REMARQUE : NOUS AVONS PUBLIÉ LES CONDITIONS CI-DESSOUS EN RAPPORT AVEC LES NOUVELLES CLAUSES CONTRACTUELLES TYPES APPROUVÉES PAR LA COMMISSION EUROPÉENNE, AYANT EFFET LE 27 SEPTEMBRE 2021.

(a)  L'objectif des présentes clauses contractuelles types est de s'assurer que les exigences au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données) (1) pour le transfert des données personnelles à un pays tiers.

(b) les parties :

(i)   la ou les personne(s) physique(s) ou juridique(s), la ou les autorité(s) publique(s) ou tout autre organisme (ci-après "entité(s)") transférant les données personnelles, comme énumérés dans l'annexe I.A (ci-après chaque "exportateur de données"), et

(ii) la ou les entité(s) située(s) dans un pays tiers recevant les données personnelles de l'exportateur de données, directement ou indirectement via une autre entité également partie dans les présentes clauses, comme énumérés dans l'annexe I.A (ci-après chaque "importateur de données").

ont accepté les présentes clauses contractuelles types (ci-après les "Clauses").

(c)  Les présentes clauses s'appliquent au transfert des données personnelles comme spécifié dans l'annexe I.B.

(d) L'appendice aux présentes clauses contenant les annexes qui y sont mentionnées fait partie intégrante des présentes clauses.

(a)  Les présentes clauses établissent des dispositifs de protection appropriés, y compris les droits opposables d'une personne concernée et des recours juridiques effectifs, conformément à l'article 46(1) et à l'article 46(2)(c) du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données du responsable du traitement de données au sous-traitant et/ou du sous-traitant au sous-traitant, les clauses contractuelles types conformément à l'article 28(7) du règlement (UE) 2016/679, à condition que les clauses ne soient pas modifiées, sauf pour sélectionner le(s) module(s) approprié(s) ou ajouter ou mettre à jour les informations dans l'annexe. Cela n'empêche pas les parties d'inclure les clauses contractuelles types énoncées dans les présentes clauses dans un contrat plus large et/ou d'ajouter d'autres clauses ou dispositifs de protection supplémentaires, à condition qu'ils n'entrent pas en contradiction, directe ou indirecte, avec les présentes clauses ou compromettent les libertés et les droits fondamentaux des personnes concernées.

(b) les présentes clauses sont sans préjudice des obligations auxquelles l'exportateur de données est soumis en vertu du règlement (UE) 2016/679.

(a)  Les personnes concernées peuvent invoquer et faire respecter les présentes clauses, en tant que bénéficiaires tiers, à l'exportateur de données et/ou l'importateur de données, sauf dans les cas suivants :

(i)  Clause 1, Clause 2, Clause 3, Clause 6, Clause 7 ;

(ii) Clause 8.1(b), 8.9(a), (c), (d) et (e) ;

(iii) Clause 9 : clause 9(a), (c), (d) et (e) ;

(iv) Clause 12 : clause 12(a), (d) et (f) ;

(v) Clause 13 ;

(vi) Clause 15.1(c), (d) et (e) ;

(vii) Clause 16(e) ;

(viii) Clause 18 : clause 18(a) et (b) ;

(b) Le paragraphe (a) est sans préjudice des droits des personnes concernées en vertu du règlement (UE) 2016/679.

(a)  Lorsque les présentes clauses utilisent des conditions définies dans le règlement (UE) 2016/679, les présentes conditions ont la même signification que dans le présent règlement.

(b) Les présentes clauses sont lues et interprétées au regard des dispositions du règlement (UE) 2016/679.

(c)  Les présentes clauses ne peuvent pas être interprétées d'une manière contraire aux droits et obligations prévus dans le règlement (UE) 2016/679.

En cas de contradiction entre les présentes clauses et les dispositions des accords connexes entre les parties, qui existent au moment où les présentes clauses sont acceptées ou conclues ultérieurement, les présentes clauses prévaudront.

