Préposé à la protection des données et transparence Jura-Neuchâtel

Check-list pour l'élaboration d'une convention de traitement de données personnelles par un sous-traitant

Protection des données

Check-list pour l'élaboration d'une convention de traitement de données personnelles par un sous-traitant

   

Avant d'élaborer un contrat de sous-traitance :

1.

Avez-vous vérifié d'être en droit de traiter les données personnelles qui doivent être sous-traitées ?

2.

Avez-vous vérifiez qu'aucune obligation légale ou contractuelle de garder le secret ne l'interdit, outre le secret de fonction ?

3.

Avez-vous l'assurance que la sécurité des données sera garantie dans le cadre de cette sous-traitance ?

4.

Avez-vous établi une annexe comprenant la liste des catégories de données sous-traitées et leur degré de sensibilité ?

5.

Avez-vous l'assurance que seuls les traitements confiés seront effectués par le sous-traitant ?

Avez-vous garanti au sous-traitant que les données :

6.

Ont été obtenues et traitées loyalement et licitement ?

7.

Ne font pas l’objet d’une obligation de les garder secrètes interdisant la concession ?

8.

Ont été enregistrées pour des finalités déterminées et légitimes et ne sont pas employées de manière incompatible avec ces finalités ?

9.

Sont adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles seront concédées ?

10.

Sont exactes et à jour ?

11.

Ont fait l’objet d’une information à la personne concernée lorsque c’est exigé par la loi ?

12.

Bénéficient d'une autorisation de conservation pour une durée de [à établir] ?

Le sous-traitant s'est-il engagé à :

13.

Respecter en tout point les exigences du mandant ?

14.

S'interdire tout traitement ou usage des données qui serait contraire au contrat ?

15.

Se soumettre aux règles du secret de fonction.

16.

Héberger des données est exclusivement en Suisse [où à l'étranger si accord du PPDT].

17.

S'assurer que les données sont protégées contre un emploi abusif en prenant mesures organisationnelles et techniques appropriées. Il veille à l'intégrité, à la disponibilité et à la confidentialité des données. Les mesures seront plus élevées s'il s'agit de données sensibles ou de profils de la personnalité. Un concept de sécurité des données doit être fourni (par ex. chiffrage, codage, mot de passe supplémentaire en cas de transmission par informatique, etc.).

18.

Ne pas sous-traiter à son tour les données sans l'accord express du mandant.

19.

À faire signer au personnel un engagement à respecter la protection des données (voir charte).

20.

À faire usage des données pour les finalités suivantes, à l'exclusion de toutes autres, à savoir : [les énumérer].

21.

À faire usage des données pour les finalités suivantes, à l'exclusion de toutes autres, à savoir : [les énumérer].

22.

S'interdire de traiter des données à caractère personnel révélant l'origine raciale, les opinions politiques ou les convictions religieuses ou autres, ainsi que toutes données à caractère personnel concernant la santé ou la vie sexuelle ou le casier judiciaire, à moins que ce traitement ne soit régi par les garanties qui auraient été appliquées en vertu du droit interne du mandant;

23.

Exploiter les données exclusivement pour son usage personnel et ne communiquera les données, gratuitement ou contre paiement, à aucune autre personne morale ou physique, sauf en cas d'obligation prévue par son droit interne et mentionnée expressément.

24.

Rectifier, effacer et mettre à jour immédiatement les données, dès qu'il aura reçu les instructions à cet effet du mandant.

25.

Rectifier, compléter ou effacer tout ou partie des données s'il s'avère que ces mesures sont requises par la loi du Canton du mandant ou sont fondées sur des circonstances nouvelles intervenues dans le Canton du mandant, circonstances que le mandant notifiera et justifiera au sous-traitant dès qu'une annonce légale paraîtra dans le Canton du mandant.

26.

