REMARQUE : NOUS AVONS PUBLIÉ LES CONDITIONS CI-DESSOUS EN RAPPORT AVEC LES NOUVELLES CLAUSES CONTRACTUELLES TYPES APPROUVÉES PAR LA COMMISSION EUROPÉENNE, AYANT EFFET LE 27 SEPTEMBRE 2021.

(a) Les présentes clauses contractuelles types ont pour objet de garantir le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) pour le transfert de données à caractère personnel vers un pays tiers.

(b) Les parties :

(i) la ou les personnes physiques ou morales, l'autorité ou les autorités publiques, l'agence ou l'agences, ou la ou les autres organismes (ci-après dénommés " entité(s) ") qui transfèrent les données à caractère personnel, telles qu'elles sont énumérées à l'annexe I.A. (ci-après dénommées " exportateur de données "), et 

(ii) l'entité/les entités d'un pays tiers recevant les données à caractère personnel de l'exportateur de données, directement ou indirectement par l'intermédiaire d'une autre entité également Partie aux présentes clauses, telle qu'énumérée à l'annexe I.A. (ci-après dénommée " importateur de données ")

ont accepté les présentes clauses contractuelles types (ci-après : " Clauses ").

(c) Les présentes clauses s'appliquent au transfert de données à caractère personnel tel que spécifié à l'annexe I.B.

(d) L'appendice des présentes clauses contenant les annexes qui y sont mentionnées fait partie intégrante des présentes clauses.

(a) Les présentes clauses établissent des garanties appropriées, y compris des droits exécutoires des personnes concernées et des recours juridiques efficaces, conformément à l'article 46, paragraphe 1, et à l'article 46, paragraphe 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données des responsables du traitement aux sous-traitants et/ou des sous-traitants aux sous-traitants, les clauses contractuelles types conformément à l'article 28(7) du règlement (UE) 2016/679, à condition que les clauses ne soient pas modifiées, sauf pour sélectionner le(s) module(s) approprié(s) ou ajouter ou mettre à jour les informations dans l'annexe. Cela n'empêche pas les parties d'inclure les clauses contractuelles types prévues dans les présentes clauses dans un contrat plus large et/ou d'ajouter d'autres clauses ou des garanties supplémentaires, pour autant qu'elles ne contredisent pas, directement ou indirectement, les présentes clauses ou ne portent pas atteinte aux droits ou libertés fondamentaux des personnes concernées. 

(b) Les présentes clauses sont sans préjudice des obligations auxquelles l'exportateur de données est soumis en vertu du règlement (UE) 2016/679.

(a) Les personnes concernées peuvent invoquer et faire appliquer les présentes clauses, en tant que tiers bénéficiaires, à l'encontre de l'exportateur de données et/ou de l'importateur de données, avec les exceptions suivantes :

(i) Clause 1, Clause 2, Clause 3, Clause 6, Clause 7 ;

(ii) Clause 8 : Clause 8.5 (e) et clause 8.9(b) ;

(iv) Clause 12 : Clause 12(a) et (d) ;

(v) Clause 13 ;

(vi) Clause 15.1(c), (d) et (e) ;

(vii) Clause 16(e) ; 

(viii) Clause 18 : Clause 18(a) et (b) ;

(b) Le paragraphe (a) est sans préjudice des droits des personnes concernées en vertu du règlement (UE) 2016/679.

(a) Lorsque les présentes clauses utilisent des termes qui sont définis dans le règlement (UE) 2016/679, ces termes ont la même signification que dans ledit règlement.

(b) Les présentes clauses doivent être lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679.

(c) Les présentes clauses ne doivent pas être interprétées de manière à entrer en conflit avec les droits et obligations prévus par le règlement (UE) 2016/679. 

En cas de contradiction entre les présentes clauses et les dispositions des accords connexes entre les parties, existant au moment où les présentes clauses sont convenues ou conclues par la suite, les présentes clauses prévaudront.

