Upload
isabelle-gomez
View
117
Download
3
Embed Size (px)
Citation preview
Bureau de la protection des données personnelles (maurice)
Titre:- «la problématique juridictionnelle et les enjeux du
transfert de données personnelles dans les opérations
d’externalisation»
Présentée par la Commissaire de la Protection des Données
Personnelles de Maurice (Mme Drudeisha Madhub)
Au séminaire de Dakar organisé par l’AFAPDP
19-21 septembre 2011
11/04/23 1
Bureau de la protection des données personnelles (maurice)
Avant d’introduire le sujet, je voudrais faire ressortir
que Maurice s’est dotée d’une législation en matière de
protection de données personnelles et vise à être
reconnue comme pays adéquat. C’est à souligner que
Maurice a déjà fait une demande d’accréditation auprès
de l’union européenne, mais vue la complexité de notre
législation inspirée de la loi britannique, une
assistance technique a été sollicitée pour une
évaluation des amendements requis de cette loi datant de
2004.
11/04/23 2
Bureau de la protection des données personnelles (maurice)
Maurice est également un des premiers pays africains qui
a consacré les TIC comme le troisième pilier de son
économie très récemment. L’externalisation ‘offshore’
des données provenant surtout de L’Europe vers Maurice
est donc un des fondamentaux de ce domaine surtout dans
les secteurs clés tels que ITO/BPO (externalisation des
processus informatiques et d’affaires) et le KPO
(externalisation des processus de connaissance).
11/04/23 3
Bureau de la protection des données personnelles (Maurice)
Cette présentation vise plutôt à etablir les principes
juridiques reconnus internationalement (en l’absence d’une
convention ou traité international) qui doivent être
applicables dans des opérations d’externalisation tels que
les services financiers et de comptabilité, les services de
paie, la gestion des ressources humaines, les centres
d’appels, ou encore la sous-traitance de processus de
connaissances, notamment dans les domaines juridiques, de la
recherche médicale, des essais cliniques, entre autres.
11/04/23 4
Bureau de la protection des données personnelles (maurice)
L’externalisation s’associe aussi à
« l’informatique en nuages » ou le
cloud computing et les réseaux
sociaux.
Or nous savons déjà quels sont les
risques que peuvent encourir une
organisation ayant recours à ces
outils souvent projetés comme des
merveilles de la technologie moderne
mais cachant les dessous d’une
technologie aux dangers multiples en
terme de sécurité et protection des
données personnelles.11/04/23 5
Bureau de la protection des données personnelles (Maurice)
Le cloud computing apporte une problématique
complémentaire au niveau juridictionnel en permettant
aux entreprises d’externaliser ces services « dans les
nuages », c'est-à-dire sans savoir précisément où
seront réparties les ressources et capacités des
prestataires impliqués.
Les réseaux sociaux représentent aussi des énigmes en
termes juridictionnels car la compagnie responsable de
traitement (ou l’exportateur de données) ne se situe
pas nécessairement dans le même pays que ses clients ou
celui/ceux de son/ses sous-traitant/s (l’importateur/s
de donnees). La pluralité des acteurs ajoute à la
complexité de déterminer qui est responsable et de
quoi?
Le transfert de données personnellees doit être régi
d’une manière efficace et selon les règles nationales
applicables.
11/04/23 6
Bureau de la protection des données personnelles (Maurice)
D’abord, quelles sont les dispositions
de la directive 1995 de L’UE qui
peuvent servir comme source
d’inspiration législative ou
contractuelle pour nos pays non-
membres de L’UE afin de contourner la
problématique territoriale?
