Qui dirige le navire dans le domaine de la protection des données ?

Le responsable dans le sens de la protection des données est l’entreprise qui décide du but et des moyens du traitement des données à caractère personnel. En revanche, le sous-traitant de données exécute le traitement pour le compte et selon les instructions du responsable. 

Responsable ou sous-traitant de données : une analogie maritime

Une analogie issue de la navigation aide à mieux comprendre ces rôles : le capitaine détermine l’itinéraire et les règles à respecter et assume la responsabilité globale pour le voyage et la sécurité à bord. L’équipage suit les instructions du capitaine, pilote le bateau et exécute les tâches organisationnelles et techniques, sans pour autant être habilité à prendre des décisions plus importantes. Dans la pratique, cela signifie que le responsable du traitement détermine pourquoi et comment les données à caractère personnel sont traitées, tandis que le sous-traitant de données veille à la mise en œuvre dans le cadre des tâches convenues.  

Le contrat de traitement de commande : la boussole contractuelle

UMB AG agit typiquement en tant que prestataire de services informatiques pour le compte de ses clients et assume, par conséquent, le rôle de sous-traitant de données[i]. C’est là où le contrat de traitement de commande, dans la pratique aussi appelé accord sur le traitement de données ou DPA (Data Processing Agreement), entre en jeu ; il représente la base indispensable dans le cadre de la protection des données. Ce contrat régit de manière détaillée les droits et obligations des deux parties, définit les types de données à caractère personnel à traiter ainsi que dans quel but, et détermine les mesures de sécurité à prendre. En particulier, il documente les mesures techniques et organisationnelles (Technical and Organisational Measures, TOM), qu’UMB met en œuvre pour garantir l’intégrité, la confidentialité et la disponibilité des données[i] ; elles comprennent, entre autres, les contrôles d’accès, de stockage et de séparation. Sans un tel contrat, les entreprises pourraient se voir infliger des amendes et être exposées à des risques de responsabilité, car tant la LPD que le RGPD imposent un accord écrit. 

La responsabilité reste à bord

Le responsable du traitement de données peut certes externaliser des tâches, mais il conserve la responsabilité du respect de la protection des données. Les obligations légales essentielles comprennent la création d’une base juridique pour le traitement des données, par exemple par des consentements, des contrats ou des dispositions légales (un intérêt prépondérant peut également constituer une base juridique). Le respect des droits des personnes concernées, tels que les demandes de renseignement, de rectification, de suppression ou de révocation, l’élaboration de déclarations transparentes de protection des données, la sélection et la surveillance méticuleuses des sous-traitants de données, ainsi que le signalement des fuites de données aux autorités de surveillance dans les délais, doivent toujours se faire en conformité avec les dispositions relatives à la protection des données en vigueur. 

Sous-traitant de données : l’équipage au travail

Le sous-traitant de données agit exclusivement sur instruction du responsable du traitement de données et ne doit pas utiliser les données à ses propres fins. Parmi ses obligations clés figurent la mise en œuvre et la maintenance des mesures de sécurité, telles que les pare-feu, les systèmes de détection d’intrusion et la formation des collaborateurs, le respect de la confidentialité en imposant à toutes les parties concernées l’obligation de garder le secret, le signalement immédiat des pannes au responsable du traitement de données, ainsi que le soutien lors des audits par la mise à disposition de rapports ou de certifications, tels qu’ISO 27001.

Rester vigilant !

Dans la pratique se cachent toutefois quelques obstacles, par exemple quand on sous-estime la nécessité de régler les droits et obligations des sous-traitants par le biais d’un contrat, en étant également obligé de communiquer les changements au responsable afin de préserver la transparence. Une autre erreur est la supposition que la responsabilité est entièrement transféré lors d’une externalisation. Restez vigilant et documentez tout, car la Loi sur la protection des données tient à une documentation méticuleuse. Afin de conserver le contrôle en tant que responsable du traitement de données, vous devez garantir par le biais d’un contrat que votre sous-traitant de données ne traite les données que dans la mesure convenue, qu’il fournit immédiatement toutes les informations pertinentes en cas de violation de la sécurité des données, qu’il annonce les changements à ses sous-traitants et qu’il permet d’effectuer des audits ou d’obtenir des preuves, p. ex. des certifications. Lors d’une externalisation, il s’agit de toujours conclure un accord sur le traitement des données de commande et de l’intégrer dans vos contrats.

Restez aux commandes – avec UMB comme équipage fiable

En décidant du cap à maintenir, vous êtes le capitaine et donc le responsable du traitement de données. Bénéficiez de partenaires comme UMB pour externaliser votre infrastructure IT en toute sécurité, tout en restant aux commandes. Nos services sont conformes à la LPD et au RGPD. Si vous avez des questions, n’hésitez pas à nous contacter au moyen du formulaire de contact, afin que nous puissions naviguer ensemble et en toute sécurité dans les eaux de la protection des données ! 

Cet article blog sert exclusivement à transmettre des connaissances fondamentales relatives à la compliance et aux exigences réglementaires, ainsi qu’à démontrer qu’UMB en tient compte dans le cadre de ses services. Ce texte est basé sur l’état actuel des connaissances (en mars 2026).

[i] Lors de traitements de données internes, p. ex. en cas de traitement de données des collaborateurs, UMB assume bien entendu le rôle de responsable du traitement.

[ii]Blog de l'UMB: Sécurité des données et protection des données