SECTION I
1. Clause 1
Objectif et portée
a) L’objectif de ces clauses contractuelles types est d’assurer la conformité aux exigences du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 sur la protection des personnes physiques en ce qui concerne le traitement des données personnelles et la libre circulation de ces données (Règlement général sur la protection des données) ([1]) pour le transfert des données personnelles vers un pays tiers.
b) Les Parties :
(i) la ou les personne(s) physique ou morale, les autorités publiques, les organismes ou autres organismes (ci-après « entités ») qui transfèrent les données personnelles, comme indiqué à l’annexe I.A (ci-après chaque « exportateur de données »), et
(ii) l’entité ou les entités dans un pays tiers recevant les données personnelles de l’exportateur de données, directement ou indirectement par l’intermédiaire d’une autre entité également partie aux présentes clauses, comme indiqué à l’annexe I.A (ci-après chaque « importateur de données »)
ont accepté ces clauses contractuelles types (ci-après : « Réclamations »).
c) Ces Clauses s’appliquent au transfert de données personnelles tel que spécifié à l’Annexe I.B.
d) L’Annexe aux présentes Clauses contenant les Annexes auxquelles il est fait référence fait partie intégrante des présentes Clauses.
2. Clause 2
Effet et invariabilité des clauses
a) Les présentes Clauses énoncent les mesures de protection appropriées, y compris les droits exécutoires des personnes concernées et les recours judiciaires en vigueur, conformément à l’article 46(1) et à l’article 46(2)(c) du Règlement (UE) 2016/679 et, en ce qui concerne les transferts de données des contrôleurs aux processeurs et/ou des processeurs aux processeurs, clauses contractuelles types en vertu de l’article 28(7) du Règlement (UE) 2016/679, à condition qu’ils ne soient pas modifiés, sauf pour sélectionner le ou les module(s) appropriés ou pour ajouter ou mettre à jour des informations dans l’Annexe. Cela n’empêche pas les Parties d’inclure les clauses contractuelles standard énoncées dans les présentes Clauses dans un contrat plus large et/ou d’ajouter d’autres clauses ou garanties supplémentaires, à condition qu’elles ne contredisent pas, directement ou indirectement, ces Clauses ou ne portent pas préjudice aux droits ou libertés fondamentaux des personnes concernées.
b) Ces Clauses sont sans préjudice des obligations auxquelles l’exportateur de données est soumis en vertu du Règlement (UE) 2016/679.
3. Clause 3
Bénéficiaires tiers
a) Les personnes concernées peuvent invoquer et appliquer ces Clauses, en tant que bénéficiaires tiers, contre l’exportateur de données et/ou l’importateur de données, à l’exception des exceptions suivantes :
(i) Clause 1, Clause 2, Clause 3, Clause 6, Clause 7;
(ii) Clause 8 – Module deux : Clause 8.1(b), 8.9(a), (c), (d) et (e);
(iii) Clause 9 – Module deux : Clause 9(a), (c), (d) et (e);
(iv) Clause 12 – Module deux : Clause 12(a), (d) et (f);
(v) Clause 13;
(vi) Clause 15.1(c), (d) et (e);
(vii) Clause 16(e);
(viii) Clause 18 – Module deux : Clauses 18(a) et (b).
b) Le paragraphe (a) est sans préjudice des droits des personnes concernées en vertu du Règlement (UE) 2016/679.
4. Clause 4
Interprétation
a) Lorsque ces Clauses utilisent des termes définis dans le Règlement (UE) 2016/679, ces termes ont le même sens que dans ce Règlement.
b) Ces Clauses doivent être lues et interprétées à la lumière des dispositions du Règlement (UE) 2016/679.
c) Les présentes Clauses ne doivent pas être interprétées d’une manière qui entre en conflit avec les droits et obligations prévus au Règlement (UE) 2016/679.
5. Clause 5
Hiérarchie
En cas de contradiction entre les présentes Clauses et les dispositions des accords connexes entre les Parties, existant au moment où ces Clauses sont convenues ou conclues par la suite, ces Clauses prévaudront.
6. Clause 6
Description du ou des transfert(s)
Les détails du ou des transfert(s), en particulier les catégories de données personnelles qui sont transférées et le ou les but(s) pour lesquels elles sont transférées, sont précisés à l’Annexe I.B.
7. Clause 7
Clause d’accueil
a) Une entité qui n’est pas partie aux présentes Clauses peut, avec l’accord des Parties, se conformer aux présentes Clauses à tout moment, soit en tant qu’exportateur de données, soit en tant qu’importateur de données, en remplissant l’Annexe et en signant l’Annexe I.A.
b) Une fois qu’elle a rempli l’annexe et signé l’annexe I.A, l’entité accédante devient partie à ces clauses et a les droits et obligations d’un exportateur de données ou d’un importateur de données conformément à sa désignation à l’annexe I.A.
c) L’entité accédante n’aura aucun droit ni aucune obligation découlant des présentes Clauses à partir de la période précédant la date à laquelle elle est devenue partie.