Le préambule 18 considère qu'il est
nécessaire, que tout traitement de
données à caractère personnel effectué
dans la Communauté respecte la
législation de l'un des États membres. 11/04/23 7
Bureau de la protection des données personnelles (Maurice)
Le préambule 19 considère que l'établissement
sur le territoire d'un État membre suppose
l'exercice effectif et réel d'une activité au
moyen d'une installation stable; que la forme
juridique retenue pour un tel établissement,
qu'il s'agisse d'une simple succursale ou d'une
filiale ayant la personnalité juridique, n'est pas
déterminante à cet égard; que, lorsqu'un même
responsable est établi sur le territoire de
plusieurs États membres, en particulier par le
biais d'une filiale, il doit s'assurer, notamment
en vue d'éviter tout contournement, que chacun
des établissements remplit les obligations
prévues par le droit national applicable aux
activités de chacun d'eux.11/04/23 8
Bureau de la protection des données personnelles (Maurice)
Le préambule 20 considère que l'établissement,
dans un pays tiers, du responsable de traitement
de données ne doit pas faire obstacle à la
protection des personnes prévue par la présente
directive; que, dans ce cas, il convient de
soumettre les traitements de données effectués à
la loi de l'État membre dans lequel des moyens
utilisés pour le traitement de données en cause
sont localisés et de prendre des garanties pour
que les droits et obligations prévus par la
présente directive soient effectivement respectés;
Le préambule 21 considère que la présente
directive ne préjuge pas des règles de
territorialité applicables en matière de droit
pénal;11/04/23 9
Bureau de la protection des données personnelles (Maurice)
Article 4 Droit national applicable1. Chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque: a) le traitement est effectué dans le cadre des activités d'un établissement du responsable du traitement sur le territoire de l'État membre; si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable;b) le responsable du traitement n'est pas établi sur le territoire de l'État membre mais en un lieu où sa loi nationale s'applique en vertu du droit international public;c) le responsable du traitement n'est pas établi sur le territoire de la Communauté et recourt, à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire dudit État membre, sauf si ces moyens ne sont utilisés qu'à des fins de transit sur le territoire de la Communauté.2. Dans le cas visé au paragraphe 1 point c), le responsable du traitement doit désigner un représentant établi sur le territoire dudit État membre, sans préjudice d'actions qui pourraient être introduites contre le responsable du traitement lui-même.
11/04/23 10
Bureau de la protection des données personnelles (Maurice)
L’emphase est clairement mise sur le droit
national applicable où:-
les moyens utilisés pour le traitement de
données en cause du responsable du traitement
sont localisés;ou
le responsable du traitement est établi dans un
pays où sa loi nationale s'applique en vertu du
droit international public.
11/04/23 11
Bureau de la protection des données personnelles (Maurice)
Le traitement est une notion très large au sens
de la loi, car il couvre « toute opération »
portant sur des données personnelles, « quel
que soit le procédé utilisé », et notamment la
collecte, l'enregistrement, la conservation, la
modification, l'utilisation et la communication
des données personnelles, entre autres.
11/04/23 12
Bureau de la protection des données personnelles (Maurice)
L’article 2 prévoit que le «responsable du traitement» est la
personne physique ou morale, l'autorité publique, le service
ou tout autre organisme qui, seul ou conjointement avec
d'autres, détermine les finalités et les moyens du traitement
de données à caractère personnel; lorsque les finalités et les
moyens du traitement sont déterminés par des dispositions
législatives ou réglementaires nationales ou communautaires,
le responsable du traitement ou les critères spécifiques pour
le désigner peuvent être fixés par le droit national ou
communautaire.
Le «sous-traitant» est la personne physique ou morale,
l'autorité publique, le service ou tout autre organisme qui
traite des données à caractère personnel pour le compte du
responsable du traitement.
11/04/23 13
Bureau de la protection des données personnelles (Maurice)
Par conséquent, les deux conditions fondamentales pour agir en
qualité de sous-traitant sont, d’une part, d’être une entité
juridique distincte du responsable du traitement et, d’autre part, de
traiter les données à caractère personnel pour le compte de ce
dernier.
L'activité de traitement peut se limiter à une tâche ou un contexte
bien précis, ou être plus générale et étendue.
En outre, le rôle de sous-traitant ne découle pas de la nature de
l'entité traitant des données mais de ses activités concrètes dans un
cadre précis. En d’autres termes, la même entité peut agir à la fois
en qualité de responsable du traitement pour certaines opérations de
traitement et en tant que sous-traitant pour d’autres opérations,
.11/04/23 14
Bureau de la protection des données personnelles (Maurice)
et la qualification de responsable ou de sous-traitant doit
être évaluée au regard d’un ensemble spécifique de données ou
d’opérations.
