CLAUSES CONTRACTUELLES TYPES
SECTION I
Clause 1
Objectif et champ d’application
- Les présentes clauses contractuelles types ont pour objet d’assurer le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) (1) pour le transfert de données à caractère personnel vers un pays tiers.
- Les parties :
i) la/les personne(s) physique(s) ou morale(s), autorité(s) publique(s), agence(s) ou autre(s) organisme(s) (ci-après dénommé(s) « entité(s) ») qui transfère(nt) les données à caractère personnel, telles qu’elles sont énumérées à l’annexe I.A (ci-après dénommé(s) « exportateur(s) de données »), et
l’entité ou les entités d’un pays tiers recevant les données à caractère personnel de l’exportateur de données, directement ou indirectement par l’intermédiaire d’une autre entité également partie aux présentes clauses, dont la liste figure à l’annexe I.A (ci-après dénommée « l’importateur de données »)
ont accepté les présentes clauses contractuelles types (ci-après dénommées « clauses »).
Article 2
Effet et invariabilité des clauses
- Les présentes Clauses énoncent des garanties appropriées, y compris des droits opposables aux personnes concernées et des voies de recours effectives, conformément à l’article 46, paragraphe 1, et à l’article 46, paragraphe 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données des responsables du traitement vers les sous-traitants et/ou des sous-traitants vers les sous-traitants, des clauses contractuelles types conformément à l’article 28, paragraphe 7, du règlement (UE) 2016/679, à condition qu’elles ne soient pas modifiées, sauf pour sélectionner le(s) module(s) approprié(s) ou pour ajouter ou mettre à jour des informations dans l’appendice.
Cela n’empêche pas les parties d’inclure les clauses contractuelles types établies dans les présentes Clauses dans un contrat plus large et/ou d’ajouter d’autres clauses ou garanties supplémentaires, à condition qu’elles ne contredisent pas, directement ou indirectement, les présentes Clauses ou qu’elles ne portent pas atteinte aux libertés ou droits fondamentaux des personnes concernées. - Les présentes clauses sont sans préjudice des obligations auxquelles l’exportateur de données est soumis en vertu du règlement (UE) 2016/679.
Article 2
Effet et invariabilité des clauses
- Les présentes Clauses énoncent des garanties appropriées, y compris des droits opposables aux personnes concernées et des voies de recours effectives, conformément à l’article 46, paragraphe 1, et à l’article 46, paragraphe 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données des responsables du traitement vers les sous-traitants et/ou des sous-traitants vers les sous-traitants, des clauses contractuelles types conformément à l’article 28, paragraphe 7, du règlement (UE) 2016/679, à condition qu’elles ne soient pas modifiées, sauf pour sélectionner le(s) module(s) approprié(s) ou pour ajouter ou mettre à jour des informations dans l’appendice.
Cela n’empêche pas les parties d’inclure les clauses contractuelles types établies dans les présentes Clauses dans un contrat plus large et/ou d’ajouter d’autres clauses ou garanties supplémentaires, à condition qu’elles ne contredisent pas, directement ou indirectement, les présentes Clauses ou qu’elles ne portent pas atteinte aux libertés ou droits fondamentaux des personnes concernées. - Les présentes clauses sont sans préjudice des obligations auxquelles l’exportateur de données est soumis en vertu du règlement (UE) 2016/679.
Article 3
Bénéficiaires tiers
- Les personnes concernées peuvent invoquer et faire appliquer les présentes clauses, en tant que tiers bénéficiaires, à l’encontre de l’exportateur et/ou de l’importateur de données, sous réserve des exceptions suivantes :
(i) Clause 1, Clause 2, Clause 3, Clause 6, Clause 7 ;
(ii) Clause 8 – Module 1 : Clause 8.5 (e) et Clause 8.9 (b) ; Module 2 : Clause 8.1 (b), 8.9 (a), (c), (d) et (e) ; Module 3 : Clause 8.1 (a), (c) et (d) et Clause 8.9 (a), (c), (d), (e), (f) et (g) Clause 8.1(a), (c) et (d) et Clause 8.9(a), (c), (d), (e), (f) et (g) ; Module Quatre : Clause 8.1 (b) et Clause 8.3 (b) ;
(iii) Clause 9 – Module 2 : Clause 9(a),
(c),
(d) et
(e) ; module trois : Clause 9(a),
(c),
(d) et
(e) ;
(iv) Clause 12 – Module 1 : Clause 12(a) et (d) ; Modules 2 et 3 : Clause 12(a), (d) et (f) ;
(v) Article 13 ;
(vi) la clause 15.1 (c), (d) et (e) ;
(vii) Clause 16(e) ;
(viii) Clause 18 – Modules un, deux et trois : Clause 18(a) et (b) ; Module Quatre : Article 18.
Article 4
Interprétation
- Lorsque les présentes clauses utilisent des termes qui sont définis dans le règlement (UE) 2016/679, ces termes ont la même signification que dans ledit règlement.