SECTION II – OBLIGATIONS DES PARTIES
8. Clause 8
Protection des données
L’exportateur de données garantit qu’il a fait des efforts raisonnables pour déterminer que l’importateur de données est en mesure, par la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire à ses obligations en vertu des présentes Clauses.
MODULE DEUX : Transférer le contrôleur au processeur
8.1 Instructions
a) L’importateur de données ne doit traiter les données personnelles que sur la base d’instructions documentées de l’exportateur de données. L’exportateur de données peut donner ces instructions pendant toute la durée du contrat.
b) L’importateur de données doit immédiatement informer l’exportateur de données s’il n’est pas en mesure de suivre ces instructions.
8.2 Limitation de l’objectif
L’importateur de données ne doit traiter les données personnelles qu’aux fins spécifiques du ou des transfert, comme indiqué à l’annexe I. B, sauf sur instructions supplémentaires de l’exportateur de données.
8.3 Transparence
Sur demande, l’exportateur de données doit mettre gratuitement à la disposition de la personne concernée une copie des présentes Clauses, y compris l’Annexe remplie par les Parties. Dans la mesure nécessaire pour protéger les secrets commerciaux ou d’autres renseignements confidentiels, y compris les mesures décrites à l’Annexe II et les données personnelles, l’exportateur de données peut refaire une partie du texte de l’Annexe aux présentes Clauses avant de partager une copie, mais doit fournir un résumé significatif lorsque la personne concernée ne serait autrement pas en mesure de comprendre son contenu ou d’exercer ses droits. Sur demande, les Parties doivent fournir à la personne concernée les raisons des caviardages, dans la mesure du possible, sans révéler les informations caviardées. La présente Clause est sans préjudice des obligations de l’exportateur de données en vertu des articles 13 et 14 du Règlement (UE) 2016/679.
8.4 Précision
Si l’importateur de données apprend que les données personnelles qu’il a reçues sont inexactes ou sont devenues obsolètes, il doit en informer l’exportateur de données sans délai indu. Dans ce cas, l’importateur de données doit coopérer avec l’exportateur de données pour effacer ou rectifier les données.
8.5 Durée du traitement et de l’effacement ou du retour des données
Le traitement par l’importateur de données ne doit avoir lieu que pour la durée spécifiée à l’annexe I.B. Après la fin de la prestation des services de traitement, l’importateur de données doit, au choix de l’exportateur de données, supprimer toutes les données personnelles traitées au nom de l’exportateur de données et certifier à l’exportateur de données qu’il l’a fait, ou retourner à l’exportateur de données toutes les données personnelles traitées en son nom et supprimer les copies existantes. Jusqu’à ce que les données soient supprimées ou retournées, l’importateur de données doit continuer à assurer la conformité avec ces Clauses. Dans le cas des lois locales applicables à l’importateur de données qui interdisent le retour ou la suppression des données personnelles, l’importateur de données garantit qu’il continuera à assurer la conformité à ces clauses et qu’il ne les traitera que dans la mesure et aussi longtemps que requis par cette loi locale. Cela est sans préjudice à la clause 14, en particulier l’exigence pour l’importateur de données en vertu de la clause 14(e) d’aviser l’exportateur de données pendant toute la durée du contrat s’il a des raisons de croire qu’il est ou est devenu assujetti à des lois ou à des pratiques non conformes aux exigences de la clause 14(a).
8.6 Sécurité du traitement
a) L’importateur de données et, pendant la transmission, l’exportateur de données doivent également mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des données, y compris la protection contre une violation de la sécurité entraînant une destruction accidentelle ou illégale, la perte, la modification, la divulgation non autorisée ou l’accès à ces données (ci-après « violation de données personnelles »). Lors de l’évaluation du niveau de sécurité approprié, les Parties doivent tenir compte de l’état de pointe, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de l’objet(s) du traitement et des risques impliqués dans le traitement des personnes concernées. Les Parties doivent en particulier envisager d’avoir recours au chiffrement ou à la pseudonymisation, y compris pendant la transmission, lorsque l’objectif du traitement peut être rempli de cette manière. En cas de pseudonymisation, les renseignements supplémentaires permettant d’attribuer les données personnelles à une personne concernée spécifique demeureront, dans la mesure du possible, sous le contrôle exclusif de l’exportateur de données. En se conformant à ses obligations en vertu du présent paragraphe, l’importateur de données doit au moins mettre en œuvre les mesures techniques et organisationnelles spécifiées à l’Annexe II. L’importateur de données doit effectuer des vérifications régulières pour s’assurer que ces mesures continuent à fournir un niveau de sécurité approprié.