Les détails des transferts, et en particulier les catégories de données à caractère personnel qui sont transférées et les finalités pour lesquelles elles sont transférées, sont précisés en Annexe I.B.

(a) Une entité qui n'est pas Partie à ces Clauses peut, avec l'accord des Parties, adhérer à ces Clauses à tout moment, soit en tant qu'exportateur de données, soit en tant qu'importateur de données, en remplissant l'appendice et en signant l'annexe I.A.

(b) Une fois qu'elle aura rempli l'appendice et signé l'annexe I.A, l'entité adhérente deviendra Partie aux présentes clauses et aura les droits et obligations d'un exportateur de données ou d'un importateur de données conformément à sa désignation à l'annexe I.A. 

(c) L'entité adhérente n'a aucun droit ou obligation découlant des présentes clauses pour la période précédant son adhésion.

L'exportateur de données garantit qu'il a fourni des efforts raisonnables pour déterminer que l'importateur de données peut, en mettant en œuvre des mesures techniques et organisationnelles appropriées, satisfaire ses obligations en vertu des présentes clauses. 

L'importateur de données ne traitera les données personnelles que pour la ou les fin(s) spécifique(s) du transfert, comme indiqué dans l'annexe I.B. Il ne peut traiter les données personnelles qu'à une autre fin :

(i) s'il a obtenu le consentement préalable de la personne concernée ; 

(ii) si cela est nécessaire pour l'établissement, l'exercice ou la défense des réclamations d'ordre juridique dans le cadre de procédures administratives, réglementaires ou judiciaires spécifiques ; ou 

(iii) si cela est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique. 

(a) Pour permettre aux personnes concernées d'exercer effectivement leurs droits en vertu de la clause 10, l'importateur de données les informera, soit directement ou via l'exportateur de données : 

(i) de son identité et ses coordonnées ; 

(ii) des catégories des données personnelles traitées ;

(iii) du droit d'obtention d'une copie des présentes clauses ; 

(iv) de s'il a l'intention de transférer les données personnelles à tou(t)s tiers, du destinataire ou des catégories de destinataires (le cas échéant, pour fournir des informations significatives), de l'objectif de ce transfert ultérieur et de la raison conformément à la clause 8.7. 

(b) Le paragraphe (a) ne s'applique pas lorsque la personne concernée a déjà les informations, y compris lorsque ces informations ont déjà été fournies par l'exportateur des données, ou lorsque fournir les informations s'avère impossible ou impliquerait un effort disproportionné pour l'importateur de données. Dans ce dernier cas, l'importateur de données doit, dans la mesure du possible, mettre les informations à disposition publiquement. 

(c) Sur demande, les parties doivent faire une copie des présentes clauses, y compris l'appendice qui les complète, disponible gratuitement, pour la personne concernée. Dans la mesure nécessaire pour les secrets commerciaux ou d'autres informations confidentielles, y compris les données personnelles, les parties peuvent éditer une partie du texte de l'appendice avant de partager une copie, mais doivent fournir un résumé lorsque la personne concernée ne pourra pas comprendre son contenu ou exercer ses droits. Sur demande, les parties doivent fournir à la personne concernée les raisons des rectifications, dans la mesure possible sans révéler les informations éditées. 

(d) Les paragraphes (a) à (c) sont sans préjudice des obligations de l'exportateur de données en vertu des articles 13 et 14 du Règlement (UE) 2016/679. 

(a) Chaque partie doit s'assurer que les données personnelles sont exactes et, si nécessaire, mises à jour. L'importateur des données personnelles doit prendre toutes les mesures raisonnables pour s'assurer que les données personnelles inexactes, en respectant la ou les fin(s) du traitement, sont supprimées ou rectifiées sans tarder. 

(b) Si l'une des parties prend conscience que les données personnelles qu'elle a transférées ou a reçues sont inexactes, ou qu'elles ne sont plus à jour, elle doit en informer l'autre partie sans retard injustifié. 

(c) L'importateur de données doit s'assurer que les données personnelles sont adéquates, pertinentes et limitées à ce qui est nécessaire en ce qui concerne l(es) objectif(s) du traitement. 

