domaine d’application du RGPD de l’UE, il existe en revanche des conditions plus complètes concernant le contenu minimal (p. ex. droits de contrôle du responsable du traitement, obligations de soutien du sous-traitant). Celles-ci ne sont certes pas obligatoires pour les constellations relevant de la LPD suisse, mais elles sont régulièrement utilisées par analogie, d’une part parce qu’elles apportent plus de clarté en ce qui concerne la relation contractuelle et d’autre part parce qu’il existe de nombreux modèles.Enfin, il convient toujours d’examiner si le traitement de données sur mandat en question implique également une communication de données personnelles à l’étranger, ce qui nécessiterait, le cas échéant, d’autres mesures (lire ci-dessous).
Gaspare Loderer
Gaspare Loderer, LL.M., CIPP/E, CIPM
est avocat chez
Kellerhals Carrard ZĂĽrich KlG
gaspare.loderer@kellerhals-carrard.ch
L’usam s’oppose avec véhémence à la hausse des cotisations salariales
L’usam salue la démarche du Conseil fédéral quant au mandat de négociation avec l’UE
L’usam regrette le «oui» à la 13e rente AVS et le «non» à l’augmentation de l’âge de la retraite
L’usam considère l’approche par paquet comme voie possible
L’usam adopte ses mots d’ordre en vue de la votation du 9 juin 2024
Les feux d’artifice sont synonymes de joie de vivre: l’usam salue le NON du Conseil fédéral à l’initiative contre les feux d’artifice
