I. Introduction

L’externalisation crois­sante de trai­te­ments de données person­nelles à des sous-trai­tants, tant dans le secteur privé que public et en Suisse comme à l’étranger, soulève d’importantes ques­tions de protec­tion des données. Ces trans­ferts – souvent massifs – entraînent en effet une perte de contrôle inhé­rente, suscep­tible d’exposer les respon­sables du trai­te­ment et les personnes concer­nées à des risques accrus. Dans ce contexte, plusieurs remparts juri­diques doivent être mis en place par les respon­sables du trai­te­ment, non seule­ment pour assu­rer le respect de leurs obli­ga­tions en vertu du cadre légal, mais aussi pour mini­mi­ser au mieux les risques de viola­tion de la sécu­rité des données ainsi trans­fé­rées, et, plus globa­le­ment, de traitement(s) non conforme(s) aux pres­crip­tions appli­cables, suscep­tibles d’engager leur responsabilité.

Dans ce contexte, les accords de sous-trai­tance, commu­né­ment dési­gnés par leur appel­la­tion anglo­phone Data Processing Agreement ou DPA (et à distin­guer des accords conclus entre respon­sables de trai­te­ment, i.e., Joint Controller Agreement, ou entre deux sous-trai­tants) s’imposent comme des outils de confor­mité, de gestion des risques et de gouver­nance clé pour les respon­sables du trai­te­ment. Leur impor­tance est d’ailleurs telle que le fait de recou­rir, pour le respon­sable du trai­te­ment, inten­tion­nel­le­ment à un sous-trai­tant sans base contrac­tuelle (et hors fonde­ment légal) consti­tue une viola­tion de son devoir de dili­gence, passible d’une amende pouvant atteindre CHF 250’000.- (art. 61 let. b LPD).

En pratique toute­fois, nombre de respon­sables du trai­te­ment sous-estiment la portée réelle du DPA, souvent relé­gué au rang de simple annexe contrac­tuelle parmi d’autres, ou signé sur la base de modèles prééta­blis par le sous-trai­tant, parfois même rédi­gés pour plusieurs juri­dic­tions à la fois.

La présente contri­bu­tion a ainsi pour objec­tif de rappe­ler l’utilité du DPA, non seule­ment eu égard au cadre légal, mais égale­ment par rapport à l’arborescence contrac­tuelle IT dans laquelle il s’insère (ou, du moins, devrait s’in­sé­rer), en mettant l’accent sur 6 points d’attention choisis.

II. Le DPA en quelques mots

A) Ancrage légal et juridique

Conformément à l’art. 9 al. 1 LPD, le trai­te­ment de données person­nelles peut être confié à un sous-trai­tant pour autant qu’un contrat ou la loi le prévoie et (i) que seuls sont effec­tués les trai­te­ments que le respon­sable du trai­te­ment est en droit d’effectuer lui-même, et (ii) qu’au­cune obli­ga­tion légale ou contrac­tuelle de garder le secret ne l’interdit. Dans ce contexte, le respon­sable du trai­te­ment doit s’assurer que le sous-trai­tant est en mesure de garan­tir la sécu­rité des données (art. 9 al. 2 LPD).

L’art. 8 al. 1 LPD prévoit que tant le respon­sable du trai­te­ment que le sous-trai­tant doivent assu­rer, par des mesures orga­ni­sa­tion­nelles et tech­niques appro­priées, une sécu­rité adéquate des données person­nelles par rapport au risque encouru. Les mesures ainsi choi­sies devront permettre d’éviter toute viola­tion de la sécu­rité des données, en prenant en compte le type de données trai­tées, mais égale­ment la fina­lité, la nature, l’étendue et les circons­tances du trai­te­ment (8 al. 2 LPD et art. 1 al. 2 let. a et b OPDo).

