L'organisme agréé prend les mesures nécessaires pour préserver la sécurité des conventions secrètes qu'il gère au profit de ses clients, afin d'empêcher qu'elles ne puissent être altérées, endommagées, détruites ou communiquées à des tiers non autorisés.

Il prend toutes dispositions, notamment contractuelles, vis-à-vis de son personnel, de ses partenaires, clients et fournisseurs, afin que soit respectée en permanence la confidentialité des informations de toute nature dont il a connaissance relativement à l'utilisation de ces conventions secrètes et à leur remise aux autorités mentionnées au quatrième alinéa du II de l'article 28 de la loi du 29 décembre 1990 susvisée ou à leur mise en oeuvre au profit de ces autorités.

Il notifie ces mesures et dispositions à la direction centrale de la sécurité des systèmes d'information.