Sécurité des données personnelles et sous-traitance

Les obligations de sécurité et la sous-traitance

1. – Au-delà des obligations de sécurité imposées, la loi régit également les rapports entre le responsable du traitement et ses potentiels sous-traitants et impose par là-même plusieurs obligations :

• qu’un sous-traitant ne puisse intervenir sur les données personnelles que sur instruction du responsable du traitement ;
• que le sous-traitant présente des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité auxquelles est soumis le responsable de traitement, ce qui peut laisser penser qu’elle impose un audit du sous-traitant.
• Enfin l’article 35 de la loi impose de rédiger formellement un contrat entre le responsable et le sous-traitant, dans lequel seront définies les obligations lui incombant.

L’objectif du législateur a été ici de « renforcer les garanties en matière de sous-traitance afin, notamment, de tenir compte de l’externalisation des tâches de saisies chez un sous-traitant pouvant être localisé dans un pays étranger, comme l’Inde par exemple» (Türk A., Rapport Sénat 2002-2003, Examen des articles, n°218).

Le plan de l'article :
- La sécurité des données personnelles (introduction)
- Le détail des obligations de sécurité
- La jurisprudence et l'obligation de sécurité des données personnelles
- Le pouvoir de la CNIL d'édicter des règlements de sécurité
- Les obligations de sécurité des données personnelles et la sous-traitance