Les détails concernant le(s) transfert(s) et, en particulier, les catégories des données personnelles qui sont transférées et la ou les objectif(s) pour lesquelles elles sont transférées, sont spécifiés dans l'annexe I.B.

(a)  Une entité qui n'est pas une partie des présentes clauses peut, avec l'accord des parties, accéder aux présentes clauses à tout moment, soit comme exportateur de données, soit comme importateur de données, en remplissant l'appendice et en signant l'annexe I.A.

(b) Une fois qu'elle a rempli l'appendice et signé l'annexe I.A, l'entité ayant l'accès deviendra une partie des présentes clauses et aura les droits et obligations d'un exportateur de données ou d'un importateur de données conformément à sa désignation dans l'annexe I.A.

(c)  L'entité ayant l'accès n'aura aucun droit ou aucune obligation découlant des présentes clauses avant d'être devenue une partie.

L'exportateur de données garantit qu'il a fourni des efforts raisonnables pour s'assurer que l'importateur de données peut, en mettant en œuvre des mesures techniques et organisationnelles appropriées, satisfaire ses obligations en vertu des présentes clauses.

(a)  L'importateur de données ne doit traiter les données personnelles que sur la base des instructions documentées de l'exportateur de données. L'exportateur de données peut donner de telles instructions pendant la durée du contrat.

(b) L'importateur de données devra immédiatement informer l'exportateur de données lorsqu'il est dans l'incapacité de suivre lesdites instructions.

L'importateur de données ne devra traiter les données personnelles que pour les finalités spécifiques de transfert, conformément aux dispositions stipulées en Annexe I.B, à moins d'avoir reçu d'autres instructions de l'exportateur de données.

Sur demande, l'exportateur de données devra faire des copies des présentes clauses, y compris l'appendice rempli par les parties, lequel est mis à la disposition de la personne concernée gratuitement. Dans la mesure nécessaire pour protéger les secrets commerciaux ou toute autre information confidentielle, y compris les mesures décrites en Annexe II et dans les données personnelles, l'importateur de données peut rédiger une partie des textes de l'appendice des présentes clauses avant de partager une copie ; toutefois, il devra fournir un résumé pratique lorsque la personne concernée pourrait, sans cela, ne pas être capable de comprendre son contenu ni exercer ses droits. Sur demande, les parties doivent fournir à la personne concernée les raisons des rectifications, si possible sans révéler les informations éditées.  La présente clause est sans préjudice des obligations de l'exportateur de données en vertu des Articles 13 et 14 du Règlement (UE) 2016/679.

Lorsque l'importateur de données prend conscience de l'inexactitude des données personnelles reçues, de leur obsolescence, il devra en informer l'exportateur de données aussi tôt que possible. Dans un tel cas, l'importateur de données devra coopérer avec l'exportateur de données pour effacer ou corriger les données.

Le traitement des données par l'importateur de données n'a lieu que pendant la durée spécifiée en Annexe I.B. Après la fin de la fourniture des services de traitement, l'importateur de données devra, conformément au choix de l'exportateur de données, supprimer toutes les données personnelles traitées au nom de l'exportateur de données et fournir une preuve d'effectivité de cette suppression à l'exportateur de données ; en outre, il peut aussi renvoyer à l'exportateur de données toutes les données personnelles traitées en son nom et supprimer les copies existantes. Dans l'attente de la suppression ou du renvoi des données, l'importateur de données devra continuer à veiller au respect des présentes clauses. Au cas où l'importateur de données est soumis à des lois locales interdisant le renvoi ou la suppression des données personnelles, l'importateur de données garantit qu'il continuera à veiller au respect des présentes clauses et ne les exploitera qu'en accord avec les restrictions et les exigences de la loi locale. Cette disposition est sans préjudice de la clause 14, en particulier la disposition invitant l'importateur de données à notifier l'exportateur de données tout au long de la durée du contrat en vertu de la clause 14(e), s'il y a matière à coire qu'il se soumet ou s'est soumis aux lois ou pratiques non conforme aux exigences de la clause 14(a).