- Les présentes clauses doivent être lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679.
- Les présentes clauses ne doivent pas être interprétées d’une manière qui entre en conflit avec les droits et obligations prévus par le règlement (UE) 2016/679.
Article 5
Hiérarchie
En cas de contradiction entre les présentes clauses et les dispositions des accords connexes entre les parties, existant au moment où les présentes clauses sont convenues ou conclues par la suite, les présentes clauses prévalent.
Article 6
Description du (des) transfert(s)
Les détails du ou des transferts, et en particulier les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles sont transférées, sont précisés à l’annexe I.B.
Clause 7 – Facultatif
Clause d’amarrage
- Une entité qui n’est pas partie à ces clauses peut, avec l’accord des parties, adhérer à ces clauses à tout moment, soit en tant qu’exportateur de données, soit en tant qu’importateur de données, en complétant l’appendice et en signant l’annexe I.A.
- Une fois qu’elle a complété l’appendice et signé l’annexe I.A, l’entité adhérente devient partie aux présentes clauses et a les droits et obligations d’un exportateur ou d’un importateur de données conformément à sa désignation à l’annexe I.A.
- L’entité adhérente n’a aucun droit ou obligation découlant des présentes clauses pour la période antérieure à son adhésion.
SECTION II – OBLIGATIONS DES PARTIES
Article 8
Garanties en matière de protection des données
L’exportateur de données garantit qu’il a déployé des efforts raisonnables pour déterminer que l’importateur de données est en mesure, grâce à la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire aux obligations qui lui incombent en vertu des présentes clauses.
8.1 Limitation de l’objet
L’importateur de données ne traite les données à caractère personnel que pour la ou les finalités spécifiques du transfert, telles que définies à l’annexe I.B. Il ne peut traiter les données à caractère personnel que pour une autre finalité :
(i) lorsqu’elle a obtenu le consentement préalable de la personne concernée ;
(ii) lorsque cela est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice dans le cadre de procédures administratives, réglementaires ou judiciaires spécifiques ; ou
(iii) lorsque cela est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.
8.2 Transparence
- Afin de permettre aux personnes concernées d’exercer effectivement leurs droits conformément à la clause 10, l’importateur de données les informe, soit directement, soit par l’intermédiaire de l’exportateur de données :
(i) de son identité et de ses coordonnées ;
(ii) des catégories de données à caractère personnel traitées ;
(iii) du droit d’obtenir une copie des présentes clauses ;
(iv) lorsqu’il a l’intention de transmettre les données à caractère personnel à un ou plusieurs tiers, le nom du ou des destinataires (le cas échéant, en vue de fournir des informations utiles), la finalité de cette transmission et le motif invoqué conformément à la clause 8.7.
Dans ce dernier cas, l’importateur de données met, dans la mesure du possible, les informations à la disposition du public.
Dans la mesure où cela est nécessaire pour protéger des secrets d’affaires ou d’autres informations confidentielles, y compris des données à caractère personnel, les parties peuvent expurger une partie du texte de l’appendice avant d’en partager une copie, mais elles fournissent un résumé significatif lorsque la personne concernée ne serait autrement pas en mesure de comprendre son contenu ou d’exercer ses droits.
Sur demande, les parties fournissent à la personne concernée les raisons des expurgations, dans la mesure du possible sans révéler les informations expurgées.
8.3 Précision et minimisation des données
- Chaque partie veille à ce que les données à caractère personnel soient exactes et, si nécessaire, mises à jour.
L’importateur de données prend toutes les mesures raisonnables pour que les données à caractère personnel qui sont inexactes, eu égard à la ou aux finalités du traitement, soient effacées ou rectifiées dans les meilleurs délais. - Si l’une des parties se rend compte que les données à caractère personnel qu’elle a transférées ou reçues sont inexactes ou périmées, elle en informe l’autre partie dans les meilleurs délais.
- L’importateur de données veille à ce que les données à caractère personnel soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la ou des finalités du traitement.
8.4 Limitation du stockage
L’importateur de données conserve les données à caractère personnel pendant une durée n’excédant pas celle nécessaire à la réalisation de la ou des finalités pour lesquelles elles sont traitées.
Il met en place les mesures techniques ou organisationnelles appropriées pour garantir le respect de cette obligation, y compris l’effacement ou l’anonymisation (2) des données et de toutes les copies de sauvegarde à la fin de la période de conservation.
8.5 Sécurité du traitement
- L’importateur de données et, lors de la transmission, également l’exportateur de données, mettent en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données à caractère personnel, y compris la protection contre les violations de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé (ci-après dénommées « violations de données à caractère personnel »).
Pour évaluer le niveau de sécurité approprié, elles tiennent dûment compte de l’état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la (des) finalité(s) du traitement, ainsi que des risques que le traitement comporte pour la personne concernée.
Les parties envisagent en particulier de recourir au cryptage ou à la pseudonymisation, y compris pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. - Les parties ont convenu des mesures techniques et organisationnelles énoncées à l’annexe II.
