AstucenLPD
A quoi dois-je faire attention dans les contrats avec mes sous-traitants pour respecter la nLPD?
Règles applicables
Les entreprises qui traitent des données personnelles ont l’obligation d’annoncer les violations de la sécurité des données qui peuvent entraîner un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées (à savoir celles dont les données sont traitées). Cette obligation s’applique également aux entreprises tierces qui traitent des données personnelles pour le compte d’une autre entreprise (appelés « sous-traitants » dans le cadre de la nouvelle loi suisse sur la protection des données (nLPD)).
Par exemple, si une entreprise fait appel à un sous-traitant informatique pour héberger ses données personnelles, le sous-traitant informatique est également tenu d’annoncer les violations de la sécurité des données, même si celles-ci n’ont pas eu de répercussions sur les données des clients de l’entreprise.
Sur cette base, il est donc important de définir des obligations d’annonce dans les contrats conclus avec vos sous-traitants et de mettre en place un processus pour gérer ces annonces. Ce processus doit permettre à votre entreprise de réagir rapidement et efficacement aux violations de la sécurité des données, afin de limiter les risques pour les personnes concernées.
Quels sont les points que vous devriez régler?
Il n’existe aucune disposition légale qui exige que les entreprises incluent des clauses spécifiques sur la sécurité des données dans leurs contrats avec des sous-traitants. Cependant, il est usuellement recommandé d’inclure les éléments suivants dans vos contrats :
- l’obligation d’annoncer toutes les violations de la sécurité des données ;
- le processus d’annonce, y compris les personnes responsables de l’annonce des violations au sein de votre entreprise et du sous-traitant ; et
- la manière dont la sécurité des données doit être garantie.
La prise en compte de ces éléments vous aidera à vous protéger en cas de violation de la sécurité des données et à limiter les dommages causés aux personnes concernées. Cela vous aidera également à démontrer votre conformité à la nLPD, notamment.
Le petit plus de l'expert nLPD
Si vous confiez le traitement des données personnelles de votre entreprise à d’autres entreprises, vous devez en informer les personnes concernées. Vous devez le faire dans votre déclaration de protection des données. N’oubliez donc pas de mettre à jour votre déclaration de protection des données chaque fois que vous confiez le traitement des données personnelles de votre entreprise à une nouvelle entreprise.
Besoin d'aide sur la nLPD ?
Nos experts se tiennent à votre disposition pour répondre à vos questions et vous présenter des solutions concrètes pour vous mettre en adéquation avec la nLPD !
Article rédigé par
José Veloso
Associé de Valpeo International
Spécialiste dans la gouvernance d'entreprise
Besoin d'aide sur la nLPD ?
Nos experts se tiennent à votre disposition pour répondre à vos questions et vous présenter des solutions concrètes pour vous mettre en adéquation avec la nLPD !
Découvrez d'autres astuces de nos experts sur la nLPD