Préposé à la protection des données et transparence Jura-Neuchâtel
Thèmes de A à Z
Rechercher dans le site Qui est concerné ?
Entité et personnes concernées Règles applicables
Convention CPDT-JUNE, ... Modèles Documents
Pour entités et particuliers Guides pratiques
Procédures, vidéosurveillance, ...
AccueilDocumentationGuides pratiquesCheck-list sous-traitance

Check-list pour l'élaboration d'une convention de traitement de données personnelles par un sous-traitant

Protection des données

Check-list pour l'élaboration d'une convention de traitement de données personnelles par un sous-traitant

   

A. Avant d'élaborer un contrat de sous-traitance :

  1. Avez-vous vérifié d'être en droit de traiter les données personnelles qui doivent être sous-traitées ?

  2. Avez-vous vérifiez qu'aucune obligation légale ou contractuelle de garder le secret ne l'interdit, outre le secret de fonction ?

  3. Avez-vous l'assurance que la sécurité des données sera garantie dans le cadre de cette sous-traitance et établi une annexe comprenant les mesures techniques et organisationnelles ?

  4. Avez-vous établi une annexe comprenant la liste des catégories de données et des traitements sous-traités et leur degré de sensibilité ?

  5. Avez-vous l'assurance que seuls les traitements confiés seront effectués par le sous-traitant ?

  6. Avez-vous la liste des personnes désignées par leur fonction concernées par le traitement des données personnelles ?

B. Le contrat contient-il :

  1. Une définition de termes importants ?

  2. Une description de l'objet du contrat ?

  3. Une mention de la durée du contrat ?

  4. Une énumération des buts/finalités ?

  5. Une énumération des données personnelles traitées ?

  6. Une énumération des traitements de données personnelles ?

C. Le sous-traitant s'est-il engagé à :

  1. Disposer des compétences techniques (IT, sécurité, infrastructure…) et juridiques pour appréhender l’ensemble des obligations qui sont imposées par la CPDT-JUNE et qui lui seront transmises par le mandant ?

  2. Disposer en permanence des ressources suffisantes pour garantir les obligaitions du présent contrat ?

  3. Transmettre l’ensemble des éléments probatoires nécessaires à la vérification du chiffre précédant ?

  4. Ne pas traiter les données personnelles de manière contraire au présent contrat ?

  5. Respecter en tout point les principes de  protection des données personnelles et autres règles de la CPDT-JUNE ?

  6. Se soumettre aux règles du secret de fonction ?

  7. Ne traiter que les données personnelles énumérées dans le contrat ?

  8. N'effectuer que les traitements et respecter les finalités énumérés dans le contrat ?

  9. Effectuer les traitements de données personnelles exclusivement en Suisse (sauf si exceptions légales réalisées et que les conditions de l'art. 27 CPDT-JUNE sont remplies) et désigner précisément le lieu (Tout changement doit être annoncé dans un délai convenu) ?

  10. Désigner une personne de contact pour toutes les questions relatives à la protection des données personnelles ?

  11. S'assurer que les données personnelles sont protégées contre un emploi abusif en prenant des mesures organisationnelles et techniques appropriées. Veiller à l'intégrité, à la disponibilité et à la confidentialité des données personnelles. (Les mesures seront plus élevées s'il s'agit de données personnelles sensibles ou de profils de la personnalité. Un concept de sécurité des données personnelles doit être fourni (par ex. chiffrage, codage, mot de passe supplémentaire en cas de transmission par informatique, etc.)) ?

  12. Réévaluer périodiquement si les mesures techniques et organisationnelles prises sont toujours adéquates et effectuer régulièrement les mises à jour nécessaires ?

  13. Ne pas sous-traiter à son tour les données personnelles sans l'accord exprès du mandant. (prévoir au moins 2 mois de réflexion avant de devoir se déterminer. Tous les détails nécessaires pour donner un consentement suffisamment éclairé devront être obtenus) ?

  14. Obtenir l'engagement du/des sous-traitant(s) ultérieur(s) qui respectera(ont) le présent contrat ?

  15. S'assurer et garantir périodiquement [à définir] que le sous-traitant ultérieur respecte la CPDT-JUNE et le présent contrat ?

  16. Fournir, sur demande, les copies de tout contrat passé avec le sous-traitant ultérieur en lien avec le traitement des données personnelles ?