La directive contient deux dispositions qui visent précisément
le sous-traitant et qui définissent de façon très détaillée
ses obligations en matière de confidentialité et de sécurité:
l’article 16 dispose que le sous-traitant lui-même, ainsi que
toute personne agissant sous son autorité qui accède à des
données à caractère personnel, ne peut les traiter que sur
instruction du responsable du traitement; et
11/04/23 15
Bureau de la protection des données personnelles (Maurice)
l’article 17, qui porte sur la sécurité des traitements,
requiert un contrat ou un acte juridique contraignant qui
régit les relations entre le responsable du traitement et le
sous-traitant.
Ce contrat doit revêtir la forme écrite aux fins de preuve et
contenir un minimum de clauses, stipulant notamment que le
sous-traitant n’agit que sur la seule instruction du
responsable du traitement et met en oeuvre les mesures
techniques et d’organisation appropriées pour protéger les
données à caractère personnel. Le contrat doit comporter une
description suffisamment détaillée du mandat du sous-traitant.
11/04/23 16
Bureau de la protection des données personnelles (Maurice)
À cet égard, les prestataires de services spécialisés dans
certaines opérations de traitement de données (par exemple, le
paiement des salaires) établissent souvent des contrats
standards à signer par les responsables du traitement, fixant
ainsi un certain mode de traitement standardisé des données à
caractère personnel.
Il peut arriver qu’un contrat ne désigne aucun responsable du
traitement mais qu’il contienne suffisamment d’éléments pour
attribuer cette responsabilité à une personne qui exerce
apparemment un rôle prédominant à cet égard.
11/04/23 17
Bureau de la protection des données personnelles (Maurice)
Par exemple,l’affaire SWIFT démontre bien la première
supposition: la société SWIFT était officiellement considérée
comme le sous-traitant des données alors qu’en réalité, elle
intervenait, aussi dans une certaine mesure, comme responsable
du traitement des données. Donc, même si la désignation d’une
entité en tant que responsable du traitement ou sous-traitant
des données dans un contrat pouvait révéler des informations
intéressantes sur le statut juridique de l'entité, cette
désignation contractuelle n’est en soi pas définitive du
véritable statut juridique du responsable et du sous-traitant,
qui doit être déduit de circonstances concrètes.
Donc, le degré de contrôle réel exercé par une partie et le
degré d’influence sont des facteurs importants de
détermination de responsabilité.11/04/23 18
Bureau de la protection des données personnelles (Maurice)
Exemple : Une Société est désignée comme sous-traitant de
données mais agit en réalité comme responsable de traitement:-
La société x propose des services de publicité promotionnelle
et de marketing direct à différentes sociétés. La société z
conclut un contrat avec x, aux termes duquel cette dernière
assure la publicité commerciale des clients de z, et est
désignée comme sous-traitant de données. Cependant, z décide
d’utiliser également la base de données des clients de x pour
promouvoir les produits de y. Cette décision d’ajouter une
finalité supplémentaire à celle pour laquelle les données à
caractère personnel ont été transmises fait de z le
responsable de cette opération de traitement envers y.
11/04/23 19
Bureau de la protection des données personnelles (Maurice)
Certains critères pour déterminer la qualification des divers
sujets participant au traitement proposés par le groupe de
travail dans son opinion de 2010:
le nombre d’instructions préalables données par le responsable
du traitement, qui détermine la marge de manoeuvre laissée au
sous-traitant;
la surveillance exercée par le responsable du traitement sur
l’exécution du service. Un contrôle permanent et rigoureux
afin de s'assurer que le sous-traitant se conforme totalement
aux instructions et aux clauses contractuelles indique que le
responsable du traitement maîtrise totalement et exclusivement
les opérations de traitement;
11/04/23 20
Bureau de la protection des données personnelles (Maurice)
la visibilité/l’image donnée par le responsable du
traitement à la personne concernée, et les attentes que
cette visibilité suscite chez les personnes concernées;
l'expertise des parties: dans certains cas, le rôle
traditionnel et l’expertise professionnelle du
prestataire de services jouent un rôle prépondérant,
pouvant entraîner sa qualification de responsable du
traitement.
11/04/23 21
Bureau de la protection des données personnelles (Maurice)
Exemple:-Un responsable du traitement des données confie à un
centre d’appels certaines de ses activités et lui demande de
se présenter sous son identité lorsqu’il appelle ses clients.
Dans cet exemple, le centre agit en tant que sous-traitant des
données pour le compte du responsable du traitement.
