Obligation de présenter les garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées
Obligation de présenter les garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées
APDP | 23 janvier 2025Dès lors qu’un responsable du traitement a recours à un sous-traitant, ce dernier doit présenter les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à assurer la protection des données personnelles et le respect des droits des personnes concernées
Tout recours à un sous-traitant doit être régi par un contrat dont les clauses minimales sont prévues à l’article 26.
Ce contrat doit définir :
- l’objet et la durée du traitement ;
- la nature et la ou les finalités du traitement ;
- le type de données personnelles et les catégories de personnes concernées ;
- les obligations et les droits du responsable du traitement.
Quelles sont les obligations prévues dans le contrat de sous-traitance ?
Parmi les mentions que doit contenir le contrat de sous-traitance, figurent les obligations suivantes :
- le sous-traitant ne doit traiter les données personnelles que sur instruction documentée du responsable du traitement ;
- le sous-traitant veille au respect de la confidentialité des données ;
- le sous-traitant prend toutes les mesures requises en matière de sécurité des données personnelles ;
- le sous-traitant, selon le choix du responsable du traitement, supprime toutes les données personnelles ou les renvoie au responsable du traitement au terme de la prestation de services, et détruit les copies existantes à moins que le droit auquel il est soumis n’exige la conservation des données à caractère personnel ;
- le sous-traitant aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus par la Loi ;
- le sous-traitant met à disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect de ses obligations ;
- compte tenu de la nature du traitement et des informations à sa disposition, le sous-traitant apporte son concours au responsable du traitement pour garantir le respect des obligations liées :
- aux mesures techniques et organisationnelles appropriées à prendre ;
- aux notifications de violations de données ;
- aux analyses d’impact.
Le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation de la Loi.
Il ne peut lui-même sous-traiter un traitement à un tiers qu’avec l’autorisation écrite préalable du responsable du traitement, spécifique ou générale, et dans le respect des dispositions énoncées à l’article 26 de la Loi.
Lorsqu’un sous-traitant a recours à un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, ils concluent un contrat qui prévoit les mêmes obligations dans cette matière que celles fixées dans le contrat conclu entre le responsable du traitement et le sous-traitant.
Enfin, le sous-traitant est considéré comme responsable du traitement, si en violation de la Loi, il détermine les finalités et les moyens du traitement.