(a) L'importateur de données et l'exportateur de données (lors de la transmission), doivent mettre en œuvre des mesures techniques et organisationnelles pour assurer la sécurité des données, y compris la protection contre une violation de la sécurité conduisant à la destruction accidentelle ou illégale, à la perte, à la modification, à la divulgation ou à l'accès non autorisé aux données (ci-après « violation de données personnelles »). Pour l'évaluation du niveau de sécurité approprié, les parties doivent tenir compte de l'état de l'art, des coûts de mise en œuvre, de la nature, de la portée, du contexte, de la finalité du traitement et des risques impliqués dans le traitement pour des personnes concernées. Les parties doivent particulièrement envisager le recours au cryptage ou à la pseudonymisation, y compris lors de la transmission, lorsque la finalité du traitement peut être atteinte d'une telle manière. En cas de pseudonymisation, les informations supplémentaires relatives à l'attribution des données personnelles à une personne concernée spécifique doit, si possible, rester sous le contrôle exclusif de l'exportateur de données. En respectant ses obligations en vertu du présent paragraphe, l'importateur de données doit au moins mettre en œuvre les mesures techniques et organisationnelles spécifiées dans l'annexe II. L'importateur de données doit effectuer des vérifications régulières pour s'assurer que les présentes mesures continuent de fournir un niveau de sécurité adéquat.

(b) L'importateur de données ne doit accorder l'accès aux données personnelles aux membres de son personnel que dans la stricte mesure nécessaire pour la mise en œuvre, la gestion et le suivi du contrat. Il s'assure que les personnes autorisées à traiter les données personnelles sont engagés à respecter la confidentialité ou sous une obligation légale de confidentialité adéquate.

(c)  En cas de violation des données personnelles concernant les données personnelles traitées par l'importateur de données en vertu des présentes clauses, l'importateur de données devra prendre les mesures appropriées pour remédier à la violation de données, y compris les mesures pour atténuer ses effets négatifs.  L'importateur de données devra également notifier l'exportateur de données aussi tôt que possible dès qu'il est au courant de la violation. Une telle notification devra contenir les détails du point de contact susceptible de fournir plus d'informations, une description de la nature de la violation (y compris, si possible, les catégories, le nombre approximatif de personnes concernées et le volume de données personnelles touchées), ses conséquences probables et les mesures prises ou proposées pour remédier à la violation, y compris, s'il y a lieu, les mesures pour atténuer ses effets négatifs éventuels. Dans la mesure où il n'est pas possible de fournir toutes les informations en même temps, la notification initiale devra contenir les informations alors disponibles et d'autres informations seront fournies ultérieurement, à mesure qu'elles seront disponibles, et ce sans délai.

(d) L'importateur de données devra coopérer avec l'exportateur de données et l'assister pour lui permettre de se conformer à ses obligations stipulées dans le Règlement (UE) 2016/679, particulièrement pour notifier l'autorité de contrôle compétente et les personnes concernées touchées, en tenant compte de la nature du traitement et des informations à la disposition de l'importateur de données.

Lorsque le transfert implique des données personnelles révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance à un syndicat, les données génétiques dans le but d'indentifier une personne physique, les données relatives à la santé, à la vie sexuelle ou à l'orientation sexuelle d'une personne, les données relatives aux condamnations pénales ou aux infractions (ci-après « données sensibles »), l'importateur de données devra appliquer les restrictions spécifiques ou les dispositifs de sécurité supplémentaires décrits en Annexe I.B.

L'importateur de données ne devra divulguer les données personnelles à un tiers que sur la base d'instructions documentées reçues de l'exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l'Union européenne (4) (dans le même pays que l'importateur de données ou dans un autre pays tiers, ci-après « transfert ultérieur »), que si le tiers est lié aux présentes clauses ou accepte de l'être, sous le module approprié, ou lorsque :

(a)  le transfert ultérieur concerne un pays qui bénéficie d'une décision d'adéquation en vertu de l'article 45 du Règlement (UE) 2016/679 relatif au transfert ultérieur ;

(b) le tiers assure par ailleurs des garanties appropriées conformément aux articles 46 ou 47 du Règlement (UE) 2016/679 en ce qui concerne le traitement en question ;

(c)  le transfert ultérieur est nécessaire pour la constatation, l'exercice ou la défense d'un droit légal, dans le cadre d'une procédure administrative, réglementaire ou judiciaire spécifique ; ou

(d) le transfert ultérieur est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique.

