La Cnil a récemment publié un nouveau modèle de clause de « sécurité et confidentialité », à insérer dans les contrats de sous-traitance de données conclus par un responsable de traitement.
A cet égard, il est rappelé que, conformément à l’article 34 de la loi Informatique et libertés, tout responsable d’un traitement de données à caractère personnel est tenu à une obligation de sécurité des données traitées.
Cette obligation pèse sur le responsable du traitement y compris lorsqu’un sous-traitant intervient. Le responsable du traitement devant s’assurer que le sous-traitant présente les garanties suffisantes de sécurité et de confidentialité.
A cette fin, l’article 35 de la loi Informatique et libertés dispose que « le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement ».
C’est à cet effet que la Cnil propose des modèles de clauses « sécurité et confidentialité ». Or, une clause de ce type a déjà été proposée par la Cnil dans son guide relatif à la sécurité des données publié en 2010.
Toutefois, ce nouveau modèle prévoit une clause complémentaire. Elle est spécifique en cas d’opérations de maintenance ou de télémaintenance effectuées par le sous-traitant. Cette nouvelle clause n’étant toutefois qu’un modèle générique, qui devra être adapté au regard des spécificités de chaque traitement.
Cnil, rubrique Fiche pratique, article du 2 mai 2011