Chapitre 26 - Négociation de contrats informatiques

26.3.3 Négociations sur le traitement des données

Les négociations concernant la protection et la confidentialité des données du Commonwealth devraient aboutir aux normes les plus élevées en matière de protection et de confidentialité, ainsi que de sécurité. Certains fournisseurs proposant des logiciels en tant que service ou des services d'hébergement d'applications peuvent ne pas assumer la responsabilité de la perte, de la compromission, de la corruption, de l'accès non autorisé ou d'autres vulnérabilités liées à l'introduction de données dans leur application. Les conditions des fournisseurs peuvent également stipuler qu'ils peuvent partager vos données avec leurs fournisseurs, partenaires ou sous-traitants tiers. Il est essentiel que vous négociiez des conditions qui correspondent au niveau de protection et de sécurité des données dont votre projet a besoin, en particulier lorsque vous traitez des informations confidentielles, des informations personnelles, des informations sur la santé ou des informations sur les citoyens. Vos négociations ne doivent pas entraîner le non-respect des politiques et des normes du Commonwealth en matière de sécurité, d'architecture d'entreprise et de données, qui ne peuvent faire l'objet d'une dérogation formelle, ou des exigences fédérales, telles que l'HIPAA ou d'autres lois sur la protection de la vie privée. Il est également essentiel que vos négociations vous permettent de récupérer vos métadonnées dans les deux à quatre heures suivant votre demande et que toutes vos métadonnées vous soient restituées à la fin ou à l'expiration du contrat dans un délai rapide, mais raisonnable. Il est tout aussi important de négocier que les installations du fournisseur et les installations de sauvegarde et de reprise après sinistre, ainsi que celles de tout fournisseur tiers, partenaire ou sous-traitant, soient situées sur le territoire continental des États-Unis ; que vos données soient sauvegardées quotidiennement ; et que le fournisseur vous informe immédiatement de toute atteinte à la sécurité ou à la confidentialité de vos données. Un autre facteur important est le résultat positif de la négociation des niveaux de service ou de performance pour le temps de disponibilité dont vous avez besoin pour assurer la continuité de vos activités.