Traitement de données à caractère personnel pour le compte du responsable du traitement

1. Lorsque le traitement est effectué pour son compte, le responsable du traitement choisit un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d'organisation prévues par l'article 22 et veille au respect de ces mesures.

2. La réalisation de traitements en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que:

a) le sous-traitant n'agit que sur instruction du responsable du traitement;

b) les obligations visées aux articles 21 et 22 incombent également au sous-traitant, à moins que, en vertu de l'article 16 ou de l'article 17, paragraphe 3, deuxième tiret, de la directive 95/46/CE, le sous-traitant soit déjà soumis à des obligations de confidentialité et de sécurité énoncées dans la législation nationale de l'un des États membres.

3. Aux fins de la conservation des preuves, les éléments du contrat ou de l'acte juridique relatifs à la protection des données et les exigences portant sur les mesures visées à l'article 22 sont consignés par écrit ou sous une autre forme équivalente.

SECTION 8

DÉLÉGUÉ À LA PROTECTION DES DONNÉES