La Cnil a récemment publié un nouveau modèle de clause de ” sécurité et confidentialité “, à insérer dans les contrats conclus entre un responsable du traitement et un sous-traitant. A cet égard, il est rappelé que, conformément à l’article 34 de la loi Informatique et libertés, tout responsable d’un traitement de données à caractère personnel est tenu à une obligation de sécurité des données traitées. Cette obligation pèse sur le responsable du traitement y compris lorsqu’un sous-traitant intervient, le responsable du traitement devant s’assurer que le sous-traitant présente les garanties suffisantes de sécurité et de confidentialité. A cette fin, l’article 35 de la loi Informatique et libertés dispose que « le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement ».

C’est à cet effet que la Cnil propose des modèles de clauses ” sécurité et confidentialité “. Or, une clause de ce type a déjà été proposée par la Cnil dans son guide relatif à la sécurité des données publié en 2010. Toutefois, ce nouveau modèle prévoit une clause complémentaire, spécifique en cas d’opérations de maintenance ou de télémaintenance effectuées par le sous-traitant, cette nouvelle clause n’étant toutefois qu’un modèle générique, qui devra être adapté au regard des spécificités de chaque traitement.

Cnil, rubrique Fiche pratique, article du 2 mai 2011