b) L’importateur de données doit accorder l’accès aux données personnelles aux membres de son personnel uniquement dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et à la surveillance du contrat. Il doit s’assurer que les personnes autorisées à traiter les données personnelles se sont engagées à la confidentialité ou sont assujetties à une obligation légale de confidentialité appropriée.
c) En cas de violation de données personnelles concernant les données personnelles traitées par l’importateur de données en vertu des présentes Clauses, l’importateur de données doit prendre les mesures appropriées pour remédier à la violation, y compris des mesures pour atténuer ses effets négatifs. L’importateur de données doit également aviser l’exportateur de données sans délai indu après avoir pris connaissance de la violation. Un tel avis doit contenir les détails d’un point de contact où plus de renseignements peuvent être obtenus, une description de la nature de la violation (y compris, dans la mesure du possible, les catégories et le nombre approximatif de personnes concernées par les données et les dossiers de données personnelles concernés), ses conséquences probables et les mesures prises ou proposées pour remédier à la violation, y compris, le cas échéant, les mesures visant à atténuer ses effets indésirables possibles. Lorsque, et dans la mesure où il n’est pas possible de fournir tous les renseignements en même temps, l’avis initial doit contenir les renseignements alors disponibles et d’autres renseignements doivent, dès qu’ils deviennent disponibles, être fournis par la suite sans délai indu.
d) L’importateur de données doit coopérer avec l’exportateur de données et l’aider à se conformer à ses obligations en vertu du Règlement (UE) 2016/679, en particulier pour aviser l’autorité de contrôle compétente et les personnes concernées, en tenant compte de la nature du traitement et des renseignements disponibles pour l’importateur de données.
8.7 Données sensibles
Lorsque le transfert implique des données personnelles révélant l’origine raciale ou ethnique, opinions politiques, croyances religieuses ou philosophiques, ou l’adhésion à un syndicat, données génétiques, ou les données biométriques dans le but d’identifier une personne physique de manière unique, les données concernant la santé ou la vie sexuelle ou l’orientation sexuelle d’une personne; ou des données relatives aux condamnations et infractions criminelles (ci-après « données sensibles »), l’importateur de données doit appliquer les restrictions spécifiques et/ou les mesures de protection supplémentaires décrites à l’annexe I.B.
8.8 Transferts ultérieurs
L’importateur de données ne doit divulguer les données personnelles à un tiers que sur instructions documentées de l’exportateur de données. De plus, les données ne peuvent être divulguées à un tiers situé à l’extérieur de l’Union européenne ([2]) (dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après « transfert ultérieur ») que si le tiers est ou accepte d’être lié par ces Clauses, en vertu du Module approprié, ou si :
(i) le transfert ultérieur est vers un pays bénéficiant d’une décision d’adéquation en vertu de l’article 45 du Règlement (UE) 2016/679 qui couvre le transfert ultérieur;
(ii) le tiers assure autrement des mesures de protection appropriées en vertu des articles 46 ou 47 du règlement (UE) 2016/679 en ce qui concerne le traitement en question;
(iii) le transfert ultérieur est nécessaire pour l’établissement, l’exercice ou la défense de réclamations juridiques dans le cadre de procédures administratives, réglementaires ou judiciaires spécifiques; ou
(iv) le transfert ultérieur est nécessaire afin de protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique.
Tout transfert ultérieur est assujetti à la conformité de l’importateur de données avec toutes les autres garanties en vertu des présentes Clauses, en particulier la limitation des fins.
8.9 Documentation et conformité
a) L’importateur de données doit traiter rapidement et adéquatement les demandes de renseignements de l’exportateur de données qui se rapportent au traitement en vertu des présentes Clauses.
b) Les Parties seront en mesure de démontrer la conformité à ces Clauses. En particulier, l’importateur de données doit conserver la documentation appropriée sur les activités de traitement effectuées au nom de l’exportateur de données.
c) L’importateur de données doit mettre à la disposition de l’exportateur de données tous les renseignements nécessaires pour démontrer la conformité aux obligations énoncées dans les présentes Clauses et, à la demande de l’exportateur de données, permettre et contribuer aux vérifications des activités de traitement couvertes par les présentes Clauses, à des intervalles raisonnables ou s’il y a des indications de non-conformité. Pour décider d’un examen ou d’une vérification, l’exportateur de données peut tenir compte des certifications pertinentes détenues par l’importateur de données.
d) L’exportateur de données peut choisir de mener la vérification seul ou de mandater un vérificateur indépendant. Les vérifications peuvent inclure des inspections dans les locaux ou les installations physiques de l’importateur de données et doivent, le cas échéant, être effectuées avec un préavis raisonnable.
e) Les Parties mettront les informations visées aux paragraphes (b) et (c), y compris les résultats de toute vérification, à la disposition de l’autorité de contrôle compétente sur demande.
