Cloud et protection des données - Digitalisierung

Cloud et protection des données

Traitement de données personnelles

Le traitement de données personnelles, c.-à-d. de toutes les informations qui se rapportent à une personne identifiée ou identifiable, est soumis aux dispositions de la loi sur la protection des données (art. 2 en lien avec art. 3 let. a LPD).

La LPD ne s’applique pas si l’avocat fait appel à un fournisseur de services cloud qui ne traite pas les données personnelles qui lui ont été transmises. C’est le cas si l’avocat chiffre ses données avant de les transférer à son fournisseur, de sorte que ce dernier ne fera que stocker les données sans pouvoir les lire (modèle de service IaaS). En revanche, la LPD s’applique si l’avocat traite ses données sur l’infrastructure du fournisseur, puisque celui-ci pourra lire les données de l’avocat (modèle de service SaaS).

Doctrine et jurisprudence s’accordent à dire qu’on est en présence de données personnelles s’il n’est pas exclu – selon l’expérience générale de la vie – que celui qui traite les données puisse identifier la personne concernée. Le modèle de service SaaS n’exclut pas d’emblée une telle identification, de sorte que son utilisation doit être qualifiée de traitement de données personnelles, avec pour conséquence de devoir agir conformément aux dispositions de la LPD.

Sous-traitance de données

 

Dans la mesure où le traitement de données personnelles par l’avocat/e est autorisé et que les exigences relatives au traitement de données par un tiers selon l’art. 10a LPD sont satisfaites, les données peuvent également être sous-traitées par un fournisseur de services cloud. Toutefois, en tant que mandant de ce rapport de sous-traitance, l’avocat est responsable du respect des exigences de la LPD.

Le traitement de données par un tiers doit reposer sur une convention (contrat de services cloud) entre, d’une part, l’avocat/e ou l’étude d’avocats et, d’autre part, le prestataire de services, c’est-à-dire le fournisseur de services cloud.

Die Anbieter von Cloud-Diensten dürfen die von den Anwältinnen und Anwälten übermittelten Personendaten nur so bearbeiten, wie es diese als Auftraggeber auch selbst tun dürften (Art. 10a lit. a DSG). Soweit die Vorgaben des Datenschutzrechts eingehalten sind, die Bearbeitung der Personendaten durch die Anwältinnen und Anwälte also namentlich die Grund sätze der Datenbearbeitung einhält oder auf einem Rechtfertigungsgrund beruht, dürfen die Daten nicht nur von den Anwältinnen und Anwälten, sondern auch von den Cloud-Providern bearbeitet werden. Unzulässig wäre hingegen eine Bearbeitung durch die Cloud-Provider zu eigenen Zwecken. Um sicherzustellen, dass der Cloud-Provider die Daten nicht anders bearbeitet als die Anwältinnen und Anwälte, sollte die Art der Bearbeitung der Daten durch den Cloud-Provider im Cloud-Vertrag oder in einem Annex dazu geregelt wer-den. Dabei kann z. B. festgehalten werden, dass die Daten – unter Vorbehalt besonderer Weisungen – nur zur Vertragserfüllung bearbeitet werden dürfen

Concernant le fournisseur de services cloud, il ne peut effectuer que les « traitements que le mandant serait en droit d’effectuer lui-même » (art. 10a let. a LPD). Si les exigences de la LPD sont satisfaites, c’est-à-dire que le traitement de données par l’avocat est conforme aux principes généraux de la LPD (ou s’il existe un motif justificatif au sens de l’art. 13 LPD), les données peuvent être traitées non seulement par l’avocat mais aussi par le fournisseur de services cloud. En revanche, le traitement aux propres fins du fournisseur est illicite. Pour s’assurer que le fournisseur ne traite pas les données différemment de l’avocat/e, la nature du traitement des données par le fournisseur doit être précisée dans le contrat de services cloud ou dans une annexe à celui-ci. Il peut par exemple y être indiqué que les données – sous réserve d’instructions particulières – ne seront traitées qu’aux fins de l’exécution du contrat.