L’importateur de données effectue des contrôles réguliers pour s’assurer que ces mesures continuent à fournir un niveau de sécurité approprié. - L’importateur de données veille à ce que les personnes autorisées à traiter les données à caractère personnel se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
- En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l’importateur de données en vertu des présentes clauses, l’importateur de données prend les mesures appropriées pour remédier à la violation de données à caractère personnel, y compris des mesures visant à en atténuer les éventuels effets négatifs.
- En cas de violation de données à caractère personnel susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, l’importateur de données notifie dans les meilleurs délais à l’exportateur de données et à l’autorité de contrôle compétente conformément à la clause 13.
Cette notification contient
i) une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données à caractère personnel concernés),
ii) ses conséquences probables
iii) les mesures prises ou proposées pour remédier à la violation, et
iv) les coordonnées d’un point de contact auprès duquel de plus amples informations peuvent être obtenues.
Dans la mesure où il n’est pas possible pour l’importateur de données de fournir toutes les informations en même temps, il peut le faire par étapes sans retard excessif. - En cas de violation de données à caractère personnel susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, l’importateur de données notifie également sans retard injustifié aux personnes concernées la violation de données à caractère personnel et sa nature, si nécessaire en coopération avec l’exportateur de données, ainsi que les informations visées au paragraphe e), points ii) à iv), sauf si l’importateur de données a mis en œuvre des mesures visant à réduire sensiblement le risque pour les droits ou libertés des personnes physiques, ou si la notification implique des efforts disproportionnés.
Dans ce dernier cas, l’importateur de données émet une communication publique ou prend une mesure similaire pour informer le public de la violation de données à caractère personnel. - L’importateur de données documente tous les faits pertinents relatifs à la violation de données à caractère personnel, y compris ses effets et toute mesure corrective prise, et en tient un registre.
8.6 Données sensibles
Lorsque le transfert porte sur des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l’appartenance syndicale, des données génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou la vie sexuelle ou l’orientation sexuelle d’une personne, ou des données relatives à des condamnations pénales ou à des infractions (ci-après dénommées « données sensibles »), l’importateur de données applique des restrictions spécifiques et/ou des garanties supplémentaires adaptées à la nature particulière des données et aux risques qu’elles comportent.
Il peut s’agir de restreindre le personnel autorisé à accéder aux données à caractère personnel, de prendre des mesures de sécurité supplémentaires (telles que la pseudonymisation) et/ou d’imposer des restrictions supplémentaires en ce qui concerne la divulgation ultérieure.
8.7 Transferts ultérieurs
L’importateur de données ne divulgue pas les données à caractère personnel à un tiers situé en dehors de l’Union européenne (3) (dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après dénommé « transfert ultérieur »), à moins que le tiers ne soit ou n’accepte d’être lié par les présentes clauses, en vertu du module approprié.
Dans le cas contraire, un transfert ultérieur par l’importateur de données ne peut avoir lieu que si :
(i) il est à destination d’un pays bénéficiant d’une décision d’adéquation en vertu de l’article 45 du règlement (UE) 2016/679 qui couvre le transfert ultérieur ;
(ii) le tiers assure par ailleurs des garanties appropriées conformément aux articles 46 ou 47 du règlement (UE) 2016/679 en ce qui concerne le traitement en question ;
(iii) le tiers conclut avec l’importateur de données un instrument contraignant garantissant le même niveau de protection des données qu’en vertu des présentes clauses, et l’importateur de données fournit une copie de ces garanties à l’exportateur de données ;
(iv) elles sont nécessaires à la constatation, à l’exercice ou à la défense de droits en justice dans le cadre de procédures administratives, réglementaires ou judiciaires spécifiques ;
(v) elle est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ; ou
(vi) lorsqu’aucune des autres conditions ne s’applique, l’importateur de données a obtenu le consentement explicite de la personne concernée pour un transfert ultérieur dans une situation spécifique, après l’avoir informée de sa ou ses finalités, de l’identité du destinataire et des risques éventuels d’un tel transfert pour elle en raison de l’absence de garanties appropriées en matière de protection des données.
Dans ce cas, l’importateur de données informe l’exportateur de données et, à la demande de ce dernier, lui transmet une copie des informations fournies à la personne concernée.
Tout transfert ultérieur est subordonné au respect par l’importateur de données de toutes les autres garanties prévues par les présentes clauses, en particulier la limitation de la finalité.
8.8 Traitement sous l’autorité de l’importateur de données
L’importateur de données veille à ce que toute personne agissant sous son autorité, y compris un sous-traitant, ne traite les données que sur ses instructions.
8.9 Documentation et conformité
- Chaque partie doit être en mesure de démontrer qu’elle respecte les obligations qui lui incombent en vertu des présentes clauses.
En particulier, l’importateur de données conserve une documentation appropriée sur les activités de traitement effectuées sous sa responsabilité. - L’importateur de données met cette documentation à la disposition de l’autorité de contrôle compétente sur demande.