L'importateur des données ne doit pas conserver les données personnelles plus que nécessaire à la ou les fin(s) pour lesquelles elles sont traitées. Il doit mettre en place des mesures techniques ou organisationnelles appropriées pour s'assurer du respect de cette obligation, y compris la suppression ou l'anonymisation des données et de toutes les sauvegardes à la fin de la période de conservation. 

(a) L'importateur des données et également, lors de la transmission, l'exportateur des données doivent mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données personnelles, y compris la protection contre une violation de la sécurité conduisant à la destruction accidentelle ou illégale, à la perte, à la modification, à la divulgation ou à l'accès non autorisé (ci-après "violation de données personnelles"). Pour l'évaluation du niveau de sécurité approprié, ils doivent tenir compte de l'état de l'art, des coûts de mise en œuvre, de la nature, de la portée, du contexte, des fins et des risques impliqués dans le traitement pour une personne concernée. Les parties doivent en particulier envisager d'avoir recours au cryptage ou à la pseudonymisation, y compris lors de la transmission, lorsque l'objectif du traitement peut être atteint de cette manière. 

(b) Les parties ont accepté les mesures techniques et organisationnelles énoncées dans l'annexe II. L'importateur de données doit effectuer des vérifications régulières pour s'assurer que les présentes mesures continuent à fournir un niveau de sécurité approprié. 

(c) L'importateur de données doit s'assurer que les personnes autorisées à traiter les données personnelles se sont engagées à respecter la confidentialité ou le sont en vertu d'une obligation légale de confidentialité appropriée. 

(d) En cas de violation des données personnelles concernant les données personnelles traitées par l'importateur de données en vertu des présentes clauses, l'importateur de données devra prendre les mesures appropriées pour remédier à la violation de données personnelles, y compris les mesures pour atténuer ses effets négatifs éventuels. 

(e) En cas de violation de données personnelles qui est susceptible de mettre en danger les droits et libertés des personnes physiques, l'importateur de données devra, sans retard injustifié, notifier à la fois l'exportateur de données et l'autorité de contrôle compétente en vertu de la clause 13. Une telle notification doit contenir i) une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif des personnes concernées et des enregistrements de données personnelles concernées), ii) ses conséquences probables, iii) les mesures prises ou proposées pour remédier à la violation et iv) les détails d'un point de contact par lequel plus d'informations peuvent être obtenues. Dans la mesure où l'importateur de données ne peut pas fournir toutes les informations en même temps, il peut le faire par étapes sans retard injustifié. 

(f) En cas de violation de données personnelles susceptible de mettre en danger les droits et libertés de personnes physiques, l'importateur de données devra également notifier sans retard injustifié les personnes concernées par la violation de données personnelles et sa nature, en coopération si nécessaire avec l'exportateur de données et avec les informations mentionnées dans le paragraphe (e), points ii) à iv), à moins que l'importateur de données ne prenne des mesures pour réduire considérablement le risque envers les droits ou libertés des personnes physiques, ou que la notification implique des efforts disproportionnés. Dans ce dernier cas, l'importateur de données devra plutôt publier une communication publique ou prendre une mesure similaire pour informer le public de la violation de données personnelles. 

(g) L'importateur devra documenter tous les faits pertinents concernant la violation des données personnelles, y compris ses effets et toute action prise pour y remédier, et conserver un enregistrement de celle-ci. 

Lorsque le transfert implique des données personnelles révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance à un syndicat, les données génétiques ou biométrique dans le but d'identifier une personne physique, les données concernant la santé, la vie sexuelle ou l'orientation sexuelle d'une personne, ou les données relatives aux infractions ou condamnations criminelles (ci-après "données sensibles"), l'importateur de données devra appliquer des restrictions spécifiques et/ou des dispositifs de protection supplémentaires adaptés à la nature spécifique des données et des risques impliqués. Cela peut inclure la restriction du personnel autorisé à accéder aux données personnelles, des mesures de sécurité supplémentaires (telles que la pseudonymisation) et/ou des restrictions supplémentaires concernant des divulgations ultérieures. 

