Aide-mémoire sur le mandat pour l'externalisation du traitement des données

Le présent aide-mémoire se fonde sur le pouvoir de conseil de la Préposée (art. 54 al. 1 let. b de la Loi fribourgeoise du 12 octobre 2023 sur la protection des données, LPrD ; RSF 17.1). A considérer comme ligne de conduite, il a pour but de guider les organes publics cantonaux ou communaux compétents lorsqu'ils font appel à la collaboration de personnes ou d’entreprises privées pour traiter leurs données. Cette collaboration peut porter sur la partie technique du traitement ; elle peut aussi concerner tout ou partie du traitement matériel des données personnelles, comme par ex. la collecte de celles-ci, l’hébergement ou encore le traitement à proprement parler. Le contenu du mandat est défini par le responsable de traitement / evtl. par les parties et doit être adapté au cas d’espèce. Nous vous rendons également attentif aux dispositions du Règlement du 29 juin 1999 sur la sécurité des données personnes (RSD ; RSF 17.15).

L’aide-mémoire est complété par des documents « check-liste pour établir un contrat » et « charte » (voir annexes).

Les services de l’administration cantonale et communale font souvent appel à des entreprises ou de personnes privées pour traiter leurs données. Ce type d’externalisation du traitement de données personnelles sur mandat, appelé aussi outsourcing ou traitement sur mandat, est admissible selon la législation.

L’organe public qui conclut un mandat avec un tiers, demeure responsable de la protection des données (art. 19 ainsi que l’art. 37 al. 1 LPrD). Il garde la compétence de décision concernant les données, sur lui repose la légitimité du traitement et il est responsable que le traitement soit compatible avec les principes généraux de la protection des données. Il doit choisir avec soin le tiers auquel il veut confier les données et veiller à ce que le mandataire respecte les impératifs de la protection des données, plus encore s’il s’agit de données sensibles.

Le mandataire privé est en principe soumis à la Loi fédérale sur la protection des données du 25 septembre 2020 (LPD ; RS 235.1) et ainsi à la surveillance du Préposé fédéral. Pour que l’organe public cantonal et communal, soumis à la loi cantonale de protection des données, puisse procéder à une telle externalisation, il doit respecter les principes et exigences prévus à l’article 18 et suivants LPrD.

C’est pourquoi, un contrat doit être conclu contenant les informations minimales citées dans l’article 19 alinéa 1 lettre b LPrD. Cela peut être réalisé sous la forme d’un contrat complémentaire au mandat principal ou faire partie intégrante du mandat.

Du point de vue de la protection des données, il semble notamment important de traiter ces questions de manière préalable :

• Des données personnelles au sens de la LPrD (art. 4 al. 1 let. a et d LPrD), qu’elles soient sensibles ou non (art. 4 al. 1 let. c LPrD) seront-elles sous-traitées ? 
• Le responsable du traitement est-il défini? Responsable du traitement voire coresponsable (art. 19 et 4 LPrD) ?
• Le responsable du traitement est-il en droit de traiter les données personnelles qui vont faire l’objet de l’externalisation de traitement (art. 19 al. 1 let. c LPrD) ?
• Existe-t-il un contrat écrit avec le sous-traitant qui doit être précisé ? Les clauses de protection des données sont-elles suffisantes ?
• S’agit-il de données personnelles soumises au secret de fonction ? si oui, une clause contractuelle spécifique est-elle prévue ?
• Les données soumises au secret de fonction sont-elles traitées/hébergées par le sous-traitant en Suisse ? Y a-t-il une sous-traitance en cascade à l’étranger ?
• Dans le cas où il y a une sous-traitance ou une sous-traitance en cascade à l’étranger, l’Etat étranger fait-il partie de la liste des Etats assurant un niveau de protection adéquat  (Annexe 1 OPDo = Ordonnance sur la protection des données du 31 août 2022, RS 235.11) ?
• Le responsable du traitement a-t-il passé en revue les points essentiels de la sous-traitance ? Voir notamment l’aide-mémoire de Privatim concernant la technologie du cloud. 
• Le responsable du traitement est-il en possession de l’analyse des risques (concept SIPD = de sécurité de l’information et protection des données) ?
• Le responsable du traitement a-t-il identifié une personne de contact / in conseiller à la protection des données (« data protection officer », DPO/DPD) ?

Pour l’exécution du mandat, le mandant devrait notamment, s’assurer des points suivants :

• L’objet et le but du mandat devrait être clairement défini. Cela en le délimitant à un projet, à une affaire ou à une tâche spécifique ;
• Les prestations attendues, les données traitées par le mandataire et toutes autres conditions du mandat (par ex. les délais, l’échéance, le prix, etc.) devraient être clairement fixées ;
• La bonne mise en œuvre par le sous-traitant de mesures techniques et organisationnelles appropriées pour répondre aux exigences imposées par la LPrD et le RSD.

Dans le cadre de l’exécution du mandat, le sous-traitant devra notamment :

• Respecter toutes les exigences de la protection des données dans la même mesure que le mandant ;
• Choisir son personnel avec soin ;
• Ne faire effectuer des tâches que par des personnes qui se sont préalablement engagées à respecter les obligations liées à la protection des données (voir le document « Charte ») ;
• Donner à son personnel les instructions nécessaires concernant la protection des données ;
• Présenter des garanties suffisantes quant aux ressources nécessaires (techniques, organisationnelles, humaines, etc.) pour exécuter le respect des différentes obligations (telles que la restitution des données découlant de l’art. 19 al.1 let. d LPrD par exemple) ;
• Veiller à ce que son personnel respecte les impératifs de la protection des données.

Ces obligations du sous-traitant doivent être définies et précisées dans le contrat avec le sous-traitant.

Checklist pour l'externalisation du traitement de données personnelles 

Annexe 1 : Checklist pour l’externalisation de traitement de données personnelles

Annexe 2 : Charte