Article 9 [not applicable]
Article 10
Droits des personnes concernées
- L’importateur de données, le cas échéant avec l’aide de l’exportateur de données, traite toutes les demandes et requêtes qu’il reçoit d’une personne concernée concernant le traitement de ses données à caractère personnel et l’exercice de ses droits en vertu des présentes clauses, sans retard injustifié et au plus tard dans un délai d’un mois à compter de la réception de la demande ou de la requête.
(10)
L’importateur de données prend les mesures appropriées pour faciliter ces demandes et l’exercice des droits de la personne concernée.
Toute information fournie à la personne concernée se présente sous une forme intelligible et aisément accessible, dans un langage clair et simple. - En particulier, à la demande de la personne concernée, l’importateur de données doit, sans frais :
(i) fournir à la personne concernée la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, le cas échéant, une copie des données la concernant et les informations figurant à l’annexe I ; si des données à caractère personnel ont été ou seront transférées ultérieurement, fournir des informations sur les destinataires ou les catégories de destinataires (le cas échéant en vue de fournir des informations utiles) auxquels les données à caractère personnel ont été ou seront transférées ultérieurement, la finalité de ces transferts ultérieurs et les motifs invoqués conformément à la clause 8.7 ; et fournir des informations sur le droit d’introduire une réclamation auprès d’une autorité de contrôle conformément à la clause 12, point c) i) ;
(ii) rectifier les données inexactes ou incomplètes concernant la personne concernée ;
(iii) effacer les données à caractère personnel concernant la personne concernée si ces données sont ou ont été traitées en violation de l’une des présentes clauses garantissant les droits des tiers bénéficiaires, ou si la personne concernée retire le consentement sur lequel le traitement est fondé.
Dans ce cas, l’importateur de données doit, si nécessaire en coopération avec l’exportateur de données :
(i) informer la personne concernée de la décision automatisée envisagée, des conséquences prévues et de la logique utilisée ; et
(ii) mettre en œuvre des garanties appropriées, au moins en permettant à la personne concernée de contester la décision, d’exprimer son point de vue et d’obtenir un réexamen par un être humain.
Article 11
Recours
- L’importateur de données informe les personnes concernées, dans un format transparent et aisément accessible, par le biais d’une notification individuelle ou sur son site web, de l’existence d’un point de contact habilité à traiter les réclamations.
Il traite rapidement toute réclamation qu’il reçoit d’une personne concernée.
[OPTION : L’importateur de données accepte que les personnes concernées puissent également introduire une réclamation auprès d’un organe indépendant de règlement des litiges (11), sans frais pour la personne concernée. Il informe les personnes concernées, selon les modalités prévues au paragraphe a), de l’existence d’un tel mécanisme de recours et du fait qu’elles ne sont pas tenues de l’utiliser ou de suivre une procédure particulière pour obtenir réparation]. - En cas de litige entre une personne concernée et l’une des parties en ce qui concerne le respect des présentes clauses, cette partie met tout en œuvre pour résoudre le problème à l’amiable en temps utile.
Les parties se tiennent mutuellement informées de ces litiges et, le cas échéant, coopèrent pour les résoudre. - Lorsque la personne concernée invoque un droit de tiers bénéficiaire en vertu de la clause 3, l’importateur de données accepte la décision de la personne concernée :
(i) déposer une plainte auprès de l’autorité de contrôle de l’État membre de sa résidence habituelle ou de son lieu de travail, ou auprès de l’autorité de contrôle compétente en vertu de la clause 13 ;
(ii) porter le litige devant les tribunaux compétents au sens de la clause 18.
- Les parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions prévues à l’article 80, paragraphe 1, du règlement (UE) 2016/679.
- L’importateur de données doit se conformer à une décision contraignante en vertu du droit de l’UE ou de l’État membre applicable.
- L’importateur de données convient que le choix effectué par la personne concernée ne portera pas atteinte à ses droits substantiels et procéduraux de demander réparation conformément aux lois applicables.
Article 12
Responsabilité
- Chaque partie est responsable à l’égard de l’autre ou des autres parties de tout dommage causé à l’autre ou aux autres parties en raison d’une violation des présentes clauses.
- Chaque partie est responsable envers la personne concernée, et la personne concernée est en droit de recevoir une indemnisation, pour tout dommage matériel ou moral que la partie cause à la personne concernée en violant les droits de tiers bénéficiaires en vertu des présentes clauses.
Ceci est sans préjudice de la responsabilité de l’exportateur de données en vertu du règlement (UE) 2016/679. - Lorsque plusieurs parties sont responsables de tout dommage causé à la personne concernée du fait d’une violation des présentes clauses, toutes les parties responsables sont conjointement et solidairement responsables et la personne concernée a le droit d’intenter une action en justice contre l’une quelconque de ces parties.
