Préposé à la protection des données et transparence Jura-Neuchâtel

Sous-traitance de traitements de données

Protection des données

Définition

* Traitements de données effectués par un tiers mandaté par le maître de fichier.

Autrement dit, c'est lorsque les organes publics cantonaux ou communaux compétents font appel à la collaboration de personnes ou d’entreprises privées pour traiter leurs données. Cette collaboration peut porter sur la partie technique du traitement; elle peut aussi concerner tout ou partie du traitement matériel des données personnelles, comme par ex. la collecte de celles-ci. Le contenu du mandat est dès lors modulable et doit être adapté au cas d’espèce.

Les services de l’administration cantonale et communale font parfois appel à des entreprises ou de personnes privées pour traiter leurs données. Ce type de traitement sur mandat, appelé aussi outsourcing, est admissible selon la législation, mais il ne doit en aucun cas entraîner un affaiblissement de la protection des données.

L’organe public qui conclut un mandat avec un tiers demeure responsable de la protection des données (art. 54 CPDT-JUNE). Il garde la compétence de décision concernant les données, sur lui repose la légitimité du traitement et il est responsable de la compatibilité du traitement avec les principes généraux de la protection des données. Il doit choisir avec soin le tiers auquel il veut confier les données et veiller à ce que le mandataire respecte les impératifs de la protection des données, plus encore s’il s’agit de données sensibles.

Le mandataire privé est en principe soumis à la Loi fédérale sur la protection des données du 19 juin 1992 (LPD) et ainsi à la surveillance du Préposé fédéral. Pour que l’organe public cantonal et communal, soumis à la CPDT-JUNE, puisse assumer sa responsabilité en la matière, l'art. 54 CPDT-JUNE dispose que l’octroi du mandat à un privé fait en principe l’objet d'une base légale ou d’un contrat dans lequel sont fixées les règles de protection de données à respecter (voir ce modèle).

 


 

* ces explications sont reprises de l'aide-mémoire fribourgeois concernant le traitement sur mandat (outsourcing) lorsque l’organe public fait traiter des données personnelles par un tiers privé.

Conditions légales pour sous-traiter un traitement de données

Sitôt qu'une entité soumise à la CPDT-JUNE sous-traite un traitement de données, les conditions de l'article 54 CPDT-JUNE doivent être respectées.

Ce dernier permet de confier des traitements de données à des tiers, mais uniquement si  les conditions légales suivantes sont respectées :

  • une base légale ou une convention avec le tiers le prévoit;

  • le mandant ne peut confier que des traitements qu’il est lui-même en droit d’effectuer;

  • aucune obligation légale ou contractuelle de garder le secret ne l’interdit;

    • Principaux secrets spéciaux: le secret de fonction (art. 320 CP, RS 311.0, 20 LSt, RSN 152.510; 25 LPer, RSJU 173.11); secret professionnel (art. 321 CP); le secret en matière de recherche médicale (art. 321 bis CP);  le secret postal et de la télécommunication (art. 321 ter CP); l’exploitation de la connaissance de faits confidentiels (art. 161 CP); le secret de fabrication ou secret commercial (art. 162 CP);  la publication de documents officiels secrets (art. 293 CP); le secret militaire (art. 329 CP); le secret bancaire (art. 47 LB, RS 952.0); le secret des affaires (art. 321a, al. 4, 340, al. 2,697, 697e, 730b, al. 2, 803, al. 1, 857, al. 2 CO, RS 220; art. 51, al. 2 LDA, RS 231.1; 4 lit. c, 6 et 23 LCD, RS 241; 162 CP, RS 311.0); le secret sur les bourses et le commerce des valeurs mobilières (art. 47 LBVM, RS 954.1); le devoir de discrétion en matière de protection des données (49a et 50a LAVS; RS 832.10; le secret des données traitées dans le cadre de l’application de la loi sur le travail (art. 44 LTr, RS 822.11); le secret relatif aux contrôles en matière de lutte contre le travail au noir (art. 5 LTN, RS 822.41 ); le secret en matière de service public de l’emploi (art. 34 LSE, RS 823.11); le secret des données personnelles en matière d’assurances sociales (art. 33 LPGA, RS 830.1; 63 et 87 LAVS, RS 831.10; 70 LAI, RS 831.20; 76 LPP, RS 831.40 ); 92 LAMal, RS 832.10; 97 LAA, RS 832.20; 105 LACI, RS 835.0); le secret fiscal (art. 110 LIFD, RS 642.11; 39 LHID, RS 642.14; le secret des dossiers de police (art. 89ss LPol, RSNE 561.1); le secret statistique (art. 14, al. 2 LSF, RS 431.01);

    • lorsque les données personnelles sont soumises au secret de fonction, comme la plupart de celles détenues par les collectivités publiques, le responsable du traitement se doit de soumettre contractuellement le sous-traitant au secret de fonction. Cette démarche n'est possible que lorsque le traitement des données personnelles est concrètement effectué sur le territoire suisse. Il n'est pas possible de soumettre au secret de fonction des résidants d'autres pays (voir Sylvain Métille, L'utilisation de l'informatique en nuage par l'administration publique, PJA 2019, Dike Verlag AG, p. 609-621 (614)).