Tout transfert ultérieur est soumis au respect par l'importateur de données de tous les autres dispositifs de protection prévus par les présentes clauses, en particulier la limitation de la finalité.

(a)  L'importateur de données devra traiter rapidement et convenable les demandes de l'exportateur de données relatives au traitement en vertu des présentes clauses.

(b) Les parties devront être en mesure de démontrer leur respect des présentes clauses. En particulier, l'importateur de données devra conserver la documentation appropriée au traitement des activités menées au nom de l'exportateur de données.

(c)  L'importateur de données devra mettre à la disposition de l'exportateur de données toutes les informations nécessaires pour le respect effectif des obligations prévues dans les présentes clauses et à la demande de l'exportateur de données, autoriser et contribuer aux audits des activités de traitement stipulées par les présentes clauses, à intervalles raisonnables ou lorsqu'il y a des indications de non-conformité. En prenant des décisions de révision ou d'audit, l'exportateur de données peut tenir compte des certifications pertinentes à la disposition de l'importateur de données.

(d) L'exportateur de données peut choisir de mener l'audit par lui-même ou mandater un auditeur indépendant. Les audits peuvent inclure des inspections dans les locaux ou les installations physiques de l'importateur de données et devront, le cas échéant, être effectués avec un préavis raisonnable.

(e)  Sur demande, les parties devront mettre les informations visées au paragraphe (b) et (c), y compris les résultats d'un audit, à la disposition des autorités de contrôle compétentes.

(a)  L'importateur de données dispose de l'autorisation générale de l'exportateur de données pour le recrutement d'un ou des sous-traitants ultérieurs à partir d'une liste convenue. L'importateur de données devra spécifiquement informer l'exportateur de données par écrit de tout changement sur cette liste par ajout ou par remplacement de sous-traitants ultérieurs au moins 14 jours à l'avance, donnant ainsi à l'exportateur de données assez de temps pour objecter de tels changements avant le recrutement de sous-traitants ultérieurs. L'importateur de données devra fournir à l'exportateur de données les informations nécessaires pour permettre à l'exportateur de données d'exercer son droit d'opposition.

(b) Lorsque l'importateur de données recrute un sous-traitant ultérieur pour mener des activités de traitement spécifiques (au nom de l'exportateur de données), il devra le faire par un contrat écrit qui prévoit, en substance, les mêmes obligations de protection de données que celles auxquelles est soumis l'importateur de données en vertu des présentes clauses, y inclus les dispositions relatives aux droits du tiers bénéficiaire pour les personnes concernées. (8) Les parties acceptent qu'en se conformant à la présente clause, l'importateur de données s'acquitte de ses obligations en vertu de la clause 8.8. L'importateur de données devra s'assurer que le sous-traitant ultérieur se conforme aux obligations auxquelles l'importateur de données est soumis en vertu des présentes clauses.

(c)  L'importateur de données devra fournir, à la demande de l'exportateur de données, une copie d'un tel contrat du sous-traitant ultérieur ainsi que tout amendement subséquent à l'exportateur de données. Dans la mesure nécessaire pour protéger les secrets commerciaux ou d'autres informations, y compris les données personnelles, l'importateur de données peut éditer le projet de contrat avant d'en partager une copie.

(d) L'importateur de données sera entièrement responsable auprès de l'exportateur de données de l'exécution des obligations du sous-traitant ultérieur en vertu des dispositions de son contrat avec l'importateur de données. L'importateur de données devra notifier l'exportateur de données de tout manquement du sous-traitant ultérieur à s'acquitter de ses obligations en vertu du présent contrat.