- Les parties conviennent que si l’une d’entre elles est tenue pour responsable en vertu du paragraphe (c), elle est en droit de réclamer à l’autre (aux autres) partie(s) la part de l’indemnisation correspondant à sa (leur) responsabilité dans le dommage.
- L’importateur de données ne peut pas invoquer le comportement d’un sous-traitant ou d’un sous-traitant ultérieur pour se soustraire à sa propre responsabilité.
Article 13
Supervision
- [Where the data exporter is established in an EU Member State:] L’autorité de contrôle chargée de veiller au respect par l’exportateur de données du règlement (UE) 2016/679 en ce qui concerne le transfert de données, comme indiqué à l’annexe I.C, agit en tant qu’autorité de contrôle compétente.
[Lorsque l’exportateur de données n’est pas établi dans un État membre de l’UE, mais relève du champ d’application territorial du règlement (UE) 2016/679 conformément à son article 3, paragraphe 2, et a désigné un représentant conformément à l’article 27, paragraphe 1, du règlement (UE) 2016/679 :] L’autorité de contrôle de l’État membre dans lequel le représentant au sens de l’article 27, paragraphe 1, du règlement (UE) 2016/679 est établi, comme indiqué à l’annexe I.C, agit en tant qu’autorité de contrôle compétente.
[Lorsque l’exportateur de données n’est pas établi dans un État membre de l’UE, mais relève du champ d’application territorial du règlement (UE) 2016/679 conformément à son article 3, paragraphe 2, sans toutefois devoir désigner un représentant conformément à l’article 27, paragraphe 2, du règlement (UE) 2016/679 :] L’autorité de contrôle de l’un des États membres dans lequel se trouvent les personnes concernées dont les données à caractère personnel sont transférées en vertu des présentes clauses en relation avec l’offre de biens ou de services qui leur est faite, ou dont le comportement est suivi, comme indiqué à l’annexe I.C, agit en tant qu’autorité de contrôle compétente. - L’importateur de données accepte de se soumettre à la juridiction de l’autorité de contrôle compétente et de coopérer avec elle dans le cadre de toute procédure visant à assurer le respect des présentes clauses.
En particulier, l’importateur de données accepte de répondre aux demandes de renseignements, de se soumettre à des audits et de se conformer aux mesures adoptées par l’autorité de contrôle, y compris les mesures correctives et compensatoires.
Il fournit à l’autorité de contrôle la confirmation écrite que les mesures nécessaires ont été prises.
SECTION III – LOIS ET OBLIGATIONS LOCALES EN CAS D’ACCÈS PAR LES AUTORITÉS PUBLIQUES
Article 14
Lois et pratiques locales affectant le respect des clauses
- Les parties garantissent qu’elles n’ont aucune raison de croire que les lois et pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l’importateur de données, y compris toute obligation de divulguer des données à caractère personnel ou toute mesure autorisant l’accès des autorités publiques, empêchent l’importateur de données de remplir les obligations qui lui incombent en vertu des présentes clauses.
Il est entendu que les lois et pratiques qui respectent l’essence des droits et libertés fondamentaux et n’excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour sauvegarder l’un des objectifs énumérés à l’article 23, paragraphe 1, du règlement (UE) 2016/679, ne sont pas en contradiction avec les présentes clauses. - Les parties déclarent qu’en fournissant la garantie visée au paragraphe (a), elles ont tenu dûment compte, en particulier, des éléments suivants :
(i) les circonstances particulières du transfert, notamment la longueur de la chaîne de traitement, le nombre d’acteurs impliqués et les canaux de transmission utilisés ; les transferts ultérieurs prévus ; le type de destinataire ; la finalité du traitement ; les catégories et le format des données à caractère personnel transférées ; le secteur économique dans lequel le transfert a lieu ; le lieu de stockage des données transférées ;
(ii) les lois et pratiques du pays tiers de destination – y compris celles exigeant la divulgation de données aux autorités publiques ou autorisant l’accès de ces autorités – pertinentes à la lumière des circonstances particulières du transfert, ainsi que les limitations et garanties applicables (12) ;
(iii) toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les garanties prévues par les présentes clauses, y compris les mesures appliquées lors de la transmission et du traitement des données à caractère personnel dans le pays de destination.
[Pour le module trois : L’exportateur de données transmet la notification au responsable du traitement].
Article 15
Obligations de l’importateur de données en cas d’accès par les autorités publiques
15.1 Notification
- L’importateur de données s’engage à notifier rapidement (si nécessaire avec l’aide de l’exportateur de données) à l’exportateur de données et, dans la mesure du possible, à la personne concernée, les cas suivants
reçoit une demande juridiquement contraignante d’une autorité publique, y compris des autorités judiciaires, en vertu des lois du pays de destination, pour la divulgation de données à caractère personnel transférées conformément aux présentes clauses ; cette notification comprendra des informations sur les données à caractère personnel demandées, l’autorité requérante, la base juridique de la demande et la réponse apportée ; ou
a connaissance de tout accès direct des autorités publiques aux données à caractère personnel transférées en vertu des présentes clauses, conformément aux lois du pays de destination ; cette notification comprendra toutes les informations dont dispose l’importateur.