Garantir aux personnes concernées le droit d'accès à leurs données ainsi que le droit de rectification et d'effacement de celles-ci dans les mêmes conditions qu'en vertu du droit interne du mandant.

27.

Se soumettre aux mêmes contrôles que ceux auxquels est soumis le mandant, notamment à ceux du PPDT.

28.

Effectuer les audits selon les modalités suivantes : [à établir].
  • Préciser si les audits concernent également les sous-traitants en cascade, les fréquences de contrôle, s'ils peuvent avoir lieu sans avis préalable et qui doit supporter les coûts. Il est aussi possible d'exiger un rapport annuel écrit du sous-traitant confirmant qu'il n'a effectué que les traitements de données qui avaient été prévus contractuellement.

29.

Respecter la durée de conservation convenue et d'effacer les données si le mandant le demande.

30.

Respecter toutes les instructions du mandant relatives aux traitements de données personnelles confiés [à établir].

31.

Donner des instructions en matière de conservation, destruction et archivage des données aussi bien informatiques que sur papier.

32.

Annoncer s'il devient insolvable.

33.

Choisir le personnel chargé du traitement avec soin.

34.

Donner les instructions suffisantes et nécessaires à son personnel concernant la protection des données.

35.

Veiller à ce que son personnel respecte les impératifs de la protection des données.

Avez-vous prévu que :

36.

Au cas où le sous-traitant refuserait de permettre aux personnes concernées d'exercer le droit d'accès ou refuserait la rectification ou l'effacement demandé(e) par la personne concernée, que vous pouvez :

  • Résilier purement et simplement le contrat, dans les conditions et avec les conséquences prévues aux points 40 et suivants, ou déclencher la procédure de désignation d'un arbitre.

37.

Le sous-traitant est responsable de l'usage qui est fait des données transmises par le mandant.

38.

Le sous-traitant s'engage à indemniser [à établir] le mandant pour tout manquement à ses obligations résultant du contrat ou pour toute faute ou toute négligence manifeste liée à l'exécution du contrat.

39.

Les conflits sont soumis au droit ordinaire.

40.

Le contrat sera résilié de plein droit en cas d'inexécution par le sous-traitant d'une ou de plusieurs de ses obligations.

41.

S'il s'avère que le sous-traitant est acheté par un tiers, fait l'objet d'une procédure de faillite, fait preuve de mauvaise foi dans l'exécution du contrat ou refuse de respecter notamment la décision des arbitres, le mandant se réserve le droit de résilier le contrat.

42.

La résiliation s'effectue par lettre recommandée avec avis de réception, ou par tout autre moyen équivalent, sans préjudice d'une éventuelle demande de dommages et intérêts.

43.

Au moment de la résiliation du contrat, le sous-traitant doit retourner immédiatement toutes les données personnelles concernées par l’accord puis détruire toutes les copies. Il certifiera au mandant qu’il l’a fait. La restitution des données devra se faire dans un format standard et exploitable.

44.

En cas de manquement à la clause précédente, le sous-traitant s'engage à verser au sous-traitant la somme de [à établir].

45.

Le contrat est soumis au droit suisse.

46

En cas de litige sur l'interprétation ou l'exécution de la présente convention, les parties s'efforceront de le régler à l'amiable avant d'entreprendre toute autre action.

47.

À défaut de règlement à l'amiable, celui-ci pourra être porté devant la juridiction compétente; le for juridique est à [à établir].

Ce site n'utilise que deux cookies: Un pour indiquer temporairement aux serveurs la langue que vous avez choisie lors de la configuration de vos outils informatiques. Un autre pour rappeler aux serveurs votre choix d'accepter les présentes conditions, afin d’éviter de reposer la question à la prochaine visite. En poursuivant la consultation de notre site, vous acceptez l’utilisation des cookies aux fins énoncées ci-dessus, ainsi que l'enregistrement temporaire sur les serveurs de quelques données personnelles à des fins techniques. En savoir plus.