    • S'il s'agit de données sensibles, il faut une base légale prévoyant la sous-traitance ou un consentement valable des personnes concernées, ainsi que celui de l'autorité supérieure lorsqu'elles sont détenues par une collectivité publique.

    • S'il s'agit de données fiscales, il faut impérativement une loi formelle levant le secret fiscal en faveur du sous-traitant.

  • la sécurité des données est assurée;

  • le tiers doit s'engager à accepter les mêmes contrôles que le mandant, notamment ceux du PPDT.

A relever que le mandant demeure responsable de la protection des données ; il veille notamment à ce que ne soient pas effectués des traitements autres que ceux qu’il a confiés.

Prises de position sommaires du PPDT

2019 - 2018 - 2017 - 2015 -2014 - 2013

  1. La sous-traitance n’est pas autorisée si un secret l’interdit, tel que celui de l’article 11 de la Loi sur l’aide aux victimes d’infractions (LAVI). Contrairement au secret professionnel, les auxiliaires ne sont pas prévus. Il est même spécifié que le secret s’applique à tous les particuliers et toutes les autorités. Seul le consentement de la personne concernée permet la levée du secret. Par conséquent, il n’est pas possible de sous-traiter les données non anonymisées (dossier 2019.3042).

  2. Les écoles peuvent utiliser Microsoft Office365, pour autant qu'elles utilisent le contrat spécial prévu à cet effet, disponible auprès d'Educa.ch et qu'elles se limitent aux applications figurant dans liste disponible auprès du PPDT (dossier 2018.2465).

  3. Une newsletter traitant des données, telles que nom, genre, date de naissance, langue, adresse email, numéro de téléphone, adresse de domicile, employeur, adresse du travail, titre, expertise, autres informations démographiques, historique d'achats et présence à un évènement, répond aux exigences des règles de protection des données, pour autant que les personnes concernées soient clairement informées que les données partiront aux USA auprès d’une société ayant adhéré au Swiss Privacy Shield. Une reproduction du Data Processing Agreement (Accord de traitement des données) serait le bienvenu (dossier 2017.2077).

  4. Les services compétents en matière d'agriculture sont en droit de sous-traiter à AGRIDEA le traitement informatique des données relatives aux solutions de paiements directs, de la caisse des épizooties et des crédits agricoles, pour autant qu'ils respectent les exigences posées par la CPDT-JUNE (dossier 2016.1335).

  5. Il est fermement déconseillé aux entités d'utiliser un cloud pouvant stocker des données aux USA, malgré l'existence du Safe-Harbord (dossier 2015.1017).

  6. NOMAD est en droit de communiquer un fichier d'adresses de bénéficiaires en difficulté pour que son sous-traitant puisse les contacter afin d'évaluer s'il est possible de les aider (2015.0990).

  7. Les communes recourant aux services d'Easyvote se doivent de respecter l'article 54 CPDT-JUNE (dossier 2014.0833).

  8. Des services industriels sont en droit de communiquer des données relatives aux installations de chauffage lorsqu'elles ne peuvent pas être rattachées à un bâtiment. Sinon, ils doivent respecter les conditions de l'article 54 CPDT-JUNE.

  9. Une entité est en droit de sous-traiter le traitement des postulations des candidats sous réserve du respect de nombreuses conditions (dossier 2013.0415 / 2013.0437).

  10. Le Service des contributions neuchâtelois est en droit de sous-traiter le scannage des feuilles d'impôts auprès d'un mandataire. Pour ce faire il doit préalablement obtenir les garanties que les règles de la CPDT-JUNE seront scrupuleusement respectées (dossier 2013.0648).

  11. Les entités soumises à la CPDT-JUNE ne peuvent pas migrer leur messagerie dans un cloud, sans prendre beaucoup de précautions contractuelles (dossier 2013.0538).

Ce site n'utilise que deux cookies: Un pour indiquer temporairement aux serveurs la langue que vous avez choisie lors de la configuration de vos outils informatiques. Un autre pour rappeler aux serveurs votre choix d'accepter les présentes conditions, afin d’éviter de reposer la question à la prochaine visite. En poursuivant la consultation de notre site, vous acceptez l’utilisation des cookies aux fins énoncées ci-dessus, ainsi que l'enregistrement temporaire sur les serveurs de quelques données personnelles à des fins techniques. En savoir plus.