Lorsque le traitement est confié à un sous-traitant, le responsable du traitement ou, le cas échéant, son représentant
en République du Bénin, doit :
1- choisir un sous-traitant apportant des garanties suffisantes au regard des mesures de sécurité technique et
d'organisation relatives aux traitements, notamment pour assurer la mise en œuvre des mesures de sécurité et de
confidentialité, de manière à ce que le traitement réponde aux exigences du présent Livre et garantisse la protection
des droits des personnes concernées ;
2- veiller au respect des mesures du point i. ci-dessus, notamment par la stipulation de mentions spécifiques dans
les contrats passés avec des sous-traitants ;
3- fixer dans le contrat, la responsabilité du sous-traitant à l'égard du responsable du traitement et les obligations
incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données ;
4- convenir avec le sous-traitant que celui-ci n'agit que sur la seule instruction du responsable du traitement et est
tenu par les mêmes obligations que celles auxquelles le responsable du traitement est tenu ;
5- consigner par écrit ou sur un support électronique les éléments du contrat visés dans le présent article.
Toute personne agissant sous l'autorité du responsable du traitement ou celle du sous-traitant, ainsi que le soustraitant lui-même, qui accède à des données à caractère personnel, ne peut les traiter que sur instruction du
responsable du traitement, sauf en cas d'une obligation imposée par ou en vertu d'une loi, d’un décret ou d’une
ordonnance.
Article 387 : Principe de responsabilité du responsable de traitement
Le responsable du traitement ou son représentant doit notamment :
1- faire toute diligence pour tenir les données à jour, pour rectifier ou supprimer les données inexactes,
incomplètes, ou non pertinentes, ainsi que celles obtenues ou traitées en méconnaissance des articles 383, 389, 395,
396 et 397 du présent code
2- veiller à ce que, pour les personnes agissant sous son autorité, l'accès aux données et les possibilités de traitement
soient limités à ce dont ces personnes ont besoin pour l'exercice de leurs fonctions ou à ce qui est nécessaire pour
les nécessités du service ;
3- informer les personnes agissant sous son autorité des dispositions du présent Livre et de ses textes d’application,
ainsi que de toute prescription pertinente, relative à la protection de la vie privée à l'égard des traitements des
données à caractère personnel ;
4- s'assurer de la conformité des programmes servant au traitement automatisé des données à caractère personnel
avec les termes de la déclaration visée à l’article 405 ainsi que de la régularité de leur application ;
5- mettre en œuvre toutes les mesures techniques et l’organisation appropriées pour assurer la protection des données
qu’il traite contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non
autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre
toute autre forme de traitement illicite ;
6- empêcher toute personne non autorisée d’accéder aux installations utilisées pour le traitement de données ;
7- empêcher que des supports de données puissent être lus, copiés, modifiés ou déplacés par une personne non
autorisée ;
8- empêcher l’introduction non autorisée de toute donnée dans le système d’information, ainsi que toute prise de
connaissance, toute modification ou tout effacement non autorisés de données enregistrées ;