ANNEXE 3
|
Clauses de sous-traitance au sens de l'article 28 du règlement général sur la protection des données |
|
I. - Objet |
Les présentes clauses ont pour objet de définir les conditions dans lesquelles le sous-traitant s'engage à effectuer pour le compte du responsable de traitement les opérations de traitement de données à caractère personnel définies ci-après.
Dans le cadre de leurs relations contractuelles, les parties s'engagent à respecter la règlementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement général sur la protection des données et la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée.
|
II. - Description du traitement faisant l'objet de la sous-traitance |
Le sous-traitant est autorisé à traiter pour le compte du responsable de traitement les données à caractère personnel nécessaires pour fournir les missions décrites dans la présente convention.
La nature des opérations réalisées sur les données est définie dans le protocole.
La finalité du traitement est la réalisation de la recherche. Les données à caractère personnel traitées sont celles définies dans le protocole et les cahiers d'observation papiers, électroniques ou collectées sur tout autre support utilisés dans le cadre de la recherche. Les catégories de personnes concernées sont les personnes se prêtant, ou souhaitant se prêter à la recherche.
La nature des opérations réalisées et en particulier les traitements de données personnelles mis en œuvre, le cas échéant, par la(les) structure(s) tierce(s), dans le cadre du protocole, sont précisés dans le tableau ci-dessous :
|
Désignation de la(des) Structure(s) Tierce(s) |
Natures des opérations réalisées / Traitements de données personnelles mis en œuvre |
|---|---|
Pour l'exécution de la mission objet de la présente convention, le responsable de traitement met à la disposition du sous-traitant, dans la mesure où elles sont disponibles, les informations suivantes :
- le protocole de la recherche ;
- les cahiers d'observation ;
- les notes d'information et/ou le formulaire de recueil du consentement ;
- les avis et autorisations des autorités compétentes et, le cas échéant, le récépissé de la déclaration de conformité de la recherche à la méthodologie de référence applicable.
Le responsable de traitement transmet au sous-traitant les dernières versions en vigueur des documents liés à la recherche.
|
III. - Durée |
La date d'effet et la durée des présentes clauses sont définies à l'article 10 de la présente convention.
|
IV. - Obligations du sous-traitant vis-à-vis du responsable de traitement |
Le sous-traitant s'engage à :
1. Traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l'objet de la sous-traitance ;
2. Traiter les données conformément aux instructions documentées du responsable de traitement figurant dans le protocole et les cahiers d'observation relatifs à la recherche. Si le sous-traitant considère qu'une instruction constitue une violation du règlement général sur la protection des données ou de toute autre disposition du droit de l'Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable de traitement. En outre, si le sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l'Union ou du droit de l'Etat membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public ;
3. Garantir la confidentialité des données à caractère personnel traitées dans le cadre de la présente convention ;
4. Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu de la présente convention :
- s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
- reçoivent la formation nécessaire en matière de protection des données à caractère personnel ;
5. veilLer à ce que les personnes responsables du contrôle et de l'assurance de qualité, mandatées et habilitées par le responsable de traitement, n'aient accès qu'aux données individuelles nécessaires à ce contrôle.
6. Sous-traitance
Le sous-traitant est autorisé à faire appel à l'entité (ci-après, le « sous-traitant ultérieur ») pour mener les activités de traitement suivantes :
En cas de recrutement d'autres sous-traitants ultérieurs, le sous-traitant doit recueillir l'autorisation écrite, préalable et spécifique du responsable de traitement.
Les obligations en matière de protection des données fixées dans la présente convention et la présente annexe sont imposées par le sous-traitant aux sous-traitants ultérieurs au moyen d'un accord écrit. Il appartient au sous-traitant initial de s'assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement général sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l'exécution par l'autre sous-traitant de ses obligations.
7. Droit d'information des personnes concernées
Le sous-traitant, au moment de la collecte des données, doit fournir aux personnes se prêtant à la recherche l'information relative aux traitements de données qu'il réalise. La formulation et le format de l'information sont élaborés par le responsable de traitement et approuvés par le Comité de protection des personnes avant la collecte de données.
8. Exercice des droits des personnes
Les personnes concernées exercent leurs droits auprès du sous-traitant.
Le sous-traitant informe le responsable de traitement, dans les meilleurs délais et dans un délai maximum de 72 heures, de toute demande d'exercice des droits qu'il reçoit. Lorsque le responsable de traitement a désigné un délégué à la protection des données (DPD), le sous-traitant informe de la demande d'exercice des droits le DPD du responsable de traitement. Le sous-traitant communique au responsable de traitement, ou le cas échéant au DPD du responsable de traitement, les seules données lui permettant de gérer la demande d'exercice des droits, y compris le numéro d'inclusion de la personne concernée, sans révéler l'identité complète et/ou les coordonnées de la personne concernée.
