Weka Plus

Traitement des données contractuelles: Externalisation (outsourcing) des tâches à l'ère de la numérisation

Rares sont les entreprises qui effectuent de nos jours toutes leurs tâches elles-mêmes : la plupart en externalisent une partie contre rémunération. À l'ère de la numérisation, l'externalisation des tâches s'accompagne aussi régulièrement d'un transfert de données vers les sous-traitants. Si, à cette occasion, des données personnelles sont transmises au prestataire, la règlementation en matière de protection des données personnelles s’applique emportant un certain nombre d’exigences quant au contrat de sous-traitance.

06/05/2024 De: David Pressouyre
Traitement des données contractuelles

Besoin d’externalisation

À l’ère numérique, le recours à l’outsourcing notamment en matière informatique est devenu monnaie courante et est souvent impératif pour les entreprises. Les entreprises feront aussi régulièrement appel à divers prestataires qu’il s’agisse d’un hébergeur, d’un développeur de logiciel, d’une application ou d’une solution SaaS, d’une société de maintenance informatique, cela à côté de prestataires beaucoup plus traditionnels à l’image de la délégation de la gestion de la paie ou encore de la comptabilité.

Lorsque de tels prestataires sont amenés à traiter pour le compte de leurs mandants des données personnelles, c’est à dire toute information concernant une personne physique1 identifiée ou identifiable, de telles situations vont entraîner l’application de la législation applicable en matière de protection des données personnelles, en particulier les exigences relatives aux délégations de traitements de données personnelles. Il s’agira en Suisse dans le secteur privé principalement de la LPD, mais il pourra également s’agir dans certains cas de la législation européenne, c’est-à-dire le règlement général sur la protection des données (RGPD), voire également des lois cantonales sur la protection des données.

Ces cas de sous-traitance de traitements de données personnelles pour lesquels ces législations vont trouver application sont en réalité très fréquents. Il pourra s’agir de prestataires fournissant un logiciel de gestion de la relation client (CRM), d’une plateforme de services marketing, d’une application de gestion des ressources humaines, d’une solution d’hébergement informatique en nuage, d’une centrale d’appel, ou encore plus classiquement d’un fiduciaire pour certaines de ses missions.
 

La notion de sous-traitant

La notion de sous-traitant est répandue et classiquement admise dans le domaine de la protection des données personnelles. Elle vise la personne qui traite des données personnelles pour le compte d’un responsable du traitement et selon ses instructions (art. 5 let. k LPD). Elle se distingue donc de la notion de responsable du traitement qui, pour mémoire, est la personne qui détermine les finalités et les moyens d’un traitement (art. 5 let. j LPD). En résumé, on peut dire que le responsable du traitement est la personne qui prendra les décisions essentielles concernant les finalités et les modalités du traitement de données personnelles au regard des circonstances concrètes, alors que le sous-traitant traitera les données personnelles uniquement sur délégation du responsable du traitement, même si une certaine marge de manœuvre peut être laissée au sous-traitant s’agissant des modalités non-essentielles du traitement.

Néanmoins, il est important de comprendre qu’une déduction automatique d’un rôle de sous-traitant pour tous les cas dans lesquels une entreprise ou une personne intervient comme prestataire d’un client et traite des données personnelles ne saurait être retenue. En effet, si le prestataire dispose d’une marge de manœuvre qui dépasse de seuls aspects accessoires du traitement, il pourra alors être qualifié de responsable du traitement indépendant au sens de la législation en matière de protection des données.

Ainsi, un cabinet de consultant qui est mandaté par une entreprise pour effectuer un audit financier et lui transfère des données personnelles : si le cabinet traite ces données sans instruction détaillée, en décidant seul quelles données doivent être traitées et selon quelles modalités (enregistrement, durée de conservation, moyens techniques utilisés, etc.), il sera alors qualifié de responsable du traitement indépendant. Ce constat ne sera pas le même si le cabinet est soumis à des instructions très claires, précises et strictes de la part de son mandant, de sorte qu’il ne dispose d’aucune réelle marge de manœuvre sur les points essentiels du traitement : dans un tel cas, il sera alors qualifié de sous-traitant.

Lire la suite avec Weka+

  • Accès illimité à plus de 500 aides de travail
  • Tous les articles payants en accès illimité sur weka.ch
  • Actualisation quotidienne
  • Nouveaux articles et aides de travail hebdomadaires
  • Offres spéciales exclusives
  • Bons séminaires
  • Invitations aux webinaires en direct
A partir de CHF 16.50 par mois S'abonner maintenant Vous avez déjà un abonnement W+ ? S'inscrire ici
Newsletter S’abonner à W+