Transférer des données personnelles

Dans le secteur public du Canton de Vaud, la sous-traitance d'un traitement de données est possible lorsque trois conditions sont réunies :

• une base légale ou un contrat existe pour la sous-traitance,
• l'institution est en droit de traiter les données elle-même,
• il n'y a pas d'obligation de garder le secret, notamment le secret de fonction.

En général, la conclusion d’un contrat est nécessaire. Dans la plupart des cas, aucune base légale ne prévoit la sous-traitance.

Le contrat permet de s’assurer du respect des règles de protection des données par le sous-traitant et de garantir un niveau de protection adéquat lorsqu'il y a une communication transfrontière.

Le responsable du traitement qui recourt à un sous-traitant reste entièrement responsable du respect de la loi sur la protection des données vis-à-vis de la personne concernée.

Lorsqu'il est nécessaire de communiquer des données personnelles à l'étranger, deux cas de figure se présentent :

• La communication a lieu vers un pays qui figure sur la liste des pays adéquats  établie par le Conseil Fédéral,
• Le pays destinataire n'est pas reconnu comme adéquat par la Confédération.

Lorsque le pays destinataire est adéquat, les données personnelles peuvent en principe être transférées, si les conditions de sous-traitance sont respectées (voir ci-dessus).

Lorsque le pays n'est pas adéquat, le transfert des données n'est autorisé que dans certaines conditions (Article 17 LPrD).

L'Université de Lausanne a adopté une doctrine Cloud pour traiter également toutes les demandes de transferts à l'étranger. La doctrine demande une analyse méthodique de la conformité des conditions du transfert à l'étranger et de la sous-traitance. Avant d'effectuer tout nouveau transfert de données personnelles à l'étranger, veuillez-vous adresser au DPO.