La conclusion d'un contrat entre responsable et sous-traitant
peut être direct ou tripartite caracterisée par l’intervention
d’un intermédiaire ou l’entreprise peut mandater son sous-
traitant de signer un contrat inspiré du Modèle 2010( clauses-
types de L’UE pour gérer la relation responsable à sous-
traitant qui se situe en dehors de l’UE) avec son propre sous-
traitant, au nom et pour le compte de l'entreprise
externalisatrice, ce qui est très fréquent dans les opérations
d’externalisation. 11/04/23 22
Bureau de la protection des données personnelles (Maurice)
Une solution à la problématique juridictionnelle est donc la
conclusion d’un accord entre les deux parties. Le contrat/acte
jurique peut aussi mentionner le pays compétent en termes de
juridiction, mais toutes les responsabilités qui découlent de
la loi du pays du responsable de traitement restent
applicables au contrat.
Par exemple, le responsable qui se trouve à maurice s’engage
contractuellement avec un sous-traitant au maroc. Les
obligations du responsable en vertu de la loi mauricienne sont
applicables au sous-traitant qui traite des données provenant
de maurice par le biais du contrat ou de l’acte juridique. Le
sous-traitant est lui aussi tenu des responsabilités qui lui
incombent de par la loi marocaine. 11/04/23 23
Bureau de la protection des données personnelles (Maurice)
La relation responsable de traitement à sous-traitant est
souvent caractérisée par l’intervention d’un intermédiaire
dans le contexte de l’externalisation.
L’intermédiaire agissant comme sous-traitant, ne pourra lui-
même transférer les données à un sous-traitant qu’à condition
(i) d’avoir obtenu en amont l’accord écrit de l’entreprise
externalisatrice (qui conserve en effet la responsabilité
première du responsable de traitement) et (ii) d'imposer à son
propre sous-traitant les mêmes obligations que celles qu’il
aura lui même contractées dans son contrat de transfert de
données avec l’entreprise externalisatrice.
11/04/23 24
Bureau de la protection des données personnelles (Maurice)
Pour assurer une visibilité effective à l’entreprise
externalisatrice, il conviendra d’imposer, sur toute la chaîne
contractuelle, au moyen d'un contrat ad hoc, la reproduction à
l’identique des engagements pris par l’intermédiaire envers
l’entreprise externalisatrice.
Par le biais d’un audit interne ou privacy-impact assessment,
l’intermédiaire peut s’assurer que les mesures requises ont
été implémentées par le/s sous-traitant/s.
C’est pour cette raison que les responsables de traitements
doivent s’assurer que les transferts de données sont effectués
vers des pays dotés de législations en matière de protection
de données personnelles et de surcroit sont reconnus comme des
pays adéquats en termes de protection.11/04/23 25
Bureau de la protection des données personnelles (Maurice)
les responsables de traitements doivent aussi établir une
politique de sécurité interne qu’ils pourront par la suite
imposer contractuellemnt au sous-traitant.
Mais est-il pratique de supposer que le responsable est en
mesure de s’assurer concrētement que sa loi va être appliqué
dans son ensemble par un sous-traitant?
Pourtant, en tant que responsable de traitement, l’entreprise
se doit d’obtenir de son intermédiaire et/ou sous-traitant,
des garanties que les données qui seront transférées dans le
cadre d’une chaîne de sous-traitance maîtrisée par
l’intermédiaire ou sous-traitant, seront protégées
conformément à la Règlementation des Données Personnelles de
son pays.11/04/23 26
Bureau de la protection des données personnelles (Maurice)
Donc, qu’en est-il des traitements hors
des frontières de L’UE ou des traitements
qui ne concernent pas des pays européens?
Je suis d’avis que les mêmes principes
énoncées dans la directive peuvent être
utilisés comme guide contractuel (qui sont
d’ailleurs reproduites dans maintes
législations nationales non-membres de
l’UE ou reconnus comme pays adéquats) pour
pallier aux manquements du droit national
dans le cas où des règles contraignantes
de protection de données personnelles font
défaut.
11/04/23 27
Bureau de la protection des données personnelles (Maurice)
Ces mêmes principes peuvent être reproduites
dans des binding corporate rules concernant les
compagnies multinationales ou d’autres modèles
contractuels applicables dans le contexte local
qui peuvent aussi s’inspirer des principes
evoqués dans les clauses modēles de L’UE pour
justement régler ce problème de juridiction ou
les règles applicables.