[Pour le module trois, l’exportateur de données transmet la notification au responsable du traitement] : L’exportateur de données transmet la notification au responsable du traitement].
L’importateur de données accepte de documenter ses meilleurs efforts afin de pouvoir les démontrer à la demande de l’exportateur de données.
15.2 Examen de la légalité et de la minimisation des données
- L’importateur de données accepte d’examiner la légalité de la demande de divulgation, en particulier si elle reste dans les limites des pouvoirs accordés à l’autorité publique requérante, et de contester la demande si, après une évaluation minutieuse, il conclut qu’il y a des motifs raisonnables de considérer que la demande est illégale en vertu des lois du pays de destination, des obligations applicables en vertu du droit international et des principes de la courtoisie internationale.
L’importateur de données exerce, dans les mêmes conditions, les voies de recours.
Lorsqu’il conteste une demande, l’importateur de données demande des mesures provisoires en vue de suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente ait statué sur son bien-fondé.
Il ne divulgue pas les données à caractère personnel demandées tant qu’il n’est pas tenu de le faire en vertu des règles de procédure applicables.
Ces exigences sont sans préjudice des obligations de l’importateur de données au titre de la clause 14, point e). - L’importateur de données accepte de documenter son évaluation juridique et toute contestation de la demande de divulgation et, dans la mesure où les lois du pays de destination le permettent, de mettre la documentation à la disposition de l’exportateur de données.
Il la met également à la disposition de l’autorité de contrôle compétente sur demande. - L’importateur de données s’engage à fournir la quantité minimale d’informations autorisée lorsqu’il répond à une demande de divulgation, sur la base d’une interprétation raisonnable de la demande.
SECTION IV – DISPOSITIONS FINALES
Article 16
Non-respect des clauses et résiliation
- L’importateur de données informe rapidement l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses, quelle qu’en soit la raison.
- Si l’importateur de données ne respecte pas les présentes clauses ou n’est pas en mesure de le faire, l’exportateur de données suspend le transfert de données à caractère personnel à l’importateur de données jusqu’à ce que la conformité soit à nouveau assurée ou que le contrat soit résilié.
Cette disposition est sans préjudice de la clause 14, point f). - L’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel en vertu des présentes clauses, si.. :
(i) l’exportateur de données a suspendu le transfert de données à caractère personnel à l’importateur de données conformément au paragraphe b) et le respect des présentes clauses n’est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d’un mois à compter de la suspension
l’importateur de données enfreint de manière substantielle ou persistante les présentes clauses ; ou
(iii) l’importateur de données ne se conforme pas à une décision contraignante d’un tribunal compétent ou d’une autorité de contrôle concernant les obligations qui lui incombent en vertu des présentes clauses.
Dans ce cas, il informe l’autorité de contrôle compétente de ce non-respect.
Lorsque le contrat implique plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en aient convenu autrement. - Les données à caractère personnel qui ont été transférées avant la résiliation du contrat conformément au paragraphe c) sont, au choix de l’exportateur de données, immédiatement renvoyées à l’exportateur de données ou effacées dans leur intégralité.
Il en va de même pour toute copie des données.
L’importateur de données certifie l’effacement des données à l’exportateur de données.
Jusqu’à ce que les données soient effacées ou renvoyées, l’importateur de données continue de veiller au respect des présentes clauses.
Si la législation locale applicable à l’importateur de données interdit la restitution ou la suppression des données à caractère personnel transférées, l’importateur de données garantit qu’il continuera à assurer le respect des présentes clauses et qu’il ne traitera les données que dans la mesure et pour la durée requises par cette législation locale. - L’une ou l’autre des parties peut révoquer son accord d’être liée par les présentes clauses lorsque
(i) la Commission européenne adopte une décision en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auquel les présentes clauses s’appliquent ; ou
(ii) le règlement (UE) 2016/679 fait partie du cadre juridique du pays vers lequel les données à caractère personnel sont transférées.
Ceci est sans préjudice d’autres obligations s’appliquant au traitement en question en vertu du Règlement (UE) 2016/679.
Article 17
Droit applicable
OPTION 1 : Les présentes clauses sont régies par le droit de l’un des États membres de l’Union européenne, à condition que ce droit autorise les droits des tiers bénéficiaires.
Les parties conviennent qu’il s’agit du droit allemand.
Article 18
Choix du for et de la juridiction
- Tout litige découlant des présentes clauses sera réglé par les tribunaux d’un État membre de l’UE.
- Les parties conviennent que ces tribunaux seront ceux de l’Allemagne.
- Une personne concernée peut également intenter une action en justice contre l’exportateur et/ou l’importateur de données devant les tribunaux de l’État membre dans lequel elle a sa résidence habituelle.
- Les parties acceptent de se soumettre à la juridiction de ces tribunaux.
