Traitement des données contractuelles: Externalisation (outsourcing) des tâches à l'ère de la numérisation
David Pressouyre
Avocat en droit suisse et français, David Pressouyre est titulaire d’une maîtrise de l’Université de Lausanne en droit, criminalité et sécurité des technologies de l’information et d’un master en contentieux et arbitrage de l’Université Paris II Panthéon-Assas. Il exerce à Lausanne, principalement dans le domaine du droit des affaires et des nouvelles technologies.
Aides de travail appropriées
Besoin d’externalisation
À l’ère numérique, le recours à l’outsourcing notamment en matière informatique est devenu monnaie courante et est souvent impératif pour les entreprises. Les entreprises feront aussi régulièrement appel à divers prestataires qu’il s’agisse d’un hébergeur, d’un développeur de logiciel, d’une application ou d’une solution SaaS, d’une société de maintenance informatique, cela à côté de prestataires beaucoup plus traditionnels à l’image de la délégation de la gestion de la paie ou encore de la comptabilité.
Lorsque de tels prestataires sont amenés à traiter pour le compte de leurs mandants des données personnelles, c’est à dire toute information concernant une personne physique1 identifiée ou identifiable, de telles situations vont entraîner l’application de la législation applicable en matière de protection des données personnelles, en particulier les exigences relatives aux délégations de traitements de données personnelles. Il s’agira en Suisse dans le secteur privé principalement de la LPD, mais il pourra également s’agir dans certains cas de la législation européenne, c’est-à-dire le règlement général sur la protection des données (RGPD), voire également des lois cantonales sur la protection des données.
Ces cas de sous-traitance de traitements de données personnelles pour lesquels ces législations vont trouver application sont en réalité très fréquents. Il pourra s’agir de prestataires fournissant un logiciel de gestion de la relation client (CRM), d’une plateforme de services marketing, d’une application de gestion des ressources humaines, d’une solution d’hébergement informatique en nuage, d’une centrale d’appel, ou encore plus classiquement d’un fiduciaire pour certaines de ses missions.
La notion de sous-traitant
La notion de sous-traitant est répandue et classiquement admise dans le domaine de la protection des données personnelles. Elle vise la personne qui traite des données personnelles pour le compte d’un responsable du traitement et selon ses instructions (art. 5 let. k LPD). Elle se distingue donc de la notion de responsable du traitement qui, pour mémoire, est la personne qui détermine les finalités et les moyens d’un traitement (art. 5 let. j LPD). En résumé, on peut dire que le responsable du traitement est la personne qui prendra les décisions essentielles concernant les finalités et les modalités du traitement de données personnelles au regard des circonstances concrètes, alors que le sous-traitant traitera les données personnelles uniquement sur délégation du responsable du traitement, même si une certaine marge de manœuvre peut être laissée au sous-traitant s’agissant des modalités non-essentielles du traitement.
Néanmoins, il est important de comprendre qu’une déduction automatique d’un rôle de sous-traitant pour tous les cas dans lesquels une entreprise ou une personne intervient comme prestataire d’un client et traite des données personnelles ne saurait être retenue. En effet, si le prestataire dispose d’une marge de manœuvre qui dépasse de seuls aspects accessoires du traitement, il pourra alors être qualifié de responsable du traitement indépendant au sens de la législation en matière de protection des données.
Ainsi, un cabinet de consultant qui est mandaté par une entreprise pour effectuer un audit financier et lui transfère des données personnelles : si le cabinet traite ces données sans instruction détaillée, en décidant seul quelles données doivent être traitées et selon quelles modalités (enregistrement, durée de conservation, moyens techniques utilisés, etc.), il sera alors qualifié de responsable du traitement indépendant. Ce constat ne sera pas le même si le cabinet est soumis à des instructions très claires, précises et strictes de la part de son mandant, de sorte qu’il ne dispose d’aucune réelle marge de manœuvre sur les points essentiels du traitement : dans un tel cas, il sera alors qualifié de sous-traitant.
Lire la suite avec 
- Accès illimité à plus de 500 aides de travail
- Tous les articles payants en accès illimité sur weka.ch
- Actualisation quotidienne
- Nouveaux articles et aides de travail hebdomadaires
- Offres spéciales exclusives
- Bons séminaires
- Invitations aux webinaires en direct
