Préposé à la protection des données et transparence Jura-Neuchâtel

Hébergement de données personnelles cantonales à l'étranger (2013.0392)

Protection des données

À quelles conditions est-il possible d'héberger des données personnelles cantonales à l'étranger ?

Avis du PPDT 2013.0392 publié le 7 juin 2013

Lorsqu'il ne s'agit pas d'un cloud, il est possible d'héberger des données personnelles à l'étranger sous réserve du respect des conditions ci-dessous.

La convention CPDT-JUNE prévoit, à son article 54, qu'il est possible de mandater des tiers pour traiter des données à certaines conditions :

a) une base légale ou une convention avec le tiers le prévoit;

b) le mandant ne peut confier que des traitements qu’il est lui-même en droit d’effectuer;

c) aucune obligation légale ou contractuelle de garder le secret ne l’interdit;

d) la sécurité des données est assurée.

2 Le mandant demeure responsable de la protection des données; il veille notamment à ce que ne soient pas effectués des traitements autres que ceux qu’il a confiés.

Le tiers est assujetti aux mêmes contrôles que le mandant (en d'autres termes, le mandataire doit accepter de se soumettre, en principe à ses frais, aux contrôles du PPDT et du mandant).

L'article 27 de cette même convention prévoit que des données ne peuvent être communiquées à l’étranger que si les conditions requises par la législation fédérale sur la protection des données sont remplies. Les entités informent le PPDT des garanties prises en vertu de cette législation avant la communication de données.

Le droit fédéral auquel il est fait référence exige ceci :

Art. 6 LPD (RS 235.1) Communication transfrontière de données

Aucune donnée personnelle ne peut être communiquée à l’étranger si la personnalité des personnes concernées devait s’en trouver gravement menacée, notamment du fait de l’absence d’une législation assurant un niveau de protection adéquat.

En dépit de l’absence d’une législation assurant un niveau de protection adéquat à l’étranger, des données personnelles peuvent être communiquées à l’étranger, à l’une des conditions suivantes uniquement:

a. des garanties suffisantes, notamment contractuelles, permettent d’assurer un niveau de protection adéquat à l’étranger;

b. la personne concernée a, en l’espèce, donné son consentement;

c. le traitement est en relation directe avec la conclusion ou l’exécution d’un contrat et les données traitées concernent le cocontractant;

d. la communication est, en l’espèce, indispensable soit à la sauvegarde d’un intérêt public prépondérant, soit à la constatation, l’exercice ou la défense d’un droit en justice;

e. la communication est, en l’espèce, nécessaire pour protéger la vie ou l’intégrité corporelle de la personne concernée;

f. la personne concernée a rendu les données accessibles à tout un chacun et elle ne s’est pas opposée formellement au traitement;

g. la communication a lieu au sein d’une même personne morale ou société ou entre des personnes morales ou sociétés réunies sous une direction unique, dans la mesure où les parties sont soumises à des règles de protection des données qui garantissent un niveau de protection adéquat.

 

Ce site utilise plusieurs cookies pour indiquer temporairement aux serveurs la langue que vous avez choisie lors de la configuration de vos outils informatiques, ainsi que pour rappeler aux serveurs votre choix d'accepter les présentes conditions pour éviter de reposer la question à la prochaine visite. En poursuivant, vous acceptez l’utilisation de ces cookies aux fins énoncées ci-dessus. En savoir plus.