(1) Lorsque l’exportateur de données est un sous-traitant soumis au règlement (UE) 2016/679 agissant pour le compte d’une institution ou d’un organe de l’Union en tant que responsable du traitement, le fait de s’appuyer sur les présentes clauses lorsqu’il fait appel à un autre sous-traitant (sous-traitance secondaire) non soumis au règlement (UE) 2016/679 garantit également le respect de l’article 29, paragraphe 4, du règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions de l’Union, organes et agences de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE (JO L 295 du 21.11.2018, p. 39), dans la mesure où les présentes clauses et les obligations en matière de protection des données énoncées dans le contrat ou autre acte juridique entre le responsable du traitement et le sous-traitant conformément à l’article 29, paragraphe 3, du règlement (UE) 2018/1725 sont alignées.
Ce sera notamment le cas lorsque le responsable du traitement et le sous-traitant s’appuient sur les clauses contractuelles types incluses dans la décision 2021/915.
(2) Cela nécessite de rendre les données anonymes de manière à ce que la personne ne soit plus identifiable par quiconque, conformément au considérant 26 du règlement (UE) 2016/679, et que ce processus soit irréversible.
(3) L’accord sur l’Espace économique européen (accord EEE) prévoit l’extension du marché intérieur de l’Union européenne aux trois États de l’EEE que sont l’Islande, le Liechtenstein et la Norvège.
La législation de l’Union en matière de protection des données, y compris le règlement (UE) 2016/679, est couverte par l’accord EEE et a été incorporée à l’annexe XI de celui-ci.
Par conséquent, toute divulgation par l’importateur de données à un tiers situé dans l’EEE n’est pas considérée comme un transfert ultérieur aux fins des présentes clauses.
(4) L’accord sur l’Espace économique européen (accord EEE) prévoit l’extension du marché intérieur de l’Union européenne aux trois États de l’EEE que sont l’Islande, le Liechtenstein et la Norvège.
La législation de l’Union en matière de protection des données, y compris le règlement (UE) 2016/679, est couverte par l’accord EEE et a été incorporée à l’annexe XI de celui-ci.
Par conséquent, toute divulgation par l’importateur de données à un tiers situé dans l’EEE n’est pas considérée comme un transfert ultérieur aux fins des présentes clauses.
(5) Voir l’article 28, paragraphe 4, du règlement (UE) 2016/679 et, lorsque le responsable du traitement est une institution ou un organe de l’UE, l’article 29, paragraphe 4, du règlement (UE) 2018/1725.
(6) L’accord sur l’Espace économique européen (accord EEE) prévoit l’extension du marché intérieur de l’Union européenne aux trois États de l’EEE que sont l’Islande, le Liechtenstein et la Norvège.
La législation de l’Union en matière de protection des données, y compris le règlement (UE) 2016/679, est couverte par l’accord EEE et a été incorporée à l’annexe XI de celui-ci.
Par conséquent, toute divulgation par l’importateur de données à un tiers situé dans l’EEE n’est pas considérée comme un transfert ultérieur aux fins des présentes clauses.
(7) Il en va de même si le transfert et le traitement ultérieur portent sur des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l’appartenance syndicale, des données génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique, des données relatives à la santé ou à la vie sexuelle ou à l’orientation sexuelle d’une personne, ou des données relatives à des condamnations pénales ou à des infractions.
(8) Cette exigence peut être satisfaite par l’adhésion du sous-traitant ultérieur aux présentes clauses dans le cadre du module approprié, conformément à la clause 7. (9) Cette exigence peut être satisfaite par l’adhésion du sous-traitant ultérieur aux présentes clauses dans le cadre du module approprié, conformément à la clause 7.
(10)
Ce délai peut être prolongé de deux mois supplémentaires au maximum, dans la mesure où cela est nécessaire pour tenir compte de la complexité et du nombre de demandes.
L’importateur de données informe dûment et rapidement la personne concernée d’une telle prolongation.
(11)
L’importateur de données ne peut proposer un règlement indépendant des litiges par l’intermédiaire d’une instance d’arbitrage que si celle-ci est établie dans un pays qui a ratifié la Convention de New York sur l’exécution des sentences arbitrales.
(12)
En ce qui concerne l’impact de ces lois et pratiques sur le respect de ces clauses, différents éléments peuvent être pris en compte dans le cadre d’une évaluation globale.
Ces éléments peuvent inclure une expérience pratique pertinente et documentée concernant des cas antérieurs de demandes de divulgation émanant d’autorités publiques, ou l’absence de telles demandes, sur une période suffisamment représentative.
Il s’agit en particulier de registres internes ou d’autres documents, établis de manière continue conformément au principe de diligence raisonnable et certifiés au niveau de la direction générale, pour autant que ces informations puissent être légalement partagées avec des tiers.
