Hébergement de données personnelles cantonales à l'étranger (2013.0392)
À quelles conditions est-il possible d'héberger des données personnelles cantonales à l'étranger ?
Avis du PPDT 2013.0392 publié le 7 juin 2013
Lorsqu'il ne s'agit pas d'un cloud, il est possible d'héberger des données personnelles à l'étranger sous réserve du respect des conditions ci-dessous.
La convention CPDT-JUNE prévoit, à son article 54, qu'il est possible de mandater des tiers pour traiter des données à certaines conditions :
a) une base légale ou une convention avec le tiers le prévoit;
b) le mandant ne peut confier que des traitements qu’il est lui-même en droit d’effectuer;
c) aucune obligation légale ou contractuelle de garder le secret ne l’interdit;
d) la sécurité des données est assurée.
2 Le mandant demeure responsable de la protection des données; il veille notamment à ce que ne soient pas effectués des traitements autres que ceux qu’il a confiés.
Le tiers est assujetti aux mêmes contrôles que le mandant (en d'autres termes, le mandataire doit accepter de se soumettre, en principe à ses frais, aux contrôles du PPDT et du mandant).
L'article 27 de cette même convention prévoit que des données ne peuvent être communiquées à l’étranger que si les conditions requises par la législation fédérale sur la protection des données sont remplies. Les entités informent le PPDT des garanties prises en vertu de cette législation avant la communication de données.
Le droit fédéral auquel il est fait référence exige ceci :
Art. 6 LPD (RS 235.1) Communication transfrontière de données
Aucune donnée personnelle ne peut être communiquée à l’étranger si la personnalité des personnes concernées devait s’en trouver gravement menacée, notamment du fait de l’absence d’une législation assurant un niveau de protection adéquat.
En dépit de l’absence d’une législation assurant un niveau de protection adéquat à l’étranger, des données personnelles peuvent être communiquées à l’étranger, à l’une des conditions suivantes uniquement:
a. des garanties suffisantes, notamment contractuelles, permettent d’assurer un niveau de protection adéquat à l’étranger;
b. la personne concernée a, en l’espèce, donné son consentement;
c. le traitement est en relation directe avec la conclusion ou l’exécution d’un contrat et les données traitées concernent le cocontractant;
d. la communication est, en l’espèce, indispensable soit à la sauvegarde d’un intérêt public prépondérant, soit à la constatation, l’exercice ou la défense d’un droit en justice;
e. la communication est, en l’espèce, nécessaire pour protéger la vie ou l’intégrité corporelle de la personne concernée;
f. la personne concernée a rendu les données accessibles à tout un chacun et elle ne s’est pas opposée formellement au traitement;
g. la communication a lieu au sein d’une même personne morale ou société ou entre des personnes morales ou sociétés réunies sous une direction unique, dans la mesure où les parties sont soumises à des règles de protection des données qui garantissent un niveau de protection adéquat.