9. Clause 9
Utilisation de sous-traitants
MODULE DEUX : Transférer le contrôleur au processeur
a) L’importateur de données ne sous-traitera aucune de ses activités de traitement effectuées au nom de l’exportateur de données en vertu des présentes Clauses à un sous-traitant ultérieur sans l’autorisation écrite préalable spécifique de l’exportateur de données. L’importateur de données doit soumettre la demande d’autorisation spécifique au moins 14 jours avant l’engagement du sous-traitant ultérieur, ainsi que les renseignements nécessaires pour permettre à l’exportateur de données de décider de l’autorisation. La liste des sous-traitants déjà autorisés par l’exportateur de données se trouve à l’annexe III. Les Parties doivent tenir à jour l’Annexe III.
b) Lorsque l’importateur de données engage un sous-traitant pour effectuer des activités de traitement spécifiques (au nom de l’exportateur de données), il doit le faire au moyen d’un contrat écrit qui prévoit, en substance, les mêmes obligations de protection des données que celles qui lient l’importateur de données en vertu des présentes Clauses, y compris en ce qui concerne les droits des bénéficiaires tiers pour les personnes concernées. ([3]) Les Parties conviennent qu’en se conformant à la présente Clause, l’importateur de données remplit ses obligations en vertu de la Clause 8.8. L’importateur de données doit s’assurer que le sous-traitant ultérieur se conforme aux obligations auxquelles l’importateur de données est soumis en vertu des présentes Clauses.
c) L’importateur de données doit fournir, à la demande de l’exportateur de données, une copie d’une telle entente de sous-traitant ultérieur et de toute modification subséquente à l’exportateur de données. Dans la mesure nécessaire pour protéger les secrets commerciaux ou d’autres renseignements confidentiels, y compris les données personnelles, l’importateur de données peut refaire le texte de l’accord avant de partager une copie.
d) L’importateur de données demeure entièrement responsable envers l’exportateur de données de l’exécution des obligations du sous-traitant ultérieur en vertu de son contrat avec l’importateur de données. L’importateur de données doit aviser l’exportateur de données de tout manquement du sous-traitant ultérieur à remplir ses obligations en vertu de ce contrat.
e) L’importateur de données doit convenir d’une clause de bénéficiaire tiers avec le sous-traitant ultérieur selon laquelle, dans le cas où l’importateur de données a effectivement disparu, a cessé d’exister en vertu de la loi ou est devenu insolvable, l’exportateur de données aura le droit de résilier le contrat du sous-traitant ultérieur et d’ordonner au sous-traitant ultérieur d’effacer ou de retourner la langue de données personnelles.
10. Clause 10
Droits des personnes concernées
MODULE DEUX : Transférer le contrôleur au processeur
a) L’importateur de données doit aviser rapidement l’exportateur de données de toute demande qu’il a reçue d’une personne concernée. Il ne doit pas répondre à cette demande elle-même à moins d’avoir été autorisé à le faire par l’exportateur de données.
b) L’importateur de données doit aider l’exportateur de données à remplir ses obligations de répondre aux demandes des personnes concernées pour l’exercice de leurs droits en vertu du Règlement (UE) 2016/679. À cet égard, les Parties doivent exposer à l’Annexe II les mesures techniques et organisationnelles appropriées, en tenant compte de la nature du traitement, par lequel l’assistance sera fournie, ainsi que de la portée et de l’étendue de l’assistance requise.
c) Dans l’exécution de ses obligations en vertu des paragraphes (a) et (b), l’importateur de données doit se conformer aux instructions de l’exportateur de données.
11. Clause 11
Réparer
a) L’importateur de données doit informer les personnes concernées dans un format transparent et facilement accessible, au moyen d’un avis individuel ou sur son site Web, d’un point de contact autorisé à traiter les plaintes. Il doit traiter rapidement toute plainte qu’il reçoit d’une personne concernée.
[OPTION : L’importateur de données convient que les personnes concernées peuvent également déposer une plainte auprès d’un organisme indépendant de règlement des différends ([4]) sans frais pour la personne concernée. Il doit informer les personnes concernées, de la manière énoncée au paragraphe (a), de ce mécanisme de réparation et qu’elles ne sont pas tenues de l’utiliser ou de suivre une séquence particulière dans la demande de réparation.]