(e)  L'importateur de données devra accepter une clause du tiers bénéficiaire avec le sous-traitant ultérieur par laquelle – en cas de disparition effective de l'importateur de données, de sa cessation d'exister en droit ou de son insolvabilité constatée – l'importateur de données devra avoir le droit de résilier le contrat du sous-traitant ultérieur et d'exiger de lui la suppression ou le renvoi des données personnelles.

(a)  L'importateur de données devra notifier rapidement l'exportateur de données de toute demande reçue d'une personne concernée. Il ne devra pas répondre à une telle requête, à moins d'avoir reçu l'autorisation de l'exportateur de données de le faire.

(b) L'importateur de données devra assister l'exportateur de données à s'acquitter de ses obligations de répondre aux demandes des personnes concernées dans le cadre de l'exercice de leurs droits en vertu du Règlement (UE) 2016/679. À cet égard, les parties devront énoncer à l'Annexe II les mesures techniques et organisationnelles appropriées, en tenant compte de la nature du traitement, par lesquelles l'assistance sera fournie, ainsi que la portée et l'étendue de l'assistance sollicitée.

(c)  En s'acquittant de ses obligations en vertu des paragraphes (a) et (b), l'importateur de données devra se conformer aux instructions de l'exportateur de données.

(a) L'importateur de données devra informer les personnes concernées de manière transparente et facile à comprendre, par notification individuelle ou sur son site Web, d'un point de contact autorisé à traiter les plaintes. Il devra traiter rapidement les plaintes qu'il recevra d'une personne concernée.

(b) En cas de litige entre une personne concernée et l'une des parties en ce qui concerne le respect des présentes clauses, cette partie devra faire de son mieux pour résoudre la question à l'amiable dans un délai convenable. Les parties doivent se tenir informées de ces litiges et, le cas échéant, coopérer pour les résoudre.

(c) Lorsque la personne concernée invoque le droit du tiers bénéficiaire en vertu de la clause 3, l'importateur de données devra accepter la décision de la personne concernée de :

(i)     porter plainte auprès de l'autorité de contrôle dans un État membre de sa résidence ou son lieu de travail habituel, ou auprès de l'autorité de contrôle compétente en vertu de la clause 13 ;

(ii)     renvoyer le litige auprès des tribunaux compétents en vertu de la clause 18.

(d) Les parties acceptent que la personne concernée peut être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions énoncées dans l'Article 80(1) du Règlement (UE) 2016/679.

(e)  L'importateur de données devra se conformer à une décision qui est contraignante en vertu de la loi de l'État membre ou de l'UE en vigueur.

(f)  L'importateur de données accepte que le choix fait par la personne concernée ne portera pas atteinte à ses droits de recours et de procédure conformément aux lois en vigueur. 

(a)  Chaque partie sera responsable envers l'/les autre(s) partie(s) de tout dommage qu'elle cause à/aux autre(s) partie(s) en violation des présentes clauses.

(b) L'importateur de données sera responsable envers la personne concernée, et la personne concernée aura le droit de recevoir une compensation, pour tout préjudice matériel ou non matériel que l'importateur de données ou son sous-traitant ultérieur pourra causer à la personne concernée en violation des droits du tiers bénéficiaire tels que stipulés dans les présentes clauses.

(c)  Nonobstant le paragraphe (b), l'exportateur de données sera responsable envers la personne concernée, et la personne concernée aura le droit de recevoir une compensation, pour tout préjudice matériel ou non matériel que l'exportateur de données ou l'importateur de données (ou son sous-traitant ultérieur) pourra causer à la personne concernée en violation des droits du tiers bénéficiaire tels que stipulés dans les présentes clauses. Cette disposition est sans préjudice de la responsabilité de l'exportateur de données et, lorsque l'exportateur de données est un sous-traitant agissant au nom d'un responsable du traitement, de la responsabilité du responsable du traitement en vertu du Règlement (UE) 2016/679 ou du Règlement (UE) 2018/1725, le cas échéant.