  17. Limiter l’accès aux données personnelles aux seules personnes qui doivent y avoir accès. Le sous-traitant s’assure que ces personnes respectent les obligations prévues par le présent contrat ?

  18. Établir une liste désignant par leur fonction les personnes concernées par le traitement, qui sera annexée au présent contrat ?

  19. Faire signer au personnel un engagement à respecter la protection des données personnelles (voir charte) ?

  20. Informer immédiatement le mandant s’il n’est plus en mesure de respecter la convention, si n’importe quel accès accidentel, non autorisé ou non convenu a eu lieu ?

  21. Permettre, dans la mesure du possible, de chiffrer les données personnelles autant que faire se peut ?

  22. Si les données personnelles sont chiffrées, permettre que la clef de chiffrement soit détenue par le mandant ou un autre sous-traitant que celui qui est partie au contrat. [si un sous-traitant gère la clef, le contrat doit inclure des règles strictes sur l’interdiction de transmettre la clé à l’étranger et obtenir l'engagement que personne ne cherchera à tenter de déchiffrer les données personnelles.] ?

  23. S'interdire de traiter des données personnelles révélant l'origine raciale, les opinions politiques ou les convictions religieuses ou autres, ainsi que toutes données personnelles concernant la santé ou la vie sexuelle ou le casier judiciaire, à moins que ce traitement ne soit régi par les garanties qui auraient été appliquées en vertu du droit interne du mandant ?

  24. Exploiter les données personnelles exclusivement pour les traitements énumérés dans le contrat et ne communiquer les données personnelles, gratuitement ou contre paiement, à aucune autre personne morale ou physique, sauf en cas d'obligation prévue par son droit interne et mentionnée expressément ?

  25. Garantir aux personnes concernées le droit d'accès à leurs données personnelles ainsi que le droit de rectification et d'effacement de celles-ci dans les mêmes conditions qu'en vertu de la CPDT-JUNE ?

  26. Permettre au mandant de répondre aux demandes formulées par les personnes dont les données personnelles sont sous-traitées et à fournir, dans les plus brefs délais, au mandant toutes les informations et données personnelles nécessaires pour répondre à leurs demandes. Il s’agit notamment du droit d’accès à ses propres données personnelles, du droit de destruction de données personnelles illicites, du droit de modification des données personnelles, etc. ?

  27. Rectifier, effacer et mettre à jour immédiatement les données personnelles, dès réception des instructions du mandant à cet effet ?

  28. Coopérer entièrement et sans délai avec l’autorité de surveillance de la CPDT-JUNE afin que cellei-ci puisse s'assurer du respect de toutes les obligations en lien avec le traitement des données personnelles, que ce soit envers la personne concernée ou tout tiers ?

  29. Coopérer entièrement et sans délai avec le mandant afin que celui-ci puisse respecter toutes ses obligations en lien avec le traitement des données personnelles, que ce soit envers la personne concernée ou tout tiers ?

  30. Communiquer immédiatement au mandant toute requête qu’il recevrait en lien avec le traitement des données personnelles, que cette requête émane de la personne concernée ou d’un tiers, et attendre les instructions du mandant en lien avec de telles requêtes avant d’y donner suite ?

  31. Informer immédiatement et préalablement si d’autres traitements de données personnelles sont absolument nécessaires au regard de la loi, y compris une obligation de transférer des données personnelles à des tiers ?

  32. Donner suffisamment de temps pour s'opposer aux autres traitements de données du chiffre précédant et à limiter au maximum les données personnelles traitées ?

  33. Fournir une assistance raisonnable au mandant en lien avec toute analyse d’impact relative à la protection des données personnelles qui serait requise, ainsi que pour toute autre requête en lien avec la CPDT-JUNE ?

  34. Se soumettre aux mêmes contrôles que ceux auxquels est soumis le mandant, notamment ceux du PPDT. Si nécessaire (notamment si les contrôles du sous-traitant ne couvrent pas tous les points et qu’ils se limitent, p. ex., aux aspects sécuritaires), des contrôles du mandant lui-même ou du PPDT  ou de tiers qu'ils mandateraient doivent être possibles ?

  35. Effectuer les audits ?

  36. Respecter les modalités des audits ?

  37. S'engage à remettre au mandant ou au PPDT tous les rapports de contrôle en lien avec les traitements prévus ?

  38. Respecter l'obligation d'annonce des violations de sécurité au sens de l'art. 23c CPDT-JUNE ?

  39. Respecter la durée de conservation convenue et effacer les données personnelles si le mandant le demande ?

  40. Respecter toutes les instructions du mandant relatives aux traitements de données personnelles confiés ?
    Des instructions doivent être données personnelles en matière de conservation, destruction et archivage des données personnelles aussi bien informatiques que sur papier.

