Sous-traitance de traitements de données

Traitements de données effectués par un tiers mandaté par le maître de fichier.

Autrement dit, c'est lorsque les organes publics cantonaux ou communaux compétents font appel à la collaboration de personnes ou d’entreprises privées pour traiter leurs données. Cette collaboration peut porter sur la partie technique du traitement; elle peut aussi concerner tout ou partie du traitement matériel des données personnelles, comme par ex. la collecte de celles-ci. Le contenu du mandat est dès lors modulable et doit être adapté au cas d’espèce.

Les services de l’administration cantonale et communale font parfois appel à des entreprises ou de personnes privées pour traiter leurs données. Ce type de traitement sur mandat, appelé aussi outsourcing, est admissible selon la législation, mais il ne doit en aucun cas entraîner un affaiblissement de la protection des données.

L’organe public qui conclut un mandat avec un tiers demeure responsable de la protection des données (art. 54 CPDT-JUNE). Il garde la compétence de décision concernant les données, sur lui repose la légitimité du traitement et il est responsable de la compatibilité du traitement avec les principes généraux de la protection des données. Il doit choisir avec soin le tiers auquel il veut confier les données et veiller à ce que le mandataire respecte les impératifs de la protection des données, plus encore s’il s’agit de données sensibles.

Le mandataire privé est en principe soumis à la Loi fédérale sur la protection des données du 19 juin 1992 (LPD) et ainsi à la surveillance du Préposé fédéral. Pour que l’organe public cantonal et communal, soumis à la CPDT-JUNE, puisse assumer sa responsabilité en la matière, l'art. 54 CPDT-JUNE dispose que l’octroi du mandat à un privé fait en principe l’objet d'une base légale ou d’un contrat dans lequel sont fixées les règles de protection de données à respecter (voir ce modèle) (^{explications reprises de l'aide-mémoire fribourgeois concernant le traitement sur mandat (outsourcing) lorsque l’organe public fait traiter des données personnelles par un tiers privé})

Sitôt qu'une entité soumise à la CPDT-JUNE sous-traite un traitement de données, les conditions de l'article 54 CPDT-JUNE doivent être respectées.

Ce dernier permet de confier des traitements de données à des tiers, mais uniquement si  les conditions légales suivantes sont respectées :

• une base légale ou une convention avec le tiers le prévoit;

• le mandant ne peut confier que des traitements qu’il est lui-même en droit d’effectuer;

• aucune obligation légale ou contractuelle de garder le secret ne l’interdit;

  • Principaux secrets spéciaux: le secret de fonction (art. 320 CP, RS 311.0, 20 LSt, RSN 152.510; 25 LPer, RSJU 173.11); secret professionnel (art. 321 CP); le secret en matière de recherche médicale (art. 321 bis CP);  le secret postal et de la télécommunication (art. 321 ter CP); l’exploitation de la connaissance de faits confidentiels (art. 161 CP); le secret de fabrication ou secret commercial (art. 162 CP);  la publication de documents officiels secrets (art. 293 CP); le secret militaire (art. 329 CP); le secret bancaire (art. 47 LB, RS 952.0); le secret des affaires (art. 321a, al. 4, 340, al. 2,697, 697e, 730b, al. 2, 803, al. 1, 857, al. 2 CO, RS 220; art. 51, al. 2 LDA, RS 231.1; 4 lit. c, 6 et 23 LCD, RS 241; 162 CP, RS 311.0); le secret sur les bourses et le commerce des valeurs mobilières (art. 47 LBVM, RS 954.1); le devoir de discrétion en matière de protection des données (49a et 50a LAVS; RS 832.10; le secret des données traitées dans le cadre de l’application de la loi sur le travail (art. 44 LTr, RS 822.11); le secret relatif aux contrôles en matière de lutte contre le travail au noir (art. 5 LTN, RS 822.41 ); le secret en matière de service public de l’emploi (art. 34 LSE, RS 823.11); le secret des données personnelles en matière d’assurances sociales (art. 33 LPGA, RS 830.1; 63 et 87 LAVS, RS 831.10; 70 LAI, RS 831.20; 76 LPP, RS 831.40 ); 92 LAMal, RS 832.10; 97 LAA, RS 832.20; 105 LACI, RS 835.0); le secret fiscal (art. 110 LIFD, RS 642.11; 39 LHID, RS 642.14; le secret des dossiers de police (art. 89ss LPol, RSNE 561.1); le secret statistique (art. 14, al. 2 LSF, RS 431.01);

  • lorsque les données personnelles sont soumises au secret de fonction, comme la plupart de celles détenues par les collectivités publiques, le responsable du traitement se doit de soumettre contractuellement le sous-traitant au secret de fonction. Cette démarche n'est possible que lorsque le traitement des données personnelles est concrètement effectué sur le territoire suisse. Il n'est pas possible de soumettre au secret de fonction des résidants d'autres pays (voir Sylvain Métille, L'utilisation de l'informatique en nuage par l'administration publique, PJA 2019, Dike Verlag AG, p. 609-621 (614)).