Les BCRs correspondent à un code de conduite
que se fixent toutes les sociétés d’un même
groupe pour le traitement des données
transférées au sein du groupe.
11/04/23 28
Bureau de la protection des données personnelles (Maurice)
Cependant, les BCR doivent toujours être soumises à
l'examen d'une autorité de protection des données
pour validation, afin d'être reconnues comme
apportant un niveau de protection suffisant. C’est
important afin d’éviter toute contraction au droit
national applicable.
Donc, il est proposé aux pays non-européens, dotés de
législation en matière de protection de données
personnelles de se pourvoir de ce mécanisme juridique
où la législation locale prévoit la validation des
BCRs au niveau local par les autorités de protection
de données personnelles.
11/04/23 29
Bureau de la protection des données personnelles (Maurice)
Quels sont les avantages des BCR ?
Les BCR assurent la conformité avec les
principes énoncés par les articles 25 et 26 de
la Directive 95/46 européen pour tous les flux
de données, et servent à:-
harmoniser les pratiques relatives à la
protection des données personnelles au sein
d'un groupe,
prévenir les risques résultant de transferts de
données vers d’autres pays,
éviter la nécessité d'un contrat pour chaque
transfert unique au sein du même groupe,
11/04/23 30
Bureau de la protection des données personnelles (Maurice)
Communiquer sur la politique de protection des
données de l'entreprise,
être un guide interne pour les employés pour
l’application des principes de protection de
données personnelles.
Mais dans le cas oū les BCRs ne sont pas
applicables, pour des compagnies qui ne sont
pas multi-nationales, il faudra toujours avoir
recours aux principes juridictionnels nationaux
ou contractuels.
11/04/23 31
Bureau de la protection des données personnelles (maurice)
La motivation primaire d’externaliser
est la réduction des coûts financiers,
fiscaux ou salariaux.
Cette présentation vise aussi à
démontrer qu’au-delà de l’intérêt
particulier de chaque partie prenante
dans ce processus, il faut aussi
s’assurer qu’une opération
d’externalisation offshore soit bien
montée et sa sécurité juridique
assurée pour que justement cela soit
plus profitable et non le contraire.
11/04/23 32
Bureau de la protection des données personnelles (Maurice)
Article 17 Sécurité des traitements 1. Les États membres prévoient que le responsable du traitement doit mettre
en oeuvre les mesures techniques et d'organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite.
Ces mesures doivent assurer, compte tenu de l'état de l'art et des coûts liés à leur mise en oeuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.
2. Les États membres prévoient que le responsable du traitement, lorsque le traitement est effectué pour son compte, doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives aux traitements à effectuer et qu'il doit veiller au respect de ces mesures.
3. La réalisation de traitements en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que:
- le sous-traitant n'agit que sur la seule instruction du responsable du traitement,
- les obligations visées au paragraphe 1, telles que définies par la législation de l'État membre dans lequel le sous-traitant est établi, incombent également à celui-ci.
4. Aux fins de la conservation des preuves, les éléments du contrat ou de l'acte juridique relatifs à la protection des données et les exigences portant sur les mesures visées au paragraphe 1 sont consignés par écrit ou sous une autre forme équivalente.11/04/23 33
Bureau de la protection des données personnelles (Maurice)
Article 25 Principes 1. Les États membres prévoient que le transfert vers un pays tiers de données à
caractère personnel faisant l'objet d'un traitement, ou destinées à faire l'objet d'un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat.
2. Le caractère adéquat du niveau de protection offert par un pays tiers s'apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d'origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées.
3. Les États membres et la Commission s'informent mutuellement des cas dans lesquels ils estiment qu'un pays tiers n'assure pas un niveau de protection adéquat au sens du paragraphe 2.
4. Lorsque la Commission constate, conformément à la procédure prévue à l'article 31 paragraphe 2, qu'un pays tiers n'assure pas un niveau de protection adéquat au sens du paragraphe 2 du présent article, les États membres prennent les mesures nécessaires en vue d'empêcher tout transfert de même nature vers le pays tiers en cause.