L'importateur de données ne doit pas divulguer les données personnelles à un tiers situé en dehors de l'Union européenne (dans le même pays que l'importateur de données ou dans un autre pays tiers, ci-après "transfert ultérieur"), à moins que le tiers ne soit ou accepte d'être lié par les présentes clauses, en vertu du module approprié. Par ailleurs, un transfert ultérieur par l'importateur de données ne peut être effectué que si :

(i) il est pour un pays qui bénéficie d'une décision d'adéquation en vertu de l'article 45 du Règlement (UE) 2016/679 relatif au transfert ultérieur ;

(ii) le tiers assure par ailleurs des dispositifs de protection appropriés en vertu des articles 46 ou 47 du Règlement (UE) 2016/679 concernant le traitement en question ; 

(iii) le tiers conclut un instrument juridiquement contraignant avec l'importateur de données en veillant au même niveau de protection des données qu'en vertu des présentes clauses, et l'importateur de données fournit une copie des présents dispositifs de protection à l'exportateur de données ; 

(iv) cela est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice dans le cadre de procédures administratives, réglementaires ou judiciaires spécifiques ; 

(v) cela est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique ; ou 

(vi) lorsque aucune des autres conditions s'appliquent, l'importateur de données a obtenu le consentement explicite de la personne concernée pour un transfert ultérieur dans une situation spécifique, après l'avoir informé de sa ou ses fin(s), de l'identité du destinataire et des risques de ce transfert qu'elle encourt en raison du manque de dispositifs de protection des données appropriés. Dans ce cas, l'importateur de données devra informer l'exportateur de données et, à la demande de ce dernier, devra lui transmettre une copie des informations fournies à la personne concernée. 

Tout transfert ultérieur est soumis au respect, par l'importateur de données, de tous les autres dispositifs de protection en vertu des présentes clauses, en particulier la limitation de la finalité. 

L'importateur de données devra s'assurer que toute personne agissant en vertu de son autorité, y compris un sous-traitant, traitera les données uniquement selon ses instructions. 

(a) Chaque partie devra être en mesure de démontrer le respect de ses obligations en vertu des présentes clauses. En particulier, l'importateur de données devra conserver la documentation appropriée des activités de traitement réalisées sous sa responsabilité. 

(b) L'importateur de données devra mettre cette documentation à la disposition de l'autorité de contrôle compétente sur demande. 

Non applicable

(a) L'importateur de données, le cas échéant avec l'aide de l'exportateur de données, devra traiter toute enquête et demande qu'il reçoit d'une personne concernée concernant le traitement de ses données personnelles et l'exercice de ses droits en vertu des présentes clauses sans retard injustifié et au plus tard dans un mois suivant la réception de l'enquête ou de la demande. L'importateur de données devra prendre des mesures appropriées pour faciliter ces enquêtes, ces demandes et l'exercice des droits de la personne concernée. Toute information fournie à une personne concernée devra être intelligible et facilement accessible, en utilisant un langage clair et simple. 

(b) En particulier, sur demande de la personne concernée, l'importateur de données devra gratuitement : 

(i) fournir une confirmation à la personne concernée que ses données personnelles sont traitées et, si c'est le cas, une copie de ses données personnelles et des informations dans l'annexe I ; si les données personnelles ont été ou seront transférées ultérieurement, fournir des informations sur les destinataires ou les catégories de destinataires (le cas échéant, en vue de fournir des informations significatives), de l'objectif de ce transfert ultérieur et de la raison conformément à la clause 8.7 ; et fournir des informations sur le droit de déposer plainte auprès d'une autorité de contrôle conformément à la clause 12(c)(i) ; 

(ii) rectifier les données inexactes ou incomplètes concernant la personne concernée ; 

(iii) effacer les données personnelles concernant la personne concernée si ces données sont ou ont été traitées en violation de l'une des présentes clauses garantissant les droits du tiers bénéficiaire, ou si la personne concernée retire le consentement sur lequel le traitement est fondé.

