Peut-on utiliser un serveur à l’étranger pour archiver ses données ?
Le directeur des systèmes d’information (DSI) d’une société suisse souhaite sauvegarder toutes les archives mail et fax sur un serveur dédié. Il lance un appel d’offres.
Un prestataire de services répond à cet appel et fait une offre très intéressante. Le stockage des données se ferait toutefois à l’étranger.
Avant de signer le contrat, la direction de la société émet un doute quant à cette solution. Elle se demande si, une fois conservées à l’étranger, les données seront suffisamment sécurisées.
Le DSI se renseigne et constate, grâce à la liste (voir le lien sous Ressources) fournie par le PFPDT, que l’Etat dans lequel le prestataire stocke les données offre une protection équivalente à la Suisse en termes de protection des données.
La direction décide donc d’accepter cette solution et avertit les employés que les archives de leurs courriels et fax seront désormais conservées à l’étranger.
Recommandations
Avant d’envisager une externalisation des données à l’étranger, il faut examiner si les personnes concernées courent un danger lié à cette externalisation. Il est également nécessaire de consulter la liste des Etats offrant une protection équivalente à la Suisse. Cette liste est tenue à jour par le PFPDT. Si le pays en question ne figure pas sur cette liste, il est nécessaire d’assurer des garanties contractuelles suffisantes concernant la sécurité des données et d’informer le PFPDT de cette externalisation.
Ressources
Sur cette page, sous liste des Etats, vous trouvez le niveau d'adéquation de la législation par pays, ainsi que le document « La communication des données à l’étranger en 24 questions » :