MODULE DEUX : Transférer le contrôleur au processeur
b) En cas de différend entre une personne concernée et l’une des Parties en ce qui concerne la conformité aux présentes Clauses, cette Partie fera de son mieux pour résoudre le problème à l’amiable en temps opportun. Les Parties doivent se tenir mutuellement informées de ces différends et, le cas échéant, coopérer à leur résolution.
c) Lorsque la personne concernée invoque un droit de bénéficiaire tiers en vertu de la clause 3, l’importateur de données doit accepter la décision de la personne concernée :
(i) déposer une plainte auprès de l’autorité de contrôle dans l’État membre de sa résidence ou de son lieu de travail habituel, ou auprès de l’autorité de contrôle compétente en vertu de la clause 13;
(ii) transmettre le différend aux tribunaux compétents au sens de la Clause 18.
d) Les Parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association sans but lucratif aux conditions énoncées à l’article 80(1) du Règlement (UE) 2016/679.
e) L’importateur de données doit se conformer à une décision qui est contraignante en vertu de la loi applicable de l’UE ou de l’État membre.
f) L’importateur de données convient que le choix fait par la personne concernée ne portera pas préjudice à ses droits substantiels et procéduraux de demander des recours conformément aux lois applicables.
12. Clause 12
Responsabilité
MODULE DEUX : Transférer le contrôleur au processeur
a) Chaque Partie sera responsable envers l’autre Partie de tout dommage qu’elle cause à l’autre Partie par toute violation des présentes Clauses.
b) L’importateur de données sera responsable envers la personne concernée, et la personne concernée aura le droit de recevoir une compensation, pour tout dommage matériel ou non matériel que l’importateur de données ou son sous-traitant ultérieur cause à la personne concernée en enfreignant les droits des bénéficiaires tiers en vertu des présentes Clauses.
c) Nonobstant le paragraphe (b), l’exportateur de données sera responsable envers la personne concernée, et la personne concernée aura le droit de recevoir une indemnisation pour tout dommage matériel ou non matériel que l’exportateur de données ou l’importateur de données (ou son sous-traitant) cause à la personne concernée en enfreignant les droits des bénéficiaires tiers en vertu des présentes Clauses. Cela est sans préjudice de la responsabilité de l’exportateur de données et, lorsque l’exportateur de données est un sous-traitant agissant au nom d’un contrôleur, de la responsabilité du contrôleur en vertu du Règlement (UE) 2016/679 ou du Règlement (UE) 2018/1725, selon le cas.
d) Les Parties conviennent que si l’exportateur de données est tenu responsable en vertu du paragraphe (c) des dommages causés par l’importateur de données (ou son sous-traitant), il aura le droit de réclamer à l’importateur de données cette partie de la compensation correspondant à la responsabilité de l’importateur de données pour les dommages.
e) Lorsque plus d’une Partie est responsable de tout dommage causé à la personne concernée par suite d’une violation des présentes Clauses, toutes les Parties responsables seront conjointement et solidairement responsables et la personne concernée a le droit d’intenter une action en justice contre l’une de ces Parties.
f) Les Parties conviennent que si l’une des Parties est tenue responsable en vertu du paragraphe (e), elle aura le droit de réclamer à l’autre Partie cette partie de l’indemnisation correspondant à sa/leur responsabilité pour les dommages.
g) L’importateur de données ne peut pas invoquer la conduite d’un sous-traitant pour éviter sa propre responsabilité.
13. Clause 13
Supervision
MODULE DEUX : Transférer le contrôleur au processeur
a) L’autorité de surveillance responsable d’assurer la conformité de l’exportateur de données avec le Règlement (UE) 2016/679 en ce qui concerne le transfert de données, comme indiqué à l’annexe I.C., doit agir en tant qu’autorité de surveillance compétente.
b) L’importateur de données accepte de se soumettre à la juridiction de l’autorité de contrôle compétente et de coopérer avec celle-ci dans toute procédure visant à assurer la conformité aux présentes Clauses. En particulier, l’importateur de données accepte de répondre aux demandes, de se soumettre à des vérifications et de se conformer aux mesures adoptées par l’autorité de contrôle, y compris les mesures correctives et compensatoires. Il doit fournir à l’autorité de surveillance une confirmation écrite que les mesures nécessaires ont été prises.
