Search results

FAQS

Obligation d’encadrer tout recours à la sous-traitance

Obligation d’encadrer tout recours à la sous-traitance

APDP | 23 janvier 2025

Dès lors qu’un responsable du traitement a recours à un sous-traitant, ce dernier doit présenter les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à assurer la protection des données personnelles et le respect des droits des personnes concernées.

Tout recours à un sous-traitant doit être régi par un contrat qui se présente sous une forme écrite et dont les clauses minimales sont prévues à l’article 26 de la Loi.

Ce contrat doit définir :

  • l’objet et la durée du traitement ;
  • la nature et la ou les finalités du traitement ;
  • le type de données personnelles et les catégories de personnes concernées ; et
  • les obligations et les droits du responsable du traitement.

 

 

Quelles sont les mentions que doit contenir le contrat de sous-traitance ?

Parmi les mentions que doit contenir ce contrat, figurent les obligations suivantes :

  • le sous-traitant ne doit traiter les données personnelles que sur instruction documentée du responsable du traitement ;
  • le sous-traitant veille au respect de la confidentialité ;
  • le sous-traitant prend toutes les mesures requises en matière de sécurité des données personnelles ;
  • le sous-traitant, selon le choix du responsable du traitement, supprime toutes les données personnelles ou les renvoie au responsable du traitement au terme de la prestation de services, et détruit les copies existantes à moins que le droit auquel il est soumis n’exige la conservation des données à caractère personnel ;
  • le sous-traitant aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus par la Loi ;
  • le sous-traitant met à disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect de ses obligations ;
  • compte tenu de la nature du traitement et des informations à sa disposition, le sous-traitant apporte son concours au responsable du traitement pour garantir le respect des obligations liées :
    • aux mesures techniques et organisationnelles appropriées à    prendre ;
    • aux notifications de violations de données ;
    • aux analyses d’impact.

Abonnez-vous à la lettre d’information