Le contrat liant le sous-traitant au responsable du traitement comporte l’indication
des obligations incombant au sous-traitent en matière de protection de la sécurité
et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que
sur instruction du responsable du traitement.
SECTION II : OBLIGATION DE SECURITE
Article 71 :
Le responsable du traitement est tenu de prendre toute précaution utile au regard
de la nature des données et, notamment, pour empêcher qu’elles soient déformées,
endommagées, ou que des tiers non autorisés y aient accès. Il prend, en particulier,
toute mesure visant à :
1) garantir que, pour l’utilisation d’un système de traitement automatisé de
données, les personnes autorisées ne puissent accéder qu’aux données à
caractère personnel relevant de leur compétence ;
2) garantir que puisse être vérifiée et constatée l’identité des tiers auxquels des
données à caractère personnel peuvent être transmises ;
3) garantir que puisse être vérifiée et constatée à posteriori l’identité des
personnes ayant eu accès au système d’information et quelles données ont
été lues ou introduites dans le système, à quel moment et par quelle
personne ;
4) empêcher toute personne non autorisée d’accéder aux locaux et aux
équipements utilisés pour le traitement des données ;
5) empêcher que des supports de données puissent être lus, copiés, modifiés,
détruits ou déplacés par une personne non autorisée ;
6) empêcher l’introduction non autorisée de toute donnée dans le système
d’information ainsi que toute prise de connaissance, toute modification ou
tout effacement non autorisés de données enregistrées ;
7) empêcher que des systèmes de traitements de données puissent être utilisés
par des personnes non autorisées à l’aide d’installations de transmission de
données ;
8) empêcher que, lors de la communication de données et du transport de
supports de données, les données puissent être lues, copiées, modifiées ou
effacées de façon non autorisée ;
9) sauvegarder les données par la constitution de copies de sécurité ;
10) rafraîchir et si nécessaire convertir les données pour un stockage pérenne.
SECTION III : OBLIGATION DE CONSERVATION
Article 72 :
Les données à caractère personnel ne peuvent être conservées au-delà de la durée
nécessaire qu'en vue d'être traitées à des fins historiques, statistiques ou
scientifiques.
26