Le responsable de traitement fait connaître ses instructions au sous-traitant quant aux suites à donner à la demande et lui fournit le contenu de la réponse à apporter.
Le sous-traitant confirme au responsable de traitement le traitement de la demande conformément à ses instructions.
9. Notification des violations de données à caractère personnel
Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel telle que définie à l'article 4.12 du règlement général sur la protection des données dans un délai maximum de 48 heures après en avoir pris connaissance. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l'autorité de contrôle compétente.
La notification contient au moins :
- la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
- les éléments temporels (jour et heure) de survenue et de prise de connaissance de la violation de données à caractère personnel ;
- le nom et les coordonnées du délégué à la protection des données du sous-traitant ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
- la description des conséquences probables de la violation de données à caractère personnel ;
- la description des mesures envisagées/proposées par le sous-traitant pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Si, et dans la mesure où il n'est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.
Après accord du responsable de traitement, le sous-traitant communique, au nom et pour le compte du responsable de traitement, la violation de données à caractère personnel à la ou les personnes concernées dans les meilleurs délais, lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique.
La communication à la ou les personnes concernées décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins :
- la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
- le nom et les coordonnées du délégué à la protection des données du promoteur ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
- la description des conséquences probables de la violation de données à caractère personnel ;
- la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
10. Aide du sous-traitant dans le cadre du respect par le responsable de traitement de ses obligations
Le sous-traitant aide le responsable de traitement pour la réalisation d'analyses d'impact relatives à la protection des données (droits des personnes, sécurité du traitement, notification de violation, etc.), proportionnellement aux moyens dont il dispose.
Le sous-traitant aide le responsable de traitement pour la réalisation de la consultation préalable de l'autorité de contrôle, le cas échéant.
11. Mesures de sécurité
Le sous-traitant s'engage à mettre en œuvre les mesures techniques et organisationnelles garantissant un niveau de sécurité adapté au risque présenté par le traitement et à tenir à la disposition du responsable de traitement toute documentation permettant de l'en informer si nécessaire.
En particulier, dans le contexte spécifique de la présente convention, soit le sous-traitant adopte les mesures suivantes, soit il peut justifier de leur équivalence ou du fait de ne pas avoir besoin ou pouvoir y recourir :
|
Catégories |
Mesures |
|---|---|
|
Sensibiliser les utilisateurs |
Informer et sensibiliser les personnes manipulant les données |
|
Rédiger une charte informatique et lui donner une force contraignante |
|
|
Authentifier les utilisateurs |
Définir un identifiant (login) unique à chaque utilisateur |
|
Adopter une politique de mot de passe utilisateur conforme aux recommandations de la CNIL |
|
|
Obliger l'utilisateur à changer son mot de passe après réinitialisation |
|
|
Limiter le nombre de tentatives d'accès à un compte |
|
|
Gérer les habilitations |
Définir des profils d'habilitation |
|
Supprimer les permissions d'accès obsolètes |
|
|
Réaliser une revue annuelle des habilitations |
|
|
Tracer les accès et gérer les incidents |
Prévoir un système de journalisation |
|
Informer les utilisateurs de la mise en place du système de journalisation |
|
|
Protéger les équipements de journalisation et les informations journalisées |
|
|
Prévoir les procédures pour les notifications de violation de données à caractère personnel |
|
|
Sécuriser les postes de travail |
Prévoir une procédure de verrouillage automatique de session |
|
Utiliser des antivirus régulièrement mis à jour |
|
|
Installer un « pare-feu » (firewall) logiciel |
|
|
Recueillir l'accord de l'utilisateur avant toute intervention sur son poste |
|
|
Sécuriser l'informatique mobile |
Prévoir des moyens de chiffrement des équipements mobiles |
|
Faire des sauvegardes ou des synchronisations régulières des données |
|
|
Exiger un secret pour le déverrouillage des ordiphones |
|
|
Protéger le réseau informatique interne |
Limiter les flux réseau au strict nécessaire |
|
Sécuriser les accès distants des appareils informatiques nomades par VPN |
|
|
Mettre en œuvre le protocole WPA2 ou WPA2-PSK pour les réseaux Wi-Fi |
|
|
Sécuriser les serveurs |
Limiter l'accès aux outils et interfaces d'administration aux seules personnes habilitées |
|
Installer sans délai les mises à jour critiques |
|
|
Assurer une disponibilité des données |
|
|
Sécuriser les sites web |
Utiliser le protocole TLS et vérifier sa mise en œuvre |
|