Il sied encore de rappe­ler que le recours à un sous-trai­tant en pratique ne décharge pas le respon­sable du trai­te­ment de ses obli­ga­tions, ni même de sa respon­sa­bi­lité. En effet, c’est bien le respon­sable du trai­te­ment qui demeure le premier respon­sable, vis-à-vis des personnes dont les données sont trai­tées, de la protec­tion de leur person­na­lité (les régimes de limi­ta­tion, respec­ti­ve­ment d’exclusion, de respon­sa­bi­lité internes étant réser­vés). Le respon­sable du trai­te­ment aura ainsi tout inté­rêt à choi­sir son sous-trai­tant avec soin, de lui donner toutes les instruc­tions néces­saires et d’as­su­rer une surveillance pério­dique de ce dernier pour garan­tir une confor­mité au cadre légal et contractuel.

B) Portée et inser­tion contractuelle

En pratique, les situa­tions de sous-trai­tance de tâches fonda­men­tales au fonc­tion­ne­ment d’une orga­ni­sa­tion sont fréquentes, notam­ment lorsque leur main­tien en interne s’avère trop onéreux. Tel est le cas, par exemple, de certaines fonc­tions propres aux ressources humaines, souvent gérées via des plate­formes ou appli­ca­tions exter­na­li­sées auprès de pres­ta­taires, d’ailleurs parfois établis à l’étranger. Il en va par exemple ainsi de logi­ciels permet­tant l’en­re­gis­tre­ment du temps de travail, le suivi des absences et des vacances, la gestion des décla­ra­tions sociales ou encore la véri­fi­ca­tion des réfé­rences et l’exé­cu­tion de back­ground checks. Ceux-ci impliquent le trans­fert d’un volume parti­cu­liè­re­ment impor­tant de données person­nelles, y compris sensibles, telles que les infor­ma­tions rela­tives à la santé des employé ou encore aux anté­cé­dents pénaux.

Dans d’autres confi­gu­ra­tions, la sous-trai­tance consti­tuera un préa­lable néces­saire à l’exercice même de l’activité du respon­sable du trai­te­ment – notam­ment, lorsqu’une plate­forme tierce, four­nie par un pres­ta­taire, est indis­pen­sable au dérou­le­ment des opéra­tions quoti­diennes d’une entité, par exemple dans le domaine bancaire ou en matière de gestion de fortune.

Appréhender plei­ne­ment la portée pratique d’un DPA implique encore de saisir la place qu’il occupe dans l’architecture contrac­tuelle IT de la struc­ture concer­née. Un DPA n’existe en effet que rare­ment de manière auto­nome : il est, en prin­cipe, conclu paral­lè­le­ment à un contrat-cadre de services — géné­ra­le­ment dési­gné sous les appel­la­tions anglo­phones de Services Agreement ou Master Agreement — ou en consti­tue direc­te­ment une annexe. Par rapport à ce contrat-cadre, qui défi­nira les condi­tions géné­rales de la sous-trai­tance, le DPA se concen­trera spéci­fi­que­ment sur l’encadrement du trai­te­ment des données person­nelles par le pres­ta­taire de service. Le DPA s’in­sé­rera ainsi souvent aux côtés d’autres instru­ments contrac­tuels complé­tant le contrat-cadre précité : un contrat Software-as-a-Service (SaaS), qui régit les condi­tions d’utilisation d’un logi­ciel en mode SaaS (accès, licences, sécu­rité, support), ainsi que, par exemple, un Service Level Agreement (SLA), qui fixe quant à lui les enga­ge­ments en matière de perfor­mance et de dispo­ni­bi­lité dudit service.

Dans certains cas, le DPA est direc­te­ment inté­gré aux condi­tions géné­rales du sous-trai­tant. Il n’est pas rare non plus de rencon­trer des Global DPA, conçus pour s’appliquer à des trai­te­ments dans plusieurs juri­dic­tions, avec seule­ment quelques adap­ta­tions locales. Cette approche comporte certains risques : outre les diffi­cul­tés de négo­cia­tion qu’elle peut engen­drer, elle ne garan­tit pas toujours une protec­tion opti­male des inté­rêts du respon­sable du trai­te­ment (et des personnes concer­nées), dans la mesure où le bench­mark choisi pour­rait ne pas être des plus adap­tés au droit suisse .