Comme l’avocat/e est responsable du respect des exigences de la LPD, il est corollairement tenu de sélectionner, d’instruire et de surveiller avec toute l’attention requise le fournisseur de services cloud. L’avocat/e doit notamment s’assurer que son fournisseur garantit la sécurité des données (art. 10a al. 2 LPD), c’est-à-dire la confidentialité, la disponibilité et l’intégrité des données (art. 8 al. 1er OLPD). Pour cette évaluation, l’avocat peut s’adjoindre les services d’un spécialiste indépendant qui vérifiera le dispositif de sécurité mis en place par le fournisseur de services cloud. À cet égard, une certification de la qualité du système de gestion du fournisseur constitue sans doute une bonne indication (ISO 9001, ISO 27001 ou une certification spécifique à la protection des données, notamment GoodPriv@cy, VDSZ : 2014 ou ePrivacy).


Sous-traitance à l’étranger

Si des personnes situées en dehors de la Suisse peuvent accéder aux données stockées en cloud (notamment en cas de recours à un fournisseur de services cloud à l’étranger, mais aussi lors d’une télémaintenance), on est en présence d’une « communication transfrontière de données » selon la terminologie utilisée à l’art. 6 LPD. Au regard de l’art. 6 al. 1er LPD, rien ne s’y oppose, du moins s’il existe, dans le pays concerné, une législation assurant un niveau de protection adéquat. En application de l’art. 7 OLPD, le Préposé fédéral à la protection des données et à la transparence PFPDT publie une liste des pays pour lesquels il existe une présomption de protection suffisante des données. S’agissant des pays qui ne figurent pas sur cette liste, comme les États-Unis d’Amérique, l’avocat/e doit obtenir des garanties supplémentaires. Celles-ci peuvent être de nature contractuelle ou résulter d’une certification individuelle obtenue par le fournisseur dans le cadre du Swiss-US Privacy Shield.

Quelques remarques sur le Règlement général sur la protection des données (RGPD)

Le RGPD de l’UE peut s’étendre aux activités de l’avocat/e suisse, notamment si celui/celle-ci déploie ses activités avec des clients résidant au sein de l’UE (art. 3 al. 2 RGPD). L’application du RGPD peut également résulter de la LDIP : en cas d’atteinte à la personnalité (art. 139 al. 3 en lien avec al. 1er LDIP), il est possible de choisir entre « le droit de l’État dans lequel le lésé a sa résidence habituelle » et « le droit de l’État dans lequel le résultat de l’atteinte se produit », « pour autant que l’auteur du dommage ait dû s’attendre à ce que le résultat se produise dans cet État ». En cas d’atteinte à la personnalité lors du traitement de données personnelles dans un cloud, le RGPD peut dès lors s’appliquer comme droit du lieu de résidence du client, d’autant plus que la survenance d’une atteinte au lieu de résidence habituelle du client est généralement prévisible.

Le sort réservé à la sous-traitance des données selon l’art. 28 RGPD correspond dans ses grandes lignes à ce qui est prévu par la LPD. L’externalisation dans le cadre d’une sous-traitance est privilégiée et ne doit pas faire l’objet d’une autorisation au sens de l’art. 6 RGPD. Toutefois, contrairement à la LPD, l’art. 28 RGPD précise dans le détail comment le responsable du traitement doit respecter ses obligations en cas de sous-traitance. Le sous-traitant est également un destinataire de données au sens de l’art. 4 ch. 9 RGPD si des données lui sont communiquées. Il en résulte que le responsable du traitement doit donner aux personnes concernées des informations sur ce destinataire de données (art. 13 al. 1er let. e et 14 al. 1er let. e RGPD), par exemple avec une déclaration de protection des données disponible au téléchargement sur Internet.

Modèles de contrat avec des fournisseurs de services cloud

En Suisse et à l’étranger
Liste des fournisseurs de services cloud