- PFPDTLes sociétés de services peuvent être considérées, selon le cas, comme des sociétés à responsabilité limitée. Responsables du traitement des commandes ou en tant que Responsable se produisent.
- Traitement des commandes s’applique lorsque seules certaines activités opérationnelles sont transférées et que l’institution de prévoyance reste impliquée de manière déterminante.
- Responsabilité il y a transfert global, reprise de la gestion ou lorsque le prestataire de services prendre des décisions de manière autonome à l’égard des assurés.
Le PFPDT s’est fait connaître sur son site Internet sous FAQ → assurances s’est prononcé sur la question de savoir si une société de services à laquelle une institution de prévoyance confie une partie ou la totalité du de la gestion opérationnelle de l’entreprise est un sous-traitant ou un responsable du traitement.
Le rôle que joue le directeur d’une institution de prévoyance en matière de protection des données – il peut s’agir d’une caisse de pension, d’une fondation de placement ou d’une fondation de libre passage – a fait l’objet de longues et intenses discussions :
- L’Association suisse des institutions de prévoyance ASIP avait estimé, dans sa communication spécialisée n° 131 “Guide pour la mise en œuvre de la nouvelle LPD” du 20 octobre 2022, que “[si] l’IP a externalisé sa gestion à un tiers, le traitement des données est effectué par l’administration (en tant que sous-traitant) sur mandat de l’IP”.
- C’est probablement à cause de cette déclaration que certains Prestataires de services sur le marché ont également estimé que lorsqu’elles gèrent des affaires pour des institutions de prévoyance, elles agissent toujours et obligatoirement en tant que sous-traitantes.
- De manière générale, il est toutefois reconnu que tous les prestataires de services ne sont pas des sous-traitants l’essentiel est de savoir s’ils décident de facto des finalités et des moyens du traitement ou si cette liberté ne leur est pas laissée. Au moins en cas d’externalisation complète de la gestion, il est difficile de justifier que l’on ne sorte pas du cadre du traitement des commandes. C’est la raison pour laquelle l’opinion dominante a été de ne pas considérer les gérants d’IP comme des sous-traitants, mais comme des responsables, seuls ou conjointement (nous avons défendu ce point de vue, tout comme, par exemple, la Commission européenne). David Rosenthal).
Le PFPDT avait publié en Rapport d’activité 2023/2024 a ensuite été retenu,
Dans la pratique, il arrive que les institutions de prévoyance confient une partie ou l’ensemble de leurs activités opérationnelles à une société externe. De telles sociétés de services sont actives sur mandat de l’institution de prévoyance et agissent en tant que Traitement des données de commande au sens de l’article 9 LPD.
Dans les données publiées le 11 décembre 2024, le PFPDT fait à juste titre la distinction suivante :
Les institutions de prévoyance (caisses de pension), qui sont généralement organisées en tant que fondations, sont tenues de satisfaire à l’assurance obligatoire de la prévoyance professionnelle. Dans la pratique, il arrive que les institutions de prévoyance confient une partie ou l’ensemble de leurs activités opérationnelles à une société externe. En ce qui concerne leur rôle et leur qualification en matière de protection des données, ces sociétés de services peuvent selon la constellation, soit en tant que responsables du traitement, soit en tant que responsables du traitement se produisent.
Pour les cas où uniquement certaines activités opérationnelles sont transférés et que l’institution de prévoyance reste impliquée de manière déterminante dans le processus, la forme de la Traitement des commandes peut s’appliquer. Dans les constellations où le transfert est plus complet et où celui-ci ne concerne pas seulement des opérations ou des traitements de données isolés, mais l’exécution autonome de tâches de prévoyance professionnelle, la Société de services une responsable de la société. C’est notamment le cas lorsque la société de services assume la gestion de l’institution de prévoyance ou prend effectivement des décisions avec une plus grande autonomie. La société de services peut également être un responsable lors de la délégation de tâches spécifiques de l’institution de prévoyance, par exemple lorsqu’elle s’occupe de la relation avec les assurés et que, dans ce cadre, elle prendre des décisions de manière autonome de l’entreprise. Ainsi, dans ce contexte, il faut toujours prendre en compte les relations contractuelles convenues en ce qui concerne la répartition des tâches ainsi que les circonstances concrètes.
Ces indications portent sur les circonstances concrètes du cas d’espèce, comme l’exigent précisément les critères de distinction entre responsables du traitement et sous-traitants. Cela signifie également qu’une certaine marge de manœuvre subsiste. En effet, les rôles dépendent généralement aussi de l’élaboration du contrat, car celle-ci détermine en partie l’autonomie effective dont jouit le prestataire de services. En fin de compte, la définition des rôles reste un art difficile – ici, mais aussi par exemple dans la gestion immobilière (où la pratique suppose souvent une responsabilité commune), ou dans le refinancement d’hypothèques ou de titrisations et dans diverses autres constellations.
Les indications du PFPDT ne portent pas sur les questions de savoir dans quelles conditions une responsabilité partagée et ce qui se passe en cas de Double gouvernance s’applique, c’est-à-dire lorsqu’une personne occupe un poste de direction à la fois au sein du conseil de fondation de l’institution de prévoyance et auprès du gérant.