(c) Lorsque l'importateur de données traite les données personnelles à des fins de marketing direct, il cessera le traitement à de telles fins si la personne concernée s'y oppose. 

(d) L'importateur de données ne devra pas prendre de décision basée uniquement sur le traitement automatisé des données personnelles transférées (ci-après "décision automatisée"), qui produirait des effets juridiques envers la personne concernée ou l'affecterait également de manière significative, à moins qu'avec le consentement explicite de la personne concernée ou s'il est autorisé à le faire en vertu des lois du pays de destination, à condition que ces lois prévoient des mesures appropriées pour protéger les droits et les intérêts légitimes de la personne concernée. Dans ce cas, l'importateur de données, en collaboration avec l'exportateur de données si nécessaire, devra :

(i) informer la personne concernée de la décision automatisée envisagée, les conséquences prévues et la logique impliquée ; et 

(ii) mettre en œuvre des dispositifs de sécurité appropriés, au moins en permettant à la personne concernée de contester la décision, d'exprimer son point de vue et d'obtenir l'examen par un être humain. 

(e) Lorsque les demandes émanant d'une personne concernée sont excessives, en particulier en raison de leur caractère répétitif, l'importateur de données pourra soit prélever des frais raisonnables en tenant compte des coûts administratifs liés à l'octroi de la demande ou de refuser de faire droit à la demande. 

(f) L'importateur de données peut refuser la demande de la personne concernée si ce refus est autorisé en vertu des lois du pays de destination et est nécessaire et proportionné dans une société démocratique pour protéger l'un des objectifs énumérés dans l'article 23(1) du Règlement (UE) 2016/679.

(g) Si l'importateur de données a l'intention de refuser la demande de la personne concernée, il devra informer la personne concernée des raisons du refus et de la possibilité de porter plainte auprès de l'autorité de contrôle compétente et/ou d'un recours juridictionnel. 

(a) L'importateur de données devra informer les personnes concernées de manière transparente et facilement accessible, par notification individuelle ou sur son site Web, d'un point de contact autorisé à traiter les plaintes. Il devra traiter rapidement les plaintes qu'il recevra d'une personne concernée. 

(b) En cas de litige entre une personne concernée et l'une des parties en ce qui concerne le respect des présentes clauses, cette partie devra faire de son mieux pour résoudre la question à l'amiable dans un délai convenable. Les parties doivent se tenir informées de ces litiges et, le cas échéant, coopérer pour les résoudre. 

(c) Lorsque la personne concernée invoque le droit du tiers bénéficiaire en vertu de la clause 3, l'importateur de données devra accepter la décision de la personne concernée de : 

(i) porter plainte auprès de l'autorité de contrôle dans un État membre de sa résidence ou son lieu de travail habituel, ou de l'autorité de contrôle compétente en vertu de la clause 13 ; 

(ii) renvoyer le litige auprès des tribunaux compétents en vertu de la clause 18. 

(d) Les parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions énoncées dans l'article 80(1) du Règlement (UE) 2016/679.

(e) L'importateur de données devra se conformer à une décision qui est contraignante en vertu de la loi de l'État membre ou de l'UE en vigueur.

(f) L'importateur de données accepte que le choix fait par la personne concernée ne portera pas atteinte à son droit de recours et de procédure en vertu des lois en vigueur. 

(a) Chaque partie sera responsable envers l(es) autre(s) partie(s) de tout dommage qu'elle cause à(ux) autre(s) partie(s) par violation des présentes clauses. 

(b) Chaque partie sera responsable envers la personne concernée, et cette dernière devra être autorisée à recevoir une compensation pour tous les dommages-intérêts matériels ou non que la partie a causé à la personne concernée en enfreignant les droits du tiers bénéficiaire en vertu des présentes clauses. Cette disposition est sans préjudice de la responsabilité de l'exportateur de données en vertu du Règlement (UE) 2016/679.

