Préposé à la protection des données et transparence Jura-Neuchâtel

Sous-traitance de données soumises au secret professionnel par un sous-traitant (2019.2938)

Protection des données

Un sous-traitant peut-il sous-traiter un traitement de données personnelles soumises au secret professionnel ?

Avis du préposé 2019.2938 publié le 24 août 2020

La question de la sous-traitance des données personnelles est déjà épineuse en soi. Il suffit de parcourir la page dévolue à ce sujet pour s’en convaincre. La sous-traitance de données personnelles soumises au secret professionnel (art. 321 CP) à un auxiliaire est autorisée, sous réserve du respect des conditions légales. En revanche, un arrêt du Tribunal fédéral (2C_1083/2017 du 4 juin 2019) semble empêcher le sous-traitant à sous-traiter ce traitement. Mais les juges fédéraux n’ont pas examiné directement la question des fournisseurs de services Cloud.

Selon un avis de droit de 2016 (Wohlers Wolfgang, Outsourcing durch Berufsgeheimnisträger, Patienten- und Mandantengeheimnisse als Schranke bei der Auslagerung von Datenverarbeitungen, digma 2016, pp. 114 ss.) la sous-traitance de données personnelles soumises au secret professionnel (art. 321 CP) ne serait possible qu’aux auxiliaires au sens du Code pénal suisse.

Un arrêt du Tribunal fédéral de 2019 (2C_1083/2017 du 4 juin 2019) semble assouplir cette opinion. En effet, le TF relève que la loi fédérale sur la libre circulation des avocats (LLCA ; RS 935.61) ne définit pas la notion d'auxiliaire de l'art. 13 al. 2 LLCA. Selon lui, les tiers chargés par l'avocat d'accomplir certaines tâches sont des auxiliaires. Il est admis que la notion correspond à celle de l'article 101 Code des obligations (CO ; RS 220). L'application de ce dernier suppose qu'il existe un rapport d'obligation préalable entre l'avocat et l'auxiliaire. En revanche, le statut de l'auxiliaire est sans importance : il peut être employé ou mandataire, travailler à titre gratuit ou onéreux. Ceux qui collaborent au fonctionnement de l'étude, ou du travail de l'avocat, et qui peuvent avoir accès à des secrets, dont celui-ci est détenteur du fait de leurs liens contractuels, sont des auxiliaires. Sont ainsi notamment des auxiliaires les collaborateurs, secrétaires, avocats-stagiaires, étudiants en stage, apprentis. Doivent aussi être considérées comme auxiliaires les personnes extérieures à l'étude, auxquelles l'avocat confie des tâches, comme par exemple un détective privé, une entreprise de nettoyage, une banque ou un service de traduction, ou le professionnel externe chargé de la conservation et de la protection à distance des données informatiques de l'avocat. Les juges laissent ouverte la question de cette qualification s'agissant des réviseurs et contrôleurs spéciaux dans le contexte d'études d'avocats constituées en société anonyme, tout en soulignant qu'ils sont de toute manière soumis à un devoir de confidentialité par leur fonction (2C_1083/2017 du 4 juin 2019, consid. 7.2 ss). La notion d'auxiliaire est donc large et n'exclut pas que l'auxiliaire soit une personne morale et/ou qu'il emploie du personnel.

Autrement dit, si les conditions précitées sont respectées, il est possible de sous-traiter des données personnelles soumises au secret professionnel à un auxiliaire.