Compte tenu de cette arbo­res­cence contrac­tuelle complexe, il est essen­tiel d’identifier clai­re­ment le rôle et la portée de chacun de ces instru­ments. Or, l’expérience démontre un certain laxisme de la part de nombreux respon­sables du trai­te­ment (et sous-trai­tants !) sur ce point, ce qui se traduit en pratique par des redites, des doublons, voire même des contra­dic­tions entre docu­ments, sources de diffi­cul­tés d’interprétation supplé­men­taires pour­tant aisé­ment évitables.

Enfin, et contrai­re­ment au droit euro­péen, le droit suisse ne pres­crit ni forme parti­cu­lière ni contenu mini­mal obli­ga­toire pour un DPA, hormis – indi­rec­te­ment – au travers des obli­ga­tions défi­nies à l’art. 9 LPD précité. En consé­quence, et notam­ment lorsqu’un sous-trai­tant est établi dans l’Union euro­péenne – ce qui est fréquent, les clauses types issues du droit euro­péen tendent à être reprises dans le contexte helvé­tique, moyen­nant certaines adap­ta­tions. Quoi qu’il en soit, le contenu d’un DPA, bien qu’ajustable au cas par cas, repose en pratique sur un socle commun de dispo­si­tions essen­tielles, garan­tis­sant la confor­mité aux pres­crip­tions appli­cables et la protec­tion renfor­cée des inté­rêts du respon­sable du trai­te­ment (et des personnes concernées).

III. Points d’attention essen­tiels à la négo­cia­tion d’un DPA 

La présente section vise à iden­ti­fier six points d’intérêt souvent négli­gés en pratique par le respon­sable du trai­te­ment et les pres­ta­taires de services, qu’il est vive­ment recom­mandé de négo­cier avec rigueur lors de la conclu­sion d’un DPA. Il convient toute­fois de rappe­ler qu’un DPA limité aux seuls éléments présen­tés ci-dessous ne saurait être consi­déré comme exhaus­tif. D’autres dispo­si­tions devront en effet être inté­grées afin de garan­tir la confor­mité aux exigences de la LPD ainsi qu’aux meilleures pratiques propres à chaque secteur d’activité (bancaire, gestion de fortune, insti­tu­tions de santé, etc.).

A) Instructions du respon­sable du trai­te­ment et garan­ties du sous-traitant

Il importe de défi­nir avec préci­sion les instruc­tions géné­rales de conduite impo­sées par le respon­sable du trai­te­ment, ainsi que les obli­ga­tions et garan­ties d’exécution du sous-trai­tant. Cette clarté faci­lite la déter­mi­na­tion des respon­sa­bi­li­tés en cas de litige. Lorsque le sous-trai­tant propose un DPA pré-rédigé, il est essen­tiel de veiller à ce que les clauses limi­tant ou excluant sa respon­sa­bi­lité – souvent parti­cu­liè­re­ment larges, notam­ment dans les contrats émanant d’entités améri­caines selon la tradi­tion du common law – soient ajus­tées pour être conformes au droit suisse, en parti­cu­lier aux art. 99 ss CO, et ainsi proté­ger au mieux les inté­rêts du respon­sable du trai­te­ment et des personnes concernées.

En parti­cu­lier, il convien­dra de veiller à ce que les limi­ta­tions de respon­sa­bi­lité ne s’appliquent pas en cas de viola­tions contrac­tuelles majeures. Cela inclut notam­ment les inci­dents de sécu­rité, les viola­tions de données, les atteintes à la confi­den­tia­lité, ainsi que tout usage, divul­ga­tion ou destruc­tion non auto­ri­sés des données impu­tables au sous-trai­tant, au vu de la sensi­bi­lité des données exter­na­li­sées et des enjeux asso­ciés (qui devront être défi­nis au cas par cas).

