Règles applicables aux fournisseurs et sous-traitants en matière d’obligation d’annoncer les violations de la sécurité des données
Les obligations d’annoncer les violations de la sécurité des données (insérer lien) susceptibles d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée ne s’appliquent pas uniquement au responsable du traitement ou à votre entreprise. Si vous coopérez avec des entreprises tierces (fournisseurs) – par exemple un fournisseur informatique – qui fournit des services à votre entreprise et traite des données personnelles, ces entreprises doivent également annoncer les violations des données, même si celles-ci n’ont pas eu de répercussions. Il est donc conseillé d’indiquer les obligations d’annoncer dans les contrats conclus avec des entreprises tierces et de définir un processus à cet effet.
Quels sont les points que vous devriez régler?
Il n’existe aucune prescription légale précisant les points à régler en matière de sécurité des données dans un contrat avec un sous-traitant. Nous vous recommandons toutefois d’y faire figurer les points suivants:
- l’obligation d’annoncer toutes les violations de la sécurité des données;
- le processus d’annonce ainsi que les personnes responsables des deux parties;
- la manière dont la sécurité des données doit être garantie.
De quoi devez-vous encore tenir compte?
Si d’autres entreprises traitent des données personnelles pour votre compte, cela doit être précisé dans la déclaration de protection des données. N’oubliez donc pas de la mettre à jour.