Lorsque cette expérience pratique est invoquée pour conclure que l’importateur de données ne sera pas empêché de se conformer à ces clauses, elle doit être étayée par d’autres éléments pertinents et objectifs, et il appartient aux parties d’examiner attentivement si ces éléments ont, ensemble, un poids suffisant, en termes de fiabilité et de représentativité, pour étayer cette conclusion.
En particulier, les parties doivent déterminer si leur expérience pratique est corroborée et non contredite par des informations fiables, disponibles publiquement ou autrement accessibles, sur l’existence ou l’absence de demandes dans le même secteur et/ou sur l’application de la loi dans la pratique, telles que la jurisprudence et les rapports d’organismes de contrôle indépendants.
ANNEXE
NOTE EXPLICATIVE : Il doit être possible de distinguer clairement les informations applicables à chaque transfert ou catégorie de transferts et, à cet égard, de déterminer le(s) rôle(s) respectif(s) des parties en tant qu’exportateur(s) de données et/ou importateur(s) de données.
Cela ne nécessite pas nécessairement de remplir et de signer des annexes distinctes pour chaque transfert/catégorie de transferts et/ou relation contractuelle, lorsque cette transparence peut être assurée au moyen d’une seule annexe.
Toutefois, si cela s’avère nécessaire pour garantir une clarté suffisante, il convient d’utiliser des annexes distinctes.
ANNEXE I
A. LISTE DES PARTIES
Exportateur(s) de données : [Identité et coordonnées de l’exportateur ou des exportateurs de données et, le cas échéant, de son/ses délégué(s) à la protection des données et/ou de son/ses représentant(s) dans l’Union européenne].
- Nom : .. : … Adresse : … Nom, fonction et coordonnées de la personne de contact : … Activités pertinentes pour les données transférées en vertu des présentes clauses : … Signature et date : … Rôle (responsable du traitement/traitement) : …
- ……
Importateur(s) de données : [Identité et coordonnées de l’importateur ou des importateurs de données, y compris toute personne de contact responsable de la protection des données].
- Nom : .. : … Adresse : … Nom, fonction et coordonnées de la personne de contact : … Activités pertinentes pour les données transférées en vertu des présentes clauses : … Signature et date : … Rôle (responsable du traitement/traitement) : …
- …..
B. DESCRIPTION DU TRANSFERT
Catégories de personnes dont les données à caractère personnel sont transférées … Catégories de données à caractère personnel transférées … Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui prennent pleinement en considération la nature des données et les risques encourus, comme par exemple une limitation stricte de la finalité, des restrictions d’accès (y compris un accès réservé au personnel ayant suivi une formation spécialisée), la tenue d’un registre d’accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires.
… La fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue).
… Nature du traitement … Finalité(s) du transfert et du traitement ultérieur des données … Durée de conservation des données à caractère personnel ou, si cela n’est pas possible, critères utilisés pour déterminer cette durée … Pour les transferts à des sous-traitants (secondaires), précisez également l’objet, la nature et la durée du traitement …
C. AUTORITÉ DE SURVEILLANCE COMPÉTENTE
Identifiez l’autorité/les autorités de contrôle compétente(s) conformément à la clause 13 …
ANNEXE II
DES MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS DES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES
NOTE EXPLICATIVE : Les mesures techniques et organisationnelles doivent être décrites en termes spécifiques (et non génériques).
Voir également le commentaire général sur la première page de l’annexe, en particulier sur la nécessité d’indiquer clairement quelles mesures s’appliquent à chaque transfert/ensemble de transferts. Description des mesures techniques et organisationnelles mises en œuvre par le ou les importateurs de données (y compris toute certification pertinente) pour garantir un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.
[Exemples de mesures possibles : Mesures de pseudonymisation et de cryptage des données à caractère personnel Mesures visant à garantir en permanence la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement Mesures visant à garantir la capacité de rétablir la disponibilité et l’accès aux données à caractère personnel en temps utile en cas d’incident physique ou technique Procédures visant à tester régulièrement, d’évaluer l’efficacité des mesures techniques et organisationnelles afin de garantir la sécurité du traitement Mesures d’identification et d’autorisation des utilisateurs Mesures de protection des données lors de leur transmission Mesures de protection des données lors de leur stockage Mesures de sécurité physique des lieux où des données à caractère personnel sont traitées Mesures de journalisation des événements Mesures de configuration des systèmes, Mesures pour assurer la configuration du système, y compris la configuration par défaut Mesures pour la gouvernance et la gestion internes de l’informatique et de la sécurité informatique Mesures pour la certification/l’assurance des processus et des produits Mesures pour assurer la minimisation des données Mesures pour assurer la qualité des données Mesures pour assurer une conservation limitée des données Mesures pour assurer la responsabilité Mesures pour permettre la portabilité des données et assurer l’effacement] Pour les transferts aux (sous-)traitants, décrivez également les mesures techniques et organisationnelles spécifiques que le (sous-)traitant doit prendre pour être en mesure de fournir une assistance au responsable du traitement et, pour les transferts d’un sous-traitant à un sous-traitant secondaire, à l’exportateur de données.