Le recours à des prestations ou solutions informatiques de tiers constitue un cas de sous-traitance au sens de l’article 18 de la loi du 11 septembre 2007 sur la protection des données personnelles (LPrD ; BLV172.65), lequel prévoit que le traitement de données personnelles peut être confié à des tiers aux conditions cumulatives suivantes :
- le traitement doit être prévu par la loi ou un contrat (offrant un niveau de protection adéquat en matière de protection des données) ;
- le responsable du traitement est légitimé à traiter lui-même les données concernées ;
- aucune obligation légale ou contractuelle de garder le secret ne l’interdit.
Une liste de questions à se poser avant la signature d’un contrat de sous-traitance informatique est disponible ci-après :