(c) Lorsque plus d'une partie est responsable de tout dommage causé à la personne concernée en raison d'une violation des présentes clauses, toutes les parties responsables seront conjointement et solidairement responsables et la personne concernée sera autorisée à intenter une action en justice contre toute partie. 

(d) Les parties acceptent que si une partie est responsable en vertu du paragraphe (c), elle sera en droit de revendiquer des autres parties une part de la compensation correspondant à sa / leur responsabilité du dommage. 

(e) L'importateur de données ne pourra pas invoquer la conduite d'un sous-traitant ou d'un sous-traitant ultérieur pour éviter sa propre responsabilité. 

(a) Les parties acceptent que l'autorité de contrôle responsable d'assurer le respect par l'exportateur de données du Règlement (UE) 2016/679 en ce qui concerne le transfert de données soit l'autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens), qui agira comme autorité de contrôle compétente.

(b) L'importateur de données accepte de se soumettre à la compétence et de coopérer avec l'autorité de contrôle compétente dans les procédures visant à assurer le respect des présentes clauses. En particulier, l'importateur de données accepte de répondre aux demandes, de se soumettre à des audits et de respecter les mesures adoptées par l'autorité de contrôle, y compris les mesures réparatoires et compensatoires. Il devra fournir à l'autorité de contrôle la confirmation écrite que les mesures nécessaires ont été prises.

(a) Les parties garantissent qu'elles n'ont aucune raison de croire que les lois et pratiques du pays tiers de destination applicables au traitement des données personnelles par l'importateur de données, y compris toutes les exigences relatives à la divulgation des données personnelles ou des mesures d'accès établies par les autorités publiques, empêchent l'importateur des données d'assumer ses obligations en vertu des présentes clauses. Cette disposition repose sur la conviction que les lois et les pratiques qui respectent l'essence des libertés et des droits fondamentaux sans aller au-delà du nécessaire et de ce qui convient à la société démocratique pour préserver l'un des objectifs énoncés dans l'article 23, paragraphe 1 du Règlement (UE) 2016/679, ne sont pas en contradiction avec les présentes clauses. 

(b) Les parties déclarent qu'en fournissant la garantie au paragraphe (a), elles ont dûment tenu compte des éléments suivants :

(i) les circonstances spécifiques du transfert, y compris la longueur de la chaîne de traitement, le nombre d'acteurs impliqués et les canaux de transmission utilisés ; les transferts ultérieurs prévus ; le type de destinataire ; la finalité du traitement ; les catégories et le format des données personnelles transférées ; le secteur économique dans lequel le transfert est effectué ; le lieu de stockage des données transférées ;

(ii) les lois et pratiques du pays tiers de destination – y compris celles exigeant la divulgation de données aux autorités publiques ou autorisant l'accès par ces autorités – pertinentes à la lumière des circonstances spécifiques du transfert, et les limitations et garanties applicables ;

(iii) toutes les garanties contractuelles, techniques ou organisationnelles pertinentes mises en place pour compléter les garanties prévues par les présentes Clauses, y compris les mesures appliquées lors de la transmission et du traitement des données personnelles dans le pays de destination.

(c) L'importateur de données garantit, en vue de procéder à l'évaluation en vertu du paragraphe (b), qu'il a apporté la diligence et les efforts nécessaires pour fournir à l'exportateur de données les informations pertinentes et accepte de coopérer avec celui-ci afin de veiller au respect des présentes Clauses.

(d) Les Parties conviennent de documenter l'évaluation visée au paragraphe (b) et de la mettre à la disposition de l'autorité de contrôle compétente sur demande.

(e) L'importateur de données s'engage à informer rapidement l'exportateur de données si, après avoir accepté les présentes clauses et pendant la durée du contrat, il a des raisons de croire qu'il est ou est devenu soumis à des lois ou pratiques non conformes aux exigences visées au paragraphe (a), y compris à la suite d'une modification des lois du pays tiers ou d'une mesure (telle qu'une demande de divulgation) indiquant une application de ces lois dans la pratique qui n'est pas conforme aux exigences énoncées au paragraphe (a).