B) Sécurité des données

Le prin­cipe de sécu­rité des données, énoncé à plusieurs reprises dans la LPD et l’OPDo, doit être concré­tisé par des mesures tech­niques et orga­ni­sa­tion­nelles claires. La colla­bo­ra­tion avec des spécia­listes IT est souvent néces­saire pour défi­nir des exigences adap­tées et faci­li­ter le dialogue dans ce contexte, celui-ci pouvant parfois s’avérer tech­nique. A noter qu’en pratique, il est quelque peu regret­table que certains DPA se limitent à rappe­ler ce prin­cipe géné­ral sans spéci­fier les mesures concrètes mises en œuvre (ce qui ne semble en outre guère conforme à la volonté du législateur).

Il pourra ainsi être ques­tion de mesures de pseu­do­ny­mi­sa­tion et de chif­fre­ment des données, de contrôles d’accès et d’identifications des utili­sa­teurs, de la protec­tion de la trans­mis­sion et du stockage, ou encore de la tenue de jour­naux d’évènements. Le respon­sable du trai­te­ment veillera ainsi systé­ma­ti­que­ment à s’enquérir des mesures de sécu­rité en place auprès du sous-trai­tant (idéa­le­ment déjà au stade de la due diligence).

À cet égard, le fait, pour un sous-trai­tant, de renvoyer dans son DPA à une certi­fi­ca­tion (par ex. ISO 27001 ou SOC 2 Type II, toutes deux large­ment recon­nues à l’échelle inter­na­tio­nale) consti­tue un indice utile à prendre en compte, dans la mesure où ces stan­dards passent en revue un grand nombre d’exigences de sécu­rité (par exemple, 93 mesures pour la certi­fi­ca­tion ISO 27001). Toutefois, de telles réfé­rences ne sauraient être consi­dé­rées à elles seules comme suffi­santes : d’une part, parce que leur vali­dité est limi­tée dans le temps et suppose un suivi régu­lier et des audits de renou­vel­le­ment ; d’autre part, parce que leur portée est souvent restreinte à certains proces­sus ou dépar­te­ments d’une entre­prise seule­ment. En outre, il convient de noter que les certi­fi­ca­tions ISO reflètent essen­tiel­le­ment l’état des contrôles à un instant donné, sans néces­sai­re­ment évaluer leur effi­ca­cité sur la durée. À cet égard, des rapports d’assurance tels que ceux établis selon les normes ISAE ou SOC® offrent géné­ra­le­ment une évalua­tion plus complète, en ce qu’ils permettent de tester l’efficacité opéra­tion­nelle des contrôles sur une période donnée. Certains critiques reprochent en outre à la certi­fi­ca­tion ISO 27001 de favo­ri­ser une approche trop centrée sur la confor­mité docu­men­taire, au détri­ment d’améliorations concrètes de la sécurité.

Ces certi­fi­ca­tions demeurent néan­moins des indi­ca­teurs précieux, à complé­ter cas échéant dans le DPA par des clauses contrac­tuelles spéci­fiques enga­geant le sous-trai­tant à main­te­nir sa ou ses certi­fi­ca­tions et à appli­quer les mesures de sécu­rité à l’ensemble des proces­sus perti­nents iden­ti­fiés par les parties.

C) Incident de sécurité

Souvent négligé, ce volet est pour­tant crucial. Le respon­sable du trai­te­ment demeure plei­ne­ment respon­sable de la protec­tion des données person­nelles trai­tées, et doit pouvoir respec­ter ses obli­ga­tions de noti­fi­ca­tion auprès du Préposé fédé­ral en cas d’incident de sécu­rité. Il est donc impé­ra­tif de défi­nir un délai clair de noti­fi­ca­tion d’un tel inci­dent au respon­sable du trai­te­ment par le sous-trai­tant, mais égale­ment, dans ce contexte, le contenu mini­mal de cette noti­fi­ca­tion ainsi que les moda­li­tés de coopé­ra­tion entre les parties.