  41. Annoncer s'il devient insolvable ?

  42. Choisir le personnel chargé du traitement avec soin ?

  43. Former son personnel interne en donnant les instructions suffisantes et nécessaires afin que son organisation soit en mesure de respecter l’ensemble des obligations imposées dans le présent contrat ?

D. Avez-vous prévu :

  1. De rappeler que le sous-traitant est responsable du respect du contrat ?

  2. Le sous-traitant devra une indemnité pour toute perte, coût, dommage ou préjudice, quelle qu’en soit la forme ?

  3. De rappeler que l’autorisation donnée pour un ou plusieurs sous-traitants ultérieurs ne libérera pas le sous-traitant de sa responsabilité ?

  4. Que tout préjudice et tout dommage subi inclura tous frais et tous coûts (y compris juridiques) qui découlent directement ou indirectement de la violation de ses obligations par le sous-traitant et/ou de tout sous-traitant ultérieur, y compris notamment tous coûts nécessaires pour répondre ou contester une réclamation ou prétention de la personne concernée ou de tout tiers ?

  5. De rester libre en tout temps libre de déterminer, si et comment répondre et/ou contester une prétention et/ou une responsabilité issue ou liée au traitement des données personnelles par le sous-traitant ou tout sous-traitant ultérieur ?
    [Possibilité de prévoir une clause pénale forfaitaire]

  6. Que le sous-traitant s'engage à indemniser pour tout manquement à ses obligations résultant du contrat ou pour toute faute ou toute négligence manifeste liée à l'exécution du contrat ?

  7. Que les conflits sont soumis au droit ordinaire ?

  8. La durée du contrat ?

  9. Que tant que le sous-traitant traite les données personnelles faisant l'objet du contrat, il sera soumis aux obligations prévues par ce dernier ?

  10. Que si le sous-traitant (et/ou tout sous-traitant ultérieur) n'exécute pas, totalement ou partiellement une obligation légale ou du contrat, le mandant peut le résilier immédiatement de plein droit ?

  11. Si le chiffre précédant se réalise, le mandant peut suspendre tout transfert de données personnelles et/ou tout traitement ?

  12. Toute modification doit être annoncée préalablement dans un certain délai et permet la résiliation du contrat par le mandant ?

  13. Que s'il s'avère que le sous-traitant est acheté par un tiers, fait l'objet d'une procédure de faillite, fait preuve de mauvaise foi dans l'exécution du contrat ou refuse de respecter notamment la décision des arbitres, le contrat peut être résilié ?

  14. Que la résiliation s'effectue par lettre recommandée avec avis de réception, ou par tout autre moyen équivalent, sans préjudice d'une éventuelle demande de dommages et intérêts ?

  15. Qu'au moment de la résiliation du contrat, le sous-traitant doit retourner immédiatement toutes les données personnelles concernées par l’accord puis détruire intégralement toutes les copies et certifier expressément qu'il l'a fait ?

  16. Que la restitution des données personnelles devra se faire dans un format standard et exploitable ?

  17. Que le sous-traitant doit se soumettre aux contrôles du mandant et du PPDT pour vérifier que lui, ou ses sous-traitants ne détiennent plus aucune données personnelles relatives au contrat ?

  18. Que si le sous-traitant, ou ses sous-traitants, n'exécute pas, totalement ou partiellement, une obligation légale ou du contrat, qu'il s'engage à verser un dédommagement ?

  19. Que le contrat est soumis au droit suisse ?

  20. Qu'en cas de litige sur l'interprétation ou l'exécution du contrat, les parties s'efforceront de le régler à l'amiable avant d'entreprendre toute autre action ?

  21. La détermination du for juridique dans le canton ?

Ce site utilise plusieurs cookies pour indiquer temporairement aux serveurs la langue que vous avez choisie lors de la configuration de vos outils informatiques, ainsi que pour rappeler aux serveurs votre choix d'accepter les présentes conditions pour éviter de reposer la question à la prochaine visite. En poursuivant, vous acceptez l’utilisation de ces cookies aux fins énoncées ci-dessus. En savoir plus.