  • S'il s'agit de données soumises au secret professionnel, la sous-traitance peut se faire aux conditions relevées par le Tribunal fédéral et énumérées dans l'avis 2019.2938.

  • S'il s'agit de données fiscales, il faut impérativement une loi formelle levant le secret fiscal en faveur du sous-traitant.

  • S'il s'agit de données sensibles, il est possible de faire appel à un sous-traitant pour le traitement des données, pour autant que cette pratique ne soit pas légalement interdite, n'entraîne pas d'affaiblissement de la protection des données et que le mandant bénéficie des bases légales formelles pour traiter les données.

• la sécurité des données est assurée;

• le tiers doit s'engager à accepter les mêmes contrôles que le mandant, notamment ceux du PPDT.

A relever que le mandant demeure responsable de la protection des données ; il veille notamment à ce que ne soient pas effectués des traitements autres que ceux qu’il a confiés et que la structure juridique du mandataire lui permette d'assumer ses responsabilités contractuelles.

Un sous-traitant doit en premier lieu se conformer aux exigences applicables au mandant, soit celles de la CPDT-JUNE. Ces dernières doivent en principe être imposées contractuellement, voire par la loi, au sous-traitant. L’art. 54 al. 2 CPDT-JUNE précise même que «  Le responsable du traitement demeure responsable de la protection des données; il veille notamment à ce que le sous-traitant respecte la présente convention et qu'il n'effectue pas d'autre traitement que celui confié. Le responsable du traitement doit en particulier s'assurer que le sous-traitant est en mesure de garantir la sécurité des données. ».

Le fait qu’un sous-traitant se dit respecter la nLPD ou RGPD permet juste de laisser penser que le standard de sécurité et confidentialité devrait en principe être respecté.

Autrement dit, parmi les 24 obligations, cet engagement ne permet que de supposer que les no 11, 13 devraient être respectées. Toutes les autres restent du ressort exclusif du responsable de traitement.

Par ailleurs, il ne faut pas oublier que l’art. 54 al. 2^bis CPDT-JUNE impose que « Le sous-traitant ne peut à son tour confier un traitement à un tiers qu'avec l'autorisation préalable du responsable du traitement. ».

1. Selon la dernière détermination du Conseil fédéral dans le cadre de la révision de la LPD, les OPF sont soumis à la surveillance des préposés cantonaux et aux règles cantonales de protection des données, sous réserve du respect de la hiérarchie des normes fédérales : « Les registres publics de droit privé qui relèvent de la compétence des cantons sont régis par le droit cantonal de protection des données, y compris lorsque ces données sont traitées en exécution du droit fédéral. Le droit cantonal ne doit toutefois pas empêcher l’application uniforme et juste du droit privé fédéral et en particulier le principe de publicité des registres. L’abrogation de l’art. 2, al. 2, let. d, LPD n’a ainsi pas de conséquences pour les registres cantonaux suivants: le registre foncier, le registre des bateaux, les registres cantonaux du commerce, les registres concernant la poursuite pour dettes et faillites et le registre public sur les pactes de réserves de propriété. ».
   Les commandements de payés ne contiennent pas systématiquement des données sensibles au sens de la loi, mais peuvent en avoir. Notamment lorsque le créancier est un organisme d’aide sociale. Le cas échéant, on obtient l’information que le poursuivi est ou a été bénéficiaire d’une prestation sociale. Par conséquent, pour être légitimé à communiquer à un autre service ou à des tiers des données sensibles, il faut une base légale adoptée par le Parlement. Par conséquent, la sous-traitance de l’impression de ceux-ci doit répondre aux exigences de ce modèle. Sans compter, que de nos jours, les produits étant souvent sous forme de cloud, il faut encore respecter les exigences pour ce dernier (dossier 2022.4185).

2. L’emploi du temps professionnel des membres de la fonction publique est transparent. Autrement dit, il est accessible à tout un chacun. En d’autres termes, les règles de protection des données ne s’appliquent pas dans un tel cas, à commencer par celle relative au lieu d’hébergement. Par conséquent, il n’y a pas de contre-indication à l’utilisation de Framadate, selon les conditions contractuelles du 13.05.2022, (dossier 2022.4283).

