Sous-traitance internationale: Les précautions clés pour PME
Dr. iur. Lukas Lezzi
RA Dr.iur. Lukas Lezzi, CIPP/E, CIPM, est avocat indépendant à Zurich (LezziLegal). Ses activités se concentrent sur le droit de la protection des données et le droit des marchés financiers.
Bases légales
En principe, la loi fédérale sur la protection des données (LPD) s'applique au traitement des données personnelles en Suisse. Si des services ou des produits sont proposés dans l'UE/EEE, le Règlement général européen sur la protection des données (RGPD) est également applicable. En outre, d'autres dispositions réglementaires doivent encore être respectées, par exemple pour les gestionnaires de fortune agréés par la FINMA ou pour les start-ups du secteur médical, dans la mesure où elles traitent des données de patients.
La LPD révisée, dont le contenu présente de grandes similitudes avec le RGPD, est en vigueur en Suisse depuis le 1er septembre 2023. Les explications de cet article se réfèrent à la LPD révisée et il est également fortement recommandé de se pencher dès maintenant sur sa mise en œuvre étant donné qu'il n'y aura pas de période de transition.
Notions
Le responsable du traitement des données est la personne qui décide de la finalité et des moyens du traitement. Une PME, par exemple, est considérée comme responsable du traitement des données de ses clients pour la facturation. Le sous-traitant traite lui, en revanche, les données personnelles pour le compte du responsable du traitement (voir ci-après).
Sous-traitance
Définition
En cas de recours à un tiers externe, par exemple une agence de marketing, un fournisseur de services cloud ou une société de comptabilité externe, il faut toujours commencer par vérifier si des données personnelles sont traitées par ce tiers. Il peut s'agir de données de clients, mais aussi de données de collaborateurs (p. ex. en cas d'externalisation de la comptabilité salariale). Si des données personnelles sont concernées, il convient de vérifier s'il y a rapport de sous-traitance.
Il y a sous-traitance chaque fois qu'un tiers traite des données personnelles selon les instructions et dans l'intérêt du responsable du traitement des données. Le sous-traitant ne traite pas les données personnelles à ses propres fins, mais uniquement aux fins que le responsable du traitement lui a indiquées. Le sous-traitant est la « prolongation » du responsable. Dans la pratique, la délimitation peut parfois être difficile à établir. En principe, il faut partir du principe qu'il existe une relation de sous-traitance chez les fournisseurs de services en nuage, en cas d'externalisation de tâches administratives internes à l'entreprise ou en cas d'utilisation d'outils de marketing, comme les services d'envoi d'e-mails.
Recommandations de produits
Examen du sous-traitant
Avant de pouvoir faire appel à un sous-traitant, le responsable doit vérifier si celui-ci est en mesure de garantir la sécurité des données qu'il lui confiera. Cela ne pose généralement aucun problème pour les grands fournisseurs internationaux de services informatiques en nuage, car ces entreprises disposent d'un niveau élevé de sécurité des données. Pour les petites entreprises locales, comme un petit bureau de comptabilité, la vérification est souvent plus détaillée et plus compliquée. En principe, dans une telle situation, il faut s'assurer que le prestataire de services dispose d'un concept de sécurité des données et de directives internes en matière de gestion de la protection des données. Plus les données personnelles sont sensibles, plus le niveau de sécurité des données doit être élevé.
Contenu contractuel
S'il y a sous-traitance, un accord doit être conclu avec le sous-traitant concernant le traitement des données personnelles dans le cadre de cette prestation. Habituellement, une PME n'a pas assez de pouvoir de négociation avec les prestataires de services pour imposer ses propres contrats.
Sous-traitance internationale: transfert à l’étranger
En cas de sous-traitance internationale, à savoir si tel ou tel sous-traitant se trouve à l'étranger, il faut en outre vérifier si les dispositions de la LPD relatives à la communication à l'étranger sont remplies. En cas de communication dans l'espace UE/EEE, aucune autre mesure ne doit être prise. En cas de communication en dehors de l'UE/EEE, il convient de vérifier si l'Etat en question dispose d'une protection des données adéquate. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) publie une liste des Etats qui ont un niveau de protection des données adéquat.
Dans le cas dune sous-traitance internationale où un prestataire de services est établi dans un pays ne disposant pas d'une protection des données adéquate, il faut alors prendre des mesures supplémentaires pour que le transfert puisse tout de même avoir lieu. Une possibilité est d'obtenir le consentement des personnes concernées. Cela n'est toutefois pas recommandé, car ce consentement peut être révoqué à tout moment et la communication doit alors être stoppée. Dans la pratique, on utilise généralement ce que l'on appelle les clauses contractuelles types de l'UE. Ces clauses contractuelles types peuvent alors établir un niveau de protection des données adéquat et un transfert peut avoir lieu. Pour que cet effet se produise, elles ne peuvent être modifiées que de manière très limitée (adaptations au droit suisse). Il faut toutefois toujours vérifier si d'autres mesures, comme le cryptage des données personnelles, sont éventuellement nécessaires. Le PFPDT a mis à disposition sur son site Internet de nombreuses aides ainsi que les clauses contractuelles standard à télécharger.
Conséquences de la sous-traitance internationale sur le plan pénal
Si certaines obligations sont violées dans le cadre de la sous-traitance ou si des données personnelles sont transmises dans un pays ne disposant pas d'une protection des données adéquate sans prendre de mesures supplémentaires, il peut s'agir d'un acte punissable.
Le délit n'est poursuivi que sur plainte. Une sanction sous forme d'amende pouvant aller jusqu'à CHF 250'000.- est encourue. Contrairement au RGPD, c'est la personne physique qui commet le délit qui est directement sanctionnée et non l'entreprise.
En résumé
Les relations de sous-traitance sont très fréquentes dans la pratique. Pour les PME, il est important que le soin nécessaire soit apporté à la sélection des prestataires de services et que la protection des données soit également respectée. Même si les contrats de sous-traitance standard des prestataires de services sont souvent présentés, il est important de vérifier qu'ils respectent les dispositions légales en matière de protection des données. Il faut notamment veiller à ce que les données personnelles concernées et les activités de traitement soient correctement représentées dans le contrat. En cas de transfert à l'étranger, il faut toujours vérifier si le pays de destination dispose d'un niveau de protection des données adéquat. Si ce n'est pas le cas, il est souvent possible d'utiliser des clauses contractuelles standard. Toutefois, dans de tels cas et en particulier pour les données sensibles, il convient d'envisager une assistance externe.