SECTION III – LOIS ET OBLIGATIONS LOCALES EN CAS D’ACCÈS PAR LES AUTORITÉS PUBLIQUES
14. Clause 14
Lois et pratiques locales affectant la conformité aux Clauses
MODULE DEUX : Transférer le contrôleur au processeur
a) Les Parties garantissent qu’elles n’ont aucune raison de croire que les lois et pratiques du troisième pays de destination applicables au traitement des données personnelles par l’importateur de données, y compris toute exigence de divulgation des données personnelles ou des mesures autorisant l’accès par les autorités publiques, empêchent l’importateur de données de remplir ses obligations en vertu des présentes Clauses. Cela est fondé sur la compréhension que les lois et pratiques qui respectent l’essence des droits et libertés fondamentaux et qui ne dépassent pas ce qui est nécessaire et proportionnel dans une société démocratique pour protéger l’un des objectifs énumérés à l’article 23(1) du Règlement (UE) 2016/679 ne sont pas en contradiction avec ces Clauses.
b) Les Parties déclarent qu’en fournissant la garantie au paragraphe (a), elles ont pris en compte les éléments suivants :
(i) les circonstances particulières du transfert, y compris la durée de la chaîne de traitement, le nombre d’acteurs impliqués et les canaux de transmission utilisés; les transferts prévus; le type de destinataire; l’objectif du traitement; les catégories et le format des données personnelles transférées; le secteur économique dans lequel le transfert a lieu; l’emplacement de stockage des données transférées;
(ii) les lois et pratiques du troisième pays de destination, y compris celles qui exigent la divulgation de données aux autorités publiques ou l’autorisation d’accès par ces autorités, pertinentes à la lumière des circonstances spécifiques du transfert, ainsi que les limitations et les mesures de protection applicables ([5]);
(iii) toutes les mesures de protection contractuelles, techniques ou organisationnelles pertinentes mises en place pour compléter les mesures de protection en vertu des présentes Clauses, y compris les mesures appliquées pendant la transmission et au traitement des données personnelles dans le pays de destination.
c) L’importateur de données garantit qu’en effectuant l’évaluation en vertu du paragraphe (b), il a fait de son mieux pour fournir à l’exportateur de données des renseignements pertinents et accepte de continuer à coopérer avec l’exportateur de données pour assurer la conformité aux présentes Clauses.
d) Les Parties conviennent de documenter l’évaluation en vertu du paragraphe (b) et de la mettre à la disposition de l’autorité de contrôle compétente sur demande.
e) L’importateur de données accepte d’aviser rapidement l’exportateur de données si, après avoir accepté les présentes Clauses et pendant la durée du contrat, il a des raisons de croire qu’il est ou est devenu assujetti à des lois ou pratiques non conformes aux exigences du paragraphe (a), y compris à la suite d’un changement des lois du pays tiers ou d’une mesure (comme une demande de divulgation) indiquant une application de ces lois en pratique qui n’est pas conforme aux exigences du paragraphe (a).
f) À la suite d’un avis en vertu du paragraphe (e), ou si l’exportateur de données a autrement des raisons de croire que l’importateur de données ne peut plus remplir ses obligations en vertu des présentes Clauses, l’exportateur de données doit rapidement identifier les mesures appropriées (p. ex., des mesures techniques ou organisationnelles pour assurer la sécurité et la confidentialité) à adopter par l’exportateur de données et/ou l’importateur de données pour remédier à la situation. L’exportateur de données doit suspendre le transfert de données s’il considère qu’aucune protection appropriée pour un tel transfert ne peut être assurée, ou si l’autorité de surveillance compétente l’exige. Dans ce cas, l’exportateur de données aura le droit de résilier le contrat, dans la mesure où il concerne le traitement des données personnelles en vertu des présentes Clauses. Si le contrat implique plus de deux Parties, l’exportateur de données peut exercer ce droit à la résiliation uniquement en ce qui concerne la Partie concernée, à moins que les Parties n’en aient convenu autrement. Lorsque le contrat est résilié en vertu de la présente Clause, les Clauses 16(d) et (e) s’appliquent.
15. Clause 15
Obligations de l’importateur de données en cas d’accès par les autorités publiques
MODULE DEUX : Transférer le contrôleur au processeur
15.1 Avis
a) L’importateur de données accepte d’aviser rapidement l’exportateur de données et, si possible, la personne concernée (si nécessaire avec l’aide de l’exportateur de données) si :
(i) reçoit une demande juridiquement contraignante d’une autorité publique, y compris les autorités judiciaires, en vertu des lois du pays de destination pour la divulgation des données personnelles transférées en vertu des présentes Clauses; cet avis doit inclure des renseignements sur les données personnelles demandées, l’autorité requérante, le fondement juridique de la demande et la réponse fournie; ou
(ii) prend connaissance de tout accès direct par les autorités publiques aux données personnelles transférées en vertu des présentes Clauses conformément aux lois du pays de destination; cet avis doit inclure tous les renseignements disponibles pour l’importateur.
b) Si l’importateur de données n’est pas autorisé à aviser l’exportateur de données et/ou la personne concernée en vertu des lois du pays de destination, l’importateur de données accepte de faire de son mieux pour obtenir une renonciation à l’interdiction, en vue de communiquer autant d’informations que possible, dès que possible. L’importateur de données accepte de documenter ses meilleurs efforts afin de pouvoir les démontrer à la demande de l’exportateur de données.