Cependant, Le Tribunal fédéral précise que, si la notion d'auxiliaire est large et que, dans la pratique, l'avocat est amené de plus en plus à recourir à des auxiliaires ne travaillant pas au sein de l'étude pour des services spécifiques, il devient concrètement difficile pour l’avocat de maîtriser le secret. II ajoute qu’il n'en reste pas moins que l'importance cardinale du secret professionnel de l'avocat commande une limitation raisonnable du cercle de personnes ayant accès aux informations secrètes ainsi que des mesures suffisantes pour sécuriser ces informations. Il juge donc nécessaire de fixer à cet égard des limites proportionnées. Sous cet angle, il relève qu’il n'est par exemple pas admissible qu'un avocat accepte qu'un auxiliaire puisse faire exécuter par un tiers tout ou partie des tâches qu'il s'est engagé à lui fournir (situation de sous-délégation). Cela reviendrait, pour l'avocat, à admettre qu'une personne, qui n'est pas son auxiliaire et qui n'est pas non plus subordonnée à son auxiliaire ait accès à des informations couvertes par le secret, alors qu'il n'a pas lui-même la possibilité de veiller à son respect, comme l'exige l'art. 13 al. 2 LLCA, puisqu'il s'agit d'un tiers et non d'un auxiliaire. Cette situation ne peut pas être empêchée par une convention par laquelle l'auxiliaire s'engagerait envers l'avocat à faire respecter par le tiers le secret professionnel de l'avocat. Une telle convention reviendrait à reporter sur l'auxiliaire la responsabilité première de faire respecter le secret professionnel, alors qu'il s'agit d'une obligation qui incombe à l'avocat lui-même selon l'art. 13 al. 2 LLCA (2C_1083/2017 du 4 juin 2019, consid. 7.4).

Malheureusement, le Tribunal fédéral n’évoque pas la problématique des fournisseurs de Software as a Service (Saas), d’Infrastructure as a Service (IaaS), de Plateforms as a Service (PaaS) ou de Data as a Service (DaaS). Or, ce genre de prestation est couramment utilisée par des personnes soumises au secret professionnel, alors que ces fournisseurs ont, en principe, tous recours à des sous-traitants pour la maintenance de leurs services.

Par exemple, voici un extrait des Conditions des Services en Ligne Microsoft du 1er septembre 2019 :

« Microsoft peut engager des tiers pour fournir certains services limités ou accessoires en son nom. Le Client accepte la mission de ces tiers et Affiliés Microsoft en qualité de Sous-traitants Ultérieurs. Les autorisations ci-dessus constitueront le consentement écrit préalable du Client à la sous-traitance par Microsoft du traitement des Données Client et des Données à Caractère Personnel si un tel consentement est requis en vertu des Clauses Contractuelles Types ou des Conditions du RGPD.

Microsoft est responsable du respect par ses Sous-traitants Ultérieurs des obligations de Microsoft en vertu des présentes Conditions des Services en Ligne. Microsoft met à disposition des informations sur les Sous-traitants Ultérieurs sur un site Web Microsoft. Lors de l’engagement d’un Sous-Traitant Ultérieur, Microsoft s’assurera par un contrat écrit que le Sous-Traitant Ultérieur peut accéder aux Données Client ou aux Données à Caractère Personnel et les utiliser uniquement pour fournir les services que Microsoft lui a confiés et qu’il ne doit en aucun cas utiliser les Données Client ou les Données à Caractère Personnel à d’autres fins. Microsoft veillera à ce que ses Sous-traitants Ultérieurs soient liés par des contrats écrits offrant un niveau de protection des données au moins égal à celui imposé à Microsoft par les OST. »

Au regard de cette jurisprudence, les personnes soumises au secret professionnel devraient, à tout le moins, s’intéresser à l’étendue des sous-traitants susceptibles d’accéder aux données personnelles. L’exigence d’un chiffrement dont seul le maître du secret, voire son sous-traitant direct, détiendrait la clef, est une piste de solution.


Ce site n'utilise que deux cookies: Un pour indiquer temporairement aux serveurs la langue que vous avez choisie lors de la configuration de vos outils informatiques. Un autre pour rappeler aux serveurs votre choix d'accepter les présentes conditions, afin d’éviter de reposer la question à la prochaine visite. En poursuivant la consultation de notre site, vous acceptez l’utilisation des cookies aux fins énoncées ci-dessus, ainsi que l'enregistrement temporaire sur les serveurs de quelques données personnelles à des fins techniques. En savoir plus.