Article 24 – Audit de sécurité
L’acheteur peut effectuer ou faire effectuer un audit de sécurité auprès du titulaire ou le cas échéant de ses sous-traitants afin de s’assurer de la prise en compte effective du niveau de sécurité requis par l’acheteur.
Le titulaire est informé quinze jours à l’avance (date de l’audit, modalités financières pour l’acheteur et le titulaire, etc.).
L’acheteur, ou l’organisme mandaté à cette fin, peut, pendant une période de six mois à compter du terme de l’exécution du marché ou de sa résiliation, exercer un contrôle dans les locaux du titulaire et, le cas échéant, dans ceux de ses sous-traitants afin de vérifier que les dispositions en matière de destruction des données ont été effectivement appliquées.
Voir : pénalités pour violation des obligations de sécurité