(f) À la suite d'une notification conformément au paragraphe (e), ou si l'exportateur de données a par ailleurs des raisons de croire qu'il ne peut plus remplir ses obligations en vertu des présentes Clauses, l'exportateur de données doit identifier rapidement les mesures appropriées (par exemple, des mesures techniques ou mesures organisationnelles visant à garantir la sécurité et la confidentialité) à adopter par l'exportateur et/ou l'importateur de données pour remédier à la situation. L'exportateur de données suspend le transfert de données s'il considère qu'aucune garantie appropriée pour un tel transfert ne peut être assurée, ou s'il y est invité par l'autorité de contrôle compétente. Dans ce cas, l'exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel en vertu des présentes clauses. Si le contrat implique plus de deux parties, l'exportateur de données ne peut exercer ce droit de résiliation qu'à l'égard de la partie concernée, à moins que les parties n'en aient convenu autrement. Lorsque le contrat est résilié conformément à la présente clause, les clauses 16(d) et (e) s'appliquent.

(a) L'importateur de données s'engage à informer rapidement l'exportateur de données et, si possible, la personne concernée (si nécessaire avec l'aide de l'exportateur de données) s'il :

(i) reçoit une demande juridiquement contraignante d'un pouvoir publique, y compris des pouvoirs judiciaires, en vertu des lois du pays de destination pour la divulgation des données personnelles transférées conformément aux présentes clauses ; cette notification doit inclure des informations sur les données personnelles demandées, l'autorité requérante, la base juridique de la demande et la réponse fournie ; ou

(ii) prend connaissance de tout accès direct des autorités publiques aux données personnelles transférées en vertu des présentes Clauses conformément aux lois du pays de destination ; cette notification comprend toutes les informations dont dispose l'importateur.

(b) S'il est interdit à l'importateur de données d'informer l'exportateur de données et/ou la personne concernée en vertu des lois du pays de destination, l'importateur de données s'engage à faire ses meilleurs efforts pour obtenir une dérogation à l'interdiction, en vue de communiquer le plus d'informations possible, dans les plus brefs délais. L'importateur de données s'engage à documenter ses meilleurs efforts afin de pouvoir les démontrer à la demande de l'exportateur de données.

(c) Lorsque la législation du pays de destination le permet, l'importateur de données s'engage à fournir à l'exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d'informations pertinentes que possible sur les demandes reçues (en particulier, le nombre de demandes, type de données demandées, autorité(s) requérante(s), si les demandes ont été contestées et le résultat de ces contestations, etc.).

(d) L'importateur de données s'engage à conserver les informations conformément aux paragraphes (a) à (c) pendant la durée du contrat et à les mettre à la disposition de l'autorité de contrôle compétente sur demande.

(e) Les paragraphes (a) à (c) sont sans préjudice de l'obligation de l'importateur de données en vertu de la clause 14(e) et de la clause 16 d'informer rapidement l'exportateur de données lorsqu'il n'est pas en mesure de se conformer à ces clauses.

(a) L'importateur de données s'engage à examiner la légalité de la demande de divulgation, en particulier si elle relève des pouvoirs accordés à l'autorité publique requérante, et à contester la demande si, après une évaluation minutieuse, il conclut qu'il existe des motifs raisonnables de considérer que la demande est illégale en vertu des lois du pays de destination, des obligations applicables en vertu du droit international et des principes de courtoisie internationale. L'importateur de données exerce, dans les mêmes conditions, les voies de recours. Lorsqu'il conteste une demande, l'importateur de données demande des mesures provisoires en vue de suspendre les effets de la demande jusqu'à ce que le pouvoir judiciaire compétent ait statué sur le fond. Il ne divulguera pas les données personnelles demandées jusqu'à ce qu'il y soit contraint en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations de l'importateur de données en vertu de la clause 14(e).

