Obligation de confidentialité
Le traitement des données à caractère personnel est strictement confidentiel. Il est effectué exclusivement par des personnes qui agissent sous l'autorité du responsable du traitement, et seulement sur ses instructions.
Pour la réalisation du traitement, le responsable doit choisir des personnes présentant, au regard de la préservation de la confidentialité des données, toutes les garanties tant au plan des connaissances techniques et juridiques qu'à celui de l'intégrité personnelle. Sans préjudice de l'application des dispositions de la loi 2017-020, un engagement écrit est signé des personnes amenées à traiter de telles données, à respecter la confidentialité et la sécurité des données.
Le contrat liant le sous-traitant au responsable du traitement comporte l'indication des obligations en matière de protection de la sécurité et de la confidentialité des données, incombant au sous-traitant ainsi qu'à ses agents intervenant au traitement des données à caractère personnel. Il prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.
Obligation de sécurité
Le responsable du traitement est tenu de prendre toute précaution utile au regard de la nature des données et, notamment, pour empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Il prend, en particulier, toute mesure visant à :
- garantir que les personnes autorisées ne puissent accéder qu'aux données à caractère personnel relevant de leur compétence;
- garantir que puisse être vérifiée et constatée, à posteriori, l'identité des personnes ayant eu accès au système d'information et quelles données ont été lues ou introduites dans le système, à quel moment et par quelle personne ;
- garantir que puisse être vérifiée et constatée l'identité des tiers auxquels des données à caractère personnel peuvent être transmises ;
- empêcher toute personne non autorisée d'accéder aux locaux et aux équipements utilisés pour le traitement des données ;
- empêcher que des supports de données puissent, en toute circonstance, être lus, copiés, modifiés, effacés, détruits ou déplacés par une personne non autorisée ;
- empêcher l'introduction non autorisée de toute donnée dans le système d'information, ainsi que toute prise de connaissance, toute modification ou tout effacement non autorisés de données
enregistrées ; - empêcher que des systèmes de traitement de données puissent être utilisés par des personnes non autorisées à l'aide d'installations de transmission de données ;
- sauvegarder les données par la constitution de copies de sécurité ;
- rafraîchir, et si nécessaire, convertir les données pour un stockage pérenne.
Obligation de la conservation
Les données à caractère personnel ne peuvent être conservées au-delà de la durée nécessaire qu'en vue d 'être traitées à des fins historiques, statistiques ou scientifiques.
Obligation de pérennité
Le res ponsable du traitement est tenu de prendre toute mesure utile pour assurer que les données à caractère personnel traitées pourront être exploitées, ultérieurement, quelque soit le support technique utilisé.
Le responsable du traiternent est tenu de sauvegarder les données par la constitution de copies de sécurité, et si nécessaire, de convertir les données pour un stockage pérenne.