En établis­sant préci­sé­ment le proces­sus d’es­ca­lade à respec­ter, le respon­sable du trai­te­ment veillera en outre à s’ap­puyer sur le Guide sur la noti­fi­ca­tion des viola­tions de sécu­rité des données établi par le PFPDT et à respec­ter – lorsque perti­nent – les nombreuses obli­ga­tions d’an­nonce qui sont aujourd’­hui les siennes, notam­ment en cas de cybe­rat­taques (voir notam­ment La nouvelle obli­ga­tion d’annonce des cybe­rat­taques – swiss​pri​vacy​.law).

Il convien­dra enfin de prévoir que le sous-trai­tant ne saurait procé­der à une annonce sans consul­ta­tion préa­lable du respon­sable du traitement.

D) Droit d’audit et de vérification

La sous-trai­tance indui­sant de facto une perte de contrôle du respon­sable du trai­te­ment sur les données, il est indis­pen­sable de veiller à l’intégration d’un droit d’audit clair et expli­cite au béné­fice de ce dernier dans le DPA. S’il arrive que les sous-trai­tants refusent d’abord d’intégrer un tel droit, il est vive­ment recom­mandé de tout de même le négo­cier (en en limi­tant cas échéant la portée afin d’en faci­li­ter l’acceptation).

E) Transfert à l’étranger

Il est égale­ment impé­ra­tif que le respon­sable du trai­te­ment iden­ti­fie clai­re­ment la loca­li­sa­tion de ses sous-trai­tants – un point qui ne fait pas encore l’objet d’un réflexe systé­ma­tique en pratique. Toute chaîne de trans­fert trans­fron­ta­lier doit en effet être docu­men­tée et enca­drée par des garan­ties appro­priées, notam­ment en ce qui concerne l’hébergement des données dans des envi­ron­ne­ments cloud.

F) Sort des données à l’issue des rapports contractuels

Si les prin­cipes de resti­tu­tion ou de destruc­tion des données à l’is­sue des rapports contrac­tuels sont en géné­ral prévus, leur mise en œuvre détaillée l’est moins, ce qui peut conduire à des situa­tions regret­tables en pratique, par exemple si le sous-trai­tant procède à la destruc­tion de l’intégralité des données en sa posses­sion sans que le respon­sable du trai­te­ment n’ait pu en récu­pé­rer une copie en amont. Il est par consé­quent vive­ment recom­mandé de préci­ser expli­ci­te­ment dans le contrat les moda­li­tés de trai­te­ment des données en fin de rela­tion contrac­tuelle, incluant les condi­tions de resti­tu­tion ou de destruc­tion des données, les délais appli­cables, la possi­bi­lité, pour le respon­sable du trai­te­ment, de récu­pé­rer les données avant toute suppres­sion ainsi que l’obligation, pour le sous-trai­tant, de confir­mer par écrit que ces opéra­tions ont bien été effec­tuées, tout en iden­ti­fiant les données devant être conser­vées en vertu d’obligations légales ou réglementaires.

IV. Conclusion

Souvent perçu à tort comme une simple forma­lité, le DPA consti­tue en réalité le docu­ment de réfé­rence pour la protec­tion des données dans un contexte de sous-trai­tance. Il est ainsi impé­ra­tif de l’adapter aux spéci­fi­ci­tés du cas d’espèce et aux bonnes pratiques secto­rielles, afin d’encadrer effi­ca­ce­ment la rela­tion contrac­tuelle et de mini­mi­ser les risques pour le respon­sable du trai­te­ment et les personnes concer­nées. Lors des proces­sus de due dili­gence, l’analyse appro­fon­die du DPA – ou, en son absence, la véri­fi­ca­tion des mesures de sécu­rité mises en œuvre par le sous-trai­tant – sera indis­pen­sable pour le respon­sable du trai­te­ment soucieux de se confor­mer à ses obli­ga­tions et d’éviter toute mise en cause de sa respon­sa­bi­lité. Enfin, et à l’instar de tout contrat, un DPA n’est plei­ne­ment effi­cace que s’il est suivi dans les faits, ce qui implique la mise en place de méca­nismes de contrôle rigou­reux auprès du prestataire.