226 – Achats de bases de prospects externes

Sous peine de sanction pénale et de nullité de la relation commerciale, un accord écrit est nécessaire avec les sous-traitants et les coresponsables du traitement. Le contrat doit comprendre de nombreuses clauses et surtout une garantie concernant l’opt-in( a fait l’objet d’un consentement préalable). Si cette garantie n’est pas présente, c’est votre société qui sera coupable, alors que votre société n’aura fait qu’acheter la base. 

En cas de relation de sous-traitance, le contrat doit comprendre les éléments suivants : objet du traitement, durée, nature, finalité du traitement, type de données, catégories de personnes concernées, obligations et droits du responsable du traitement. Il est recommandé de prévoir que le sous-traitant ne pourra effectuer un traitement que sur instruction documentée du responsable du traitement. Sur ce contrat seront recensées, les mesures prises pour assurer la confidentialité/sécurité, la possibilité d’audits/inspections sur place, l’autorisation écrite préalable pour le recours à un sous-traitant de second rang, les mesures permettant de pouvoir donner suite aux demandes d’exercice des droits, les modalités de suppression/destruction/réversibilité, le fait que le sous-traitant mette à disposition du responsable de traitement les informations permettant d’apporter la preuve du respect de ses obligations.  En cas de coresponsabilité, l’accord doit prévoir une répartition des rôles et responsabilités de chacun. Il doit prévoir : les obligations respectives, les finalités et moyens du traitement, quel est le responsable de traitement devant communiquer les informations obligatoires auprès des personnes concernées, la répartition des obligations concernant l’exercice des droits des personnes (désignation du point de contact).