5. La Commission engage, au moment opportun, des négociations en vue de remédier à la situation résultant de la constatation faite en application du paragraphe 4.
6. La Commission peut constater, conformément à la procédure prévue à l'article 31 paragraphe 2, qu'un pays tiers assure un niveau de protection adéquat au sens du paragraphe 2 du présent article, en raison de sa législation interne ou de ses engagements internationaux, souscrits notamment à l'issue des négociations visées au paragraphe 5, en vue de la protection de la vie privée et des libertés et droits fondamentaux des personnes.
Les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.
11/04/23 34
Bureau de la protection des données personnelles (maurice)
L’anonymisation des données:-
Les données anonymisées peuvent
être librement transférées. Encore
faut-il que l’anonymisation soit
effective et irréversible, ce qui
écarte les solutions techniques non
fiables, et les cas où
l’anonymisation n’a pas de sens
parce que le traitement suppose,
par essence, de manipuler des
données non-anonymisées.11/04/23 35
Bureau de la protection des données personnelles (maurice)
Il s’agit là d’une solution
essentiellement technique, dont le
coût de mise en oeuvre et les
contraintes opérationnelles doivent
être évaluées et validées avec soins.
Dans certains cas en effet ces coûts
sont susceptibles de gommer tout
avantage financier recherché avec
l’externalisation. Dans d’autres cas,
les contraintes opérationnelles sont
telles qu’elles disqualifient,
pratiquement, le recours à ce procédé.11/04/23 36
Bureau de la protection des données personnelles (maurice)
Quelles sont les obligations du
responsable et sous-traitant?
Les personnes concernées dont les données
personnelles sont traitées par
l’entreprise (qu’ils soient salariés,
clients, fournisseurs, partenaires, etc.)
doivent avoir été clairement informées de
la finalité des traitements les
concernant, des destinataires des données
collectées sur elles, des conséquences à
l’égard de tout refus de fournir leurs
données et de leurs droits d’accès et
rectification aux données les concernant
et détenues par l’entreprise.11/04/23 37
Bureau de la protection des données personnelles (maurice)
Les données collectées doivent être adéquates,
pertinentes et non excessives eu égard à la finalité
du traitement.
Les données doivent être traitées avec des mesures de
sécurité et de confidentialité adéquates.
Les données traitées doivent être conservées pour une
durée limitée, conformément à la règlementation
applicable dans le pays en question.
le traitement doit avoir fait l’objet d’une
déclaration à l’autorité du pays concerné par
l’entreprise responsable du traitement, selon les
exigences de la loi sur la protection des données
personnelles du pays.
11/04/23 38
Bureau de la protection des données personnelles (maurice)
Le sous-traitant doit pouvoir démontrer des
politiques, procédures et mesures de protection
techniques égales ou supérieures à celles du
responsable de traitement.
Le responsable peut procéder à une analyse des
vulnérabilités à distance pour déterminer
quelle information interne de l'entreprise
peuvent être accéder de l'extérieur.
Le responsable peut exiger du fournisseur de
sous-traitance de crypter toutes les données,
et des contrôles de sécurités physique et
technique peuvent être effectués.
11/04/23 39
Bureau de la protection des données personnelles (maurice)
Le responsable peut fournir des informations
partielles sur un client - et non le profil
complet, quand cela n’est pas nécessaire.
Lors de l'exécution d'un contrat écrit, les
dispositions suivantes devraient être inclus:
Une interdiction pour le prestataire de
services de divulguer ou d'utiliser les données
ou informations à d'autres fins que de mener à
bien les services contractés.
Le prestataire doit pouvoir fournir une copie
de toutes les données des clients en sa
possession ou de contrôle sur demande.
11/04/23 40
Bureau de la protection des données personnelles (maurice)
Le prestataire ne doit jamais autoriser
aucun accès extérieur aux données, sauf si
le responsable de traitement en a été
informé.
Enfin, une entreprise doit élaborer un
plan formel pour répondre au «pire
scénario» tels que le détournement de
données personnelles y compris les recours
juridiques qui seraient requis dans le cas
d'un incident de sécurité ou de rupture de
contrat.
Les clauses types de L’UE sont des modēles
qui couvrent aussi ces aspects.
11/04/23 41
Bureau de la protection des données personnelles (maurice)
11/04/23 42