3. Selon les conditions contractuelles du 30.05.2022, et dans la mesure où l’application Wiris Quizzes for Moodle ne récolte absolument aucune donnée personnelle, il n’y a pas de contre-indication à l’utilisation (dossier 2022.4302).

4. Au regard de la politique de confidentialité du fournisseur et sans règles d’utilisation particulières, l’application Kailo-edu n’est pas utilisable dans le respect des règles de protection des données, selon les conditions contractuelles du 30.05.2022 (dossier 2022.4306).

5. Selon les conditions contractuelles du 31.05.2022, l’application Algopyhton peut être utilisée conformément aux règles de protection des données, sous réserve que l’enseignant crée un compte pour lui et les élèves, en utilisant des pseudos non significatifs pour ces derniers et sans adresse e-mail (dossier 2022.4309).

6. Selon les conditions contractuelles du 02.09.2022, la plateforme La Digitale  https://ladigitale.dev/ hébergée en Suisse peut être utilisée, pour autant que le service informatique concerné confirme que les standards usuels de sécurité sont respectés, selon les conditions contractuelles du 02.09.2022 (dossier 2022.4416).

7. Les adresses courriels professionnelles des enseignants peuvent être utilisées comme identifiant pour une plateforme et cette dernière devra, en principe, être utilisée depuis le réseau interne de l’école, afin d’assurer un meilleur anonymat, notamment grâce à une adresse IP translatée (pas de traçabilité via l’adresse IP) (dossier 2021.4060).

8. Un « chat » peut être mis en place pour répondre aux questions des administrés, pour autant que la confidentialité et la sécurité des données soient garanties. Le prestataire devrait garantir le chiffrement des données et l’entité cantonale devrait être seule à détenir la clef de chiffrement. Faute de quoi, les données ne peuvent pas sortir de Suisse et le sous-traitant doit offrir toutes les autres garanties (dossier 2021.4007).

9. L’application Padlet n’offre pour l’instant pas les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Pour parer à ces exigences juridiques, il faudrait que les utilisateurs puissent rester anonymes ou que la Suisse reconnaisse à nouveau les USA comme un pays offrant une protection équivalente. L’utilisation devra se faire depuis le réseau interne de l’école afin d’assurer un meilleur anonymat, notamment grâce à une adresse IP translatée (pas de traçabilité via l’adresse IP), selon les conditions contractuelles du 18.10.2021 (dossier 2021.3970).

10. L’application Pix peut être utilisée, sous réserve d’indiquer clairement et préalablement aux utilisateurs : le lieu de situation du service, le nom du fournisseur de service, les données récoltées ainsi que les finalités, selon les conditions contractuelles du 19.10.2021 (dossier 2021.3970).

11. L’application Kahoot n’offre pour l’instant pas toutes les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Elle peut être utilisée pour autant que l’accès à un quiz ne se fasse pas avec la création d’un compte par les élèves. Ces derniers ne doivent pouvoir se connecter sur l’application qu’en entrant le code PIN du quizz créé par leur enseignant, en s’identifiant à l’aide d’un prénom fictif d’utilisateur. De plus, les résultats des exercices ne pourront pas être associés facilement à un élève. L’utilisation devra se faire depuis le réseau interne de l’école afin d’assurer un meilleur anonymat, notamment grâce à une adresse IP translatée (pas de traçabilité via l’adresse IP), selon les conditions contractuelles du 20.10.2021 (dossier 2021.3970).

12. L’application Quizlet n’offre pour l’instant pas toutes les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Le principe de la proportionnalité impose que d’autres produits plus respectueux de la protection des données soient utilisés, vue que l'offre en la matière existe, selon les conditions contractuelles du 21.10.2021 (dossier 2021.3970).

13. L’application Active Presenter n’offre pour l’instant pas toutes les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Une utilisation est possible si les étudiants/élèves restent anonymes, en ne livrant pas de données personnelles reconnaissables pour se connecter et si l’utilisation se fait exclusivement depuis le réseau interne de l’école, afin d’assurer un meilleur anonymat, notamment grâce à une adresse IP translatée (pas de traçabilité via l’adresse IP), selon les conditions contractuelles du 29.11.2021 (dossier 2021.4034).

14. L’application BlinkLearning n’offre pour l’instant pas toutes les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Une possibilité pour une utilisation conforme aux règles de protection des données serait le chiffrement des données selon les standards usuels, avec la conservation de la clef par l’entité responsable du traitement, selon les conditions contractuelles du 02.09.2021 (dossier 2021.3918).