c) Lorsque les lois du pays de destination le permettent, l’importateur de données accepte de fournir à l’exportateur de données, à intervalles réguliers pendant la durée du contrat, autant de renseignements pertinents que possible sur les demandes reçues (en particulier, le nombre de demandes, le type de données demandées, l’autorité ou les autorités de demande, si les demandes ont été contestées et le résultat de ces défis, etc.).
d) L’importateur de données s’engage à préserver les renseignements conformément aux paragraphes (a) à (c) pour la durée du contrat et à les mettre à la disposition de l’autorité de contrôle compétente sur demande.
e) Les paragraphes (a) à (c) sont sans préjudice de l’obligation de l’importateur de données en vertu de la clause 14(e) et de la clause 16 d’informer rapidement l’exportateur de données lorsqu’il n’est pas en mesure de se conformer à ces clauses.
15.2 Examen de la légalité et minimisation des données
a) L’importateur de données accepte d’examiner la légalité de la demande de divulgation, en particulier si elle demeure dans les limites des pouvoirs accordés à l’autorité publique demandeur, et de contester la demande si, après une évaluation minutieuse, il conclut qu’il existe des motifs raisonnables de considérer que la demande est illégale en vertu des lois du pays de destination, des obligations applicables en vertu de la loi internationale et des principes de conformité internationale. L’importateur de données doit, dans les mêmes conditions, rechercher des possibilités d’appel. Lorsqu’il conteste une demande, l’importateur de données doit demander des mesures provisoires dans le but de suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente ait décidé de ses mérites. Il ne divulguera pas les données personnelles demandées jusqu’à ce qu’il soit tenu de le faire en vertu des règles procédurales applicables. Ces exigences ne portent pas préjudice aux obligations de l’importateur de données en vertu de la clause 14(e).
b) L’importateur de données accepte de documenter son évaluation juridique et toute contestation de la demande de divulgation et, dans la mesure permise par les lois du pays de destination, de mettre la documentation à la disposition de l’exportateur de données. Il doit également être mis à la disposition de l’autorité de surveillance compétente sur demande.
c) L’importateur de données s’engage à fournir le minimum de renseignements permis lors de la réponse à une demande de divulgation, sur la base d’une interprétation raisonnable de la demande.
SECTION IV – DISPOSITIONS FINALES
16. Clause 16
Non-respect des Clauses et résiliation
a) L’importateur de données doit informer rapidement l’exportateur de données s’il n’est pas en mesure de se conformer aux présentes Clauses, pour quelque raison que ce soit.
b) Si l’importateur de données enfreint les présentes Clauses ou est incapable de se conformer à ces Clauses, l’exportateur de données doit suspendre le transfert de données personnelles à l’importateur de données jusqu’à ce que la conformité soit de nouveau assurée ou que le contrat soit résilié. Cela est sans préjudice de la clause 14(f).
c) L’exportateur de données aura le droit de résilier le contrat, dans la mesure où il concerne le traitement des données personnelles en vertu des présentes Clauses, lorsque :
(i) l’exportateur de données a suspendu le transfert de données personnelles à l’importateur de données en vertu du paragraphe (b) et la conformité aux présentes Clauses n’est pas rétablie dans un délai raisonnable et dans tous les cas dans le mois suivant la suspension;
(ii) l’importateur de données est en violation substantielle ou persistante des présentes Clauses; ou
(iii) l’importateur de données ne se conforme pas à une décision exécutoire d’un tribunal ou d’une autorité de contrôle compétente concernant ses obligations en vertu des présentes Clauses.
Dans ces cas, il doit informer l’autorité de surveillance compétente de cette non-conformité. Lorsque le contrat implique plus de deux Parties, l’exportateur de données peut exercer ce droit à la résiliation uniquement en ce qui concerne la Partie concernée, sauf accord contraire des Parties.
d) Les données personnelles qui ont été transférées avant la résiliation du contrat en vertu du paragraphe (c) doivent être immédiatement retournées à l’exportateur de données ou supprimées dans leur intégralité, au choix de l’exportateur de données. Il en va de même pour toute copie des données. L’importateur de données doit certifier la suppression des données à l’exportateur de données. Jusqu’à ce que les données soient supprimées ou retournées, l’importateur de données doit continuer à assurer la conformité avec ces Clauses. Dans le cas des lois locales applicables à l’importateur de données qui interdisent le retour ou la suppression des données personnelles transférées, l’importateur de données garantit qu’il continuera à assurer la conformité à ces Clauses et ne traitera les données que dans la mesure et aussi longtemps que l’exige cette loi locale.
e) L’une ou l’autre des Parties peut révoquer son accord d’être liée par ces Clauses lorsque (i) la Commission européenne adopte une décision en vertu de l’article 45(3) du Règlement (UE) 2016/679 qui couvre le transfert de données personnelles auxquelles ces Clauses s’appliquent; ou (ii) le Règlement (UE) 2016/679 fait partie du cadre juridique du pays où les données personnelles sont transférées. Cela ne porte pas préjudice aux autres obligations s’appliquant au traitement en question en vertu du Règlement (UE) 2016/679.
