Supervision du sous-traitant (2024.5485)

Dans le cadre du contrôle des sous-traitants, l’article 54 de la CPDT-JUNE impose au responsable du traitement une obligation particulière de vigilance. Il doit notamment veiller à ce que le sous-traitant :

• respecte la convention CPDT-JUNE

• n’effectue aucun traitement autre que celui qui lui a été confié

• soit en mesure de garantir la sécurité des données traitées.

Le sous-traitant est soumis aux mêmes contrôles que le responsable du traitement.

Cela signifie que le responsable du traitement doit pouvoir démontrer, de même que le PPDT (alinéa 3), qu’il est en mesure de vérifier que le sous-traitant applique correctement la CPDT-JUNE.

Les responsables du traitement disposent en pratique de deux options :

• Obtenir des audits déjà réalisés, voire proposer au sous-traitant des thèmes spécifiques à inclure dans un futur audit. Plus les données sont sensibles, plus l'exigence d'audit doit être développée.

• Mettre en place des contrôles réguliers, en prévoyant un budget et des processus adaptés. La fréquence de ces contrôles dépendra notamment des risques d’atteinte à la personnalité liés au traitement concerné.

Lorsque le sous-traitant est établi en dehors du territoire cantonal, il est courant de prévoir que l’audit soit pris en charge par l’auditeur. En revanche, les frais internes supportés par l’audité (par exemple le temps de travail mis à disposition lors du contrôle) ne sont généralement pas facturés.

L’absence d’accès aux rapports d’audit ne permet pas au responsable du traitement de se décharger de ses responsabilités en cas d’incident chez le sous-traitant (par exemple un piratage informatique).

Enfin, conclure un contrat avec un sous-traitant qui refuse de se soumettre aux exigences de l’article 54 CPDT-JUNE constitue une violation de la CPDT-JUNE.