15. Il n’est pas conseillé aux entités de s’engager à respecter le RGPD. Les obligations imposées par ce dernier sont plus exigeantes et onéreuses que celles prévues dans la CPDT-JUNE (dossier 2021.4061).

16. Un centre de loisir communal situé dans une zone frontière et fréquenté par des frontaliers n’est pas soumis au RGPD si son site internet ne cible pas expressément cette clientèle. Pour plus de détails, voir l’avis 2018.2320 (dossier 2020.3468).

17. La sous-traitance n’est pas autorisée si un secret l’interdit, tel que celui de l’article 11 de la Loi sur l’aide aux victimes d’infractions (LAVI). Contrairement au secret professionnel, les auxiliaires ne sont pas prévus. Il est même spécifié que le secret s’applique à tous les particuliers et toutes les autorités. Seul le consentement de la personne concernée permet la levée du secret. Par conséquent, il n’est pas possible de sous-traiter les données non anonymisées (dossier 2019.3042).

18. Les écoles peuvent utiliser Microsoft Office365, pour autant qu'elles utilisent le contrat spécial prévu à cet effet, disponible auprès d'Educa.ch et qu'elles se limitent aux applications figurant dans liste disponible auprès du PPDT (dossier 2018.2465).

19. Une newsletter traitant des données, telles que nom, genre, date de naissance, langue, adresse email, numéro de téléphone, adresse de domicile, employeur, adresse du travail, titre, expertise, autres informations démographiques, historique d'achats et présence à un évènement, répond aux exigences des règles de protection des données, pour autant que les personnes concernées soient clairement informées que les données partiront aux USA auprès d’une société ayant adhéré au Swiss Privacy Shield. Une reproduction du Data Processing Agreement (Accord de traitement des données) serait le bienvenu (dossier 2017.2077).

20. Les services compétents en matière d'agriculture sont en droit de sous-traiter à AGRIDEA le traitement informatique des données relatives aux solutions de paiements directs, de la caisse des épizooties et des crédits agricoles, pour autant qu'ils respectent les exigences posées par la CPDT-JUNE (dossier 2016.1335).

21. Il est fermement déconseillé aux entités d'utiliser un cloud pouvant stocker des données aux USA, malgré l'existence du Safe-Harbord (dossier 2015.1017).

22. NOMAD est en droit de communiquer un fichier d'adresses de bénéficiaires en difficulté pour que son sous-traitant puisse les contacter afin d'évaluer s'il est possible de les aider (2015.0990).

23. Les communes recourant aux services d'Easyvote se doivent de respecter l'article 54 CPDT-JUNE (dossier 2014.0833).

24. Des services industriels sont en droit de communiquer des données relatives aux installations de chauffage lorsqu'elles ne peuvent pas être rattachées à un bâtiment. Sinon, ils doivent respecter les conditions de l'article 54 CPDT-JUNE.

25. Une entité est en droit de sous-traiter le traitement des postulations des candidats sous réserve du respect de nombreuses conditions (dossier 2013.0415 / 2013.0437).

26. Le Service des contributions neuchâtelois est en droit de sous-traiter le scannage des feuilles d'impôts auprès d'un mandataire. Pour ce faire il doit préalablement obtenir les garanties que les règles de la CPDT-JUNE seront scrupuleusement respectées (dossier 2013.0648).

27. Les entités soumises à la CPDT-JUNE ne peuvent pas migrer leur messagerie dans un cloud, sans prendre beaucoup de précautions contractuelles (dossier 2013.0538).

1. Les contrats de prestation passés par l'Etat avec des tiers sont en principe accessibles, à moins qu'une des exceptions au sens de l’art. 72 CPDT-JUNE puisse être valablement invoquée (dossier 2022.4125).

2. Les contrats de prestations passés par l’Etat sont des documents officiels dont le refus d’accès ne peut reposer que sur les exceptions figurant à l’art. 72 CPDT-JUNE. Deux catégories d’exceptions sont prévues dans la loi : les intérêts publics, expliqués ici, et les intérêts privés, expliqués ici. En l’occurrence, a priori, seules la révélation d’un secret de fabrication ou d’affaires et la mise en en danger de la sécurité publique paraissent mériter une attention particulière, pour certains d’entre eux (par ex : transport de détenus, sécurité des prisons, …). Si l’exception est réalisée, il faut néanmoins examiner si un caviardage permet d’éviter le refus pur et simple (dossier 2022.4220).