17. Clause 17
Loi applicable
MODULE DEUX : Transférer le contrôleur au processeur
Ces Clauses sont régies par la loi de l’État membre de l’UE dans lequel l’exportateur de données est établi. Lorsque cette loi ne permet pas les droits des bénéficiaires tiers, ils sont régis par la loi d’un autre État membre de l’UE qui permet les droits des bénéficiaires tiers. Les Parties conviennent que ce sera la loi des Pays-Bas.
18. Clause 18
Choix du forum et de la juridiction
MODULE DEUX : Transférer le contrôleur au processeur
a) Tout différend découlant des présentes Clauses sera résolu par les tribunaux d’un État membre de l’UE.
b) Les Parties conviennent que ce sont les tribunaux de Rotterdam aux Pays-Bas.
c) Une personne concernée peut également intenter une procédure judiciaire contre l’exportateur de données et/ou l’importateur de données devant les tribunaux de l’État membre dans lequel elle a sa résidence habituelle.
d) Les Parties conviennent de se soumettre à la compétence de ces tribunaux.
1. Lorsque l’exportateur de données est un sous-traitant assujetti au Règlement (UE) 2016/679 agissant au nom d’une institution ou d’un organisme syndical en tant que contrôleur, se fier aux présentes Clauses lorsqu’il s’agit d’engager un autre sous-traitant (sous-traitement) non soumis au Règlement (UE) 2016/679 assure également la conformité à l’article 29(4) du Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 sur la protection des personnes physiques en ce qui concerne le traitement des données personnelles par les institutions de l’Union; corps, les bureaux et les agences et sur la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (OJ L 295, 21.11.2018, p. 39), dans la mesure où les présentes Clauses et les obligations de protection des données énoncées dans le contrat ou toute autre loi entre le contrôleur et le sous-traitant en vertu de l’article 29(3) du Règlement (UE) 2018/1725 sont alignées. Cela sera particulièrement le cas lorsque le contrôleur et le processeur se fient aux clauses contractuelles standard incluses dans la décision 2021/915.
2. L’Accord sur l’Espace économique européen (Accord EEE) prévoit l’extension du marché interne de l’Union européenne aux trois États de l’EEE, l’Islande, le Liechtenstein et la Norvège. La législation sur la protection des données de l’Union, y compris le Règlement (UE) 2016/679, est couverte par l’Accord de l’EEE et a été incorporée à l’Annexe XI. Par conséquent, toute divulgation par l’importateur de données à un tiers situé dans l’EEE ne constitue pas un transfert ultérieur aux fins des présentes Clauses.
3. Cette exigence peut être satisfaite par le sous-traitant ultérieur qui se conforme aux présentes Clauses en vertu du Module approprié, conformément à la Clause 7.
4. L’importateur de données peut offrir une résolution indépendante des différends par l’entremise d’un organisme d’arbitrage seulement s’il est établi dans un pays qui a ratifié la Convention de New York sur l’application des prix d’arbitrage.
5. En ce qui concerne l’impact de ces lois et pratiques sur la conformité aux présentes Clauses, différents éléments peuvent être considérés dans le cadre d’une évaluation globale. Ces éléments peuvent inclure une expérience pratique pertinente et documentée avec des cas antérieurs de demandes de divulgation des autorités publiques, ou l’absence de telles demandes, couvrant un délai suffisamment représentatif. Cela fait particulièrement référence aux dossiers internes ou à d’autres documents, rédigés sur une base continue conformément à la diligence raisonnable et certifiés au niveau de la haute direction, à condition que ces renseignements puissent être légalement partagés avec des tiers. Lorsque cette expérience pratique est utilisée pour conclure que l’importateur de données ne sera pas empêché de se conformer à ces Clauses, elle doit être soutenue par d’autres éléments pertinents et objectifs, et il incombe aux Parties d’examiner attentivement si ces éléments ensemble ont un poids suffisant, en termes de fiabilité et de représentation, pour appuyer cette conclusion. En particulier, les Parties doivent prendre en compte si leur expérience pratique est corroborée et non contredite par des informations fiables accessibles au public ou autrement accessibles sur l’existence ou l’absence de demandes dans le même secteur et/ou l’application de la loi en pratique, comme la jurisprudence et les rapports des organismes de surveillance indépendants.