(b) L'importateur de données accepte de documenter son évaluation juridique et toute contestation de la demande de divulgation et, dans la mesure permise par les lois du pays de destination, de mettre la documentation à la disposition de l'exportateur de données. Il la met également à la disposition de l'autorité de contrôle compétente sur demande.

(c) L'importateur de données s'engage à fournir le minimum d'informations autorisées lorsqu'il répond à une demande de divulgation, sur la base d'une interprétation raisonnable de la demande.

a) L'importateur de données doit informer dans les meilleurs délais l'exportateur de données s'il n'est pas en mesure de se conformer aux présentes clauses, pour quelque raison que ce soit. 

(b) Au cas où l'importateur de données agirait en violation de ces clauses ou serait dans l'incapacité de se conformer aux présentes clauses, l'exporteur de données devra suspendre le transfert des données personnelles à l'importateur de données jusqu'à ce que ce dernier adhère à nouveau aux clauses de conformité ou jusqu'à la résiliation effective du contrat. Cette disposition est sans préjudice des dispositions de la clause 14(f).

(c) L'exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement des données personnelles en vertu des présentes clauses, lorsque :

(i) l'exportateur de données a suspendu le transfert de données à caractère personnel à l'importateur de données conformément au paragraphe b) et le respect des présentes clauses n'est pas rétabli dans un délai raisonnable et, en tout état de cause, dans le mois qui suit la suspension ;

(ii) l'importateur de données est en violation substantielle ou persistante des présentes clauses ; ou

(iii) l'importateur de données ne se conforme pas à une décision contraignante d'un tribunal ou d'une autorité de contrôle compétente concernant ses obligations en vertu des présentes clauses.

Dans ces cas, il devra informer l'autorité de contrôle compétente d'un tel manquement. Lorsque le contrat implique plus de deux parties, l'exportateur de données ne peut exercer ce droit de résiliation qu'à l'égard de la partie concernée, à moins que les parties n'en aient convenu autrement.

(d) les données personnelles qui ont été transférées avant la résiliation du contrat en vertu du paragraphe (c) doivent, selon la préférence de l'exportateur de données, être renvoyées à l'exportateur de données ou supprimées dans leur intégralité. La même disposition s'applique à toute copie de données. L'importateur de données devra fournir la preuve de la suppression des données à l'exportateur de données. Dans l'attente de la suppression ou du renvoi des données, l'importateur de données devra continuer à veiller au respect des présentes clauses. Au cas où l'importateur de données est soumis à des lois locales interdisant le renvoi ou la suppression des données personnelles transférées, l'importateur de données garantit qu'il continuera à veiller au respect des présentes clauses et n'exploitera les données qu'en accord avec les restrictions et les exigences de la loi locale.

(e) Chaque partie peut révoquer son accord d'être lié par les présentes clauses lorsque (i) la Commission européenne adopte une décision en vertu de l'article 45, paragraphe 3, du règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auquel les présentes clauses s'appliquent ; ou (ii) le Règlement (UE) 2016/679 s'intègre au cadre juridique du pays vers lequel les données personnelles sont transférées. Ceci est sans préjudice des autres obligations s'appliquant au traitement en question en vertu du règlement (UE) 2016/679.

Les présentes clauses sont régies par la loi d'un des États membre de l'UE, à condition que cette loi permette les droits du tiers/tierce partie bénéficiaire. Les parties conviennent que c'est la loi des Pays-Bas qui s'applique.

(a) Tout litige découlant des présentes clauses sera résolu par les tribunaux d'un État membre de l'UE.

(b) Les parties acceptent que ce soient les tribunaux des Pays-Bas.

(c) Une personne concernée peut également intenter un procès contre l'exportateur de données et/ou l'importateur de données devant les tribunaux de l'État membre dans lequel elle a sa résidence habituelle.

(d) Les parties acceptent de se soumettre à la compétence de ces tribunaux.

Pour les informations dans les annexes I et II, veuillez vous référer aux annexes 1 et 2 de l'Accord du partage des données.