Vérifier qu'aucun mot de passe ou identifiant ne passe dans les URL |
|
|
Contrôler que les entrées des utilisateurs correspondent à ce qui est attendu |
|
|
Mettre un bandeau de consentement pour les traceurs (cookies) non nécessaires au service |
|
|
Sauvegarder et prévoir la continuité d'activité |
Effectuer des sauvegardes régulières |
|
Stocker les supports de sauvegarde dans un endroit sûr |
|
|
Prévoir des moyens de sécurité pour le convoyage des sauvegardes |
|
|
Prévoir et tester régulièrement la continuité d'activité |
|
|
Archiver de manière sécurisée |
Mettre en œuvre des modalités d'accès spécifiques aux données archivées |
|
Détruire les archives obsolètes de manière sécurisée |
|
|
Encadrer la maintenance et la destruction des données |
Enregistrer les interventions de maintenance dans une main courante |
|
Encadrer par un responsable de l'organisme les interventions par des tiers |
|
|
Effacer les données de tout matériel avant sa mise au rebut |
|
|
Gérer la sous-traitance |
Prévoir une clause spécifique dans les contrats des sous-traitants |
|
Prévoir les conditions de restitution et de destruction des données |
|
|
S'assurer de l'effectivité des garanties prévues (audits de sécurité, visites, etc.) |
|
|
Sécuriser les échanges avec d'autres organismes |
Chiffrer les données avant leur envoi |
|
S'assurer qu'il s'agit du bon destinataire |
|
|
Transmettre le secret lors d'un envoi distinct et via un canal différent |
|
|
Protéger les locaux |
Restreindre les accès aux locaux au moyen de portes verrouillées |
|
Installer des alarmes anti-intrusion et les vérifier périodiquement |
|
|
Encadrer les développements informatiques |
Proposer des paramètres respectueux de la vie privée aux utilisateurs finaux |
|
Éviter les zones de commentaires ou les encadrer strictement |
|
|
Tester sur des données fictives ou anonymisées |
|
|
Utiliser des fonctions cryptographiques |
Utiliser des algorithmes, des logiciels et des bibliothèques reconnues |
|
Conserver les secrets et les clés cryptographiques de manière sécurisée |
Le sous-traitant s'engage également à mettre en œuvre les mesures de sécurité prévues par le protocole, les bonnes pratiques cliniques et, le cas échéant, la méthodologie de référence applicable.
12. Sort des données
Dans le cadre de la présente convention, le sous-traitant conserve les données en base active puis en archivage intermédiaire pendant les durées prévues dans le protocole.
Au terme de la prestation de services relatifs au traitement de ces données (y compris, le cas échéant, l'archivage intermédiaire des données), le sous-traitant s'engage à :
- option A : détruire toutes les données à caractère personnel ou ;
- option B : renvoyer toutes les données à caractère personnel au responsable de traitement ou ;
- option C : renvoyer les données à caractère personnel à la CRO ou au sous-traitant désigné par le responsable de traitement à cet effet.
Les parties conviennent de mettre en place l'option dans le cadre de la présente convention.
Le renvoi doit s'accompagner de la destruction de toutes les copies existantes dans les systèmes d'information du sous-traitant, sauf obligation légale d'archivage. Une fois détruites, le sous-traitant doit justifier par écrit de la destruction.
13. Délégué à la protection des données
Les coordonnées du DPD désigné, le cas échéant, par chacune des parties, conformément à l'article 37 du règlement général sur la protection des données, sont indiquées en annexe I.
Chacune des parties doit informer l'autre partie en cas de changement des coordonnées du délégué à la protection des données désigné.
14. Registre des catégories d'activités de traitement
Le sous-traitant déclare tenir par écrit un registre de toutes les catégories d'activités de traitement effectuées pour le compte du responsable de traitement comprenant :
- le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;
- les catégories de traitements effectués pour le compte du responsable du traitement ;
- le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, alinéa 2 du règlement général sur la protection des données, les documents attestant de l'existence de garanties appropriées ;
- dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :
- la pseudonymisation et le chiffrement des données à caractère personnel ;
- des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
- des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
- une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
15. Documentation
Le sous-traitant met à la disposition du responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits selon les modalités prévues à l'article 9.5 de la présente convention, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.
|
V. - Obligations du responsable de traitement vis-à-vis du sous-traitant |
Le responsable de traitement s'engage à :
1. Fournir au sous-traitant les informations visées au II des présentes clauses ;
2. Documenter par écrit toute instruction concernant le traitement des données par le sous-traitant ;
3. Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement général sur la protection des données de la part du sous-traitant ;
4. Superviser le traitement, y compris réaliser les audits et les inspections auprès du sous-traitant.