(d) Les parties acceptent que lorsque l'exportateur de données est tenu responsable en vertu du paragraphe (c) pour les dommages causés par l'importateur de données (ou son sous-traitant ultérieur), il aura le droit de réclamer de l'importateur de données une partie de la compensation correspondant à la responsabilité de l'importateur des données dans le dommage.

(e)  Lorsque plus d'une partie est responsable d'un dommage causé à la personne concernée à la suite d'une violation des présentes clauses, toutes les parties responsables seront conjointement et solidairement responsables, et la personne concernée a le droit d'intenter une action en justice contre l'une de ces parties.

(f)  Les parties acceptent que si une partie est tenue responsable en vertu du paragraphe (e), elle aura le droit de réclamer de l'autre partie ou des autres parties, la proportion de la compensation correspondant à la responsabilité de cette/ces partie(s) dans la survenue du dommage.

(g) L'importateur de données ne peut pas invoquer la conduite d'un sous-traitant ultérieur pour esquiver sa propre responsabilité.

(a) Les parties acceptent que l'autorité de contrôle qui veille à ce que l'exportateur de données respecte le Règlement (UE) 2016/679 relatif au transfert de données est l'autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens), qui agira comme autorité de contrôle compétente.

(b) L'importateur de données accepte de se soumettre à la compétence et de coopérer avec l'autorité de contrôle compétente dans les procédures visant à assurer le respect des présentes clauses. En particulier, l'importateur de données accepte de répondre aux demandes, de se soumettre à des audits et de respecter les mesures adoptées par l'autorité de contrôle, y compris les mesures réparatoires et compensatoires. Il devra fournir à l'autorité de contrôle la confirmation écrite que les mesures nécessaires ont été prises.

(a) Les parties garantissent qu'elles n'ont aucune raison de croire que les lois et pratiques du pays tiers de destination applicables au traitement des données personnelles par l'importateur de données, y compris toutes les exigences relatives à la divulgation des données personnelles ou des mesures d'accès établies par les autorités publiques, empêchent celui-ci de remplir ses obligations en vertu des présentes Clauses. Cette disposition repose sur la conviction que les lois et les pratiques qui respectent l'essence des libertés et des droits fondamentaux sans aller au-delà du nécessaire et de ce qui convient à la société démocratique pour préserver l'un des objectifs énoncés dans l'article 23, paragraphe 1 du Règlement (UE) 2016/673, ne sont pas en contradiction avec les présentes clauses.

(b) Les parties déclarent qu'en fournissant la garantie au paragraphe (a) avoir dûment pris compte les éléments suivants :

(i) les circonstances particulières du transfert, y compris la longueur de traitement de la chaîne de traitement, le nombres d'acteurs concernés et les canaux de transmission utilisés ; les transferts prévus, le type de destinataire, l'objectif du traitement, les catégories et le format des données personnelles transférées, le secteur économique dans lequel le transfert est effectué ; le lieu de stockage des données transférées ;

(iii) les lois et pratiques du pays tiers de destination, y compris celles exigeant la divulgation de données aux autorités publiques ou leur accès à celles-ci, lorsqu'elles sont pertinentes, en raison de circonstances spécifiques relatives au transfert, ainsi qu'aux limitations et dispositifs de protection applicables (12) ;

(iii) toute protection contractuelle, technique ou organisationnelle pertinente mise en place afin de compléter les dispositifs de protection en vertu des présentes, y compris les mesures appliquées lors de la transmission et du traitement des données personnelles dans le pays de destination.

(c) L'importateur de données garantit, en vue de procéder à l'évaluation en vertu du paragraphe (b), qu'il a apporté la diligence et les efforts nécessaires pour fournir à l'exportateur de données les informations pertinentes, et accepte de coopérer avec celui-ci afin de veiller au respect des présentes Clauses.

(d) Les parties acceptent de documenter l'évaluation en vertu du paragraphe (b) et de la mettre à la disposition de l'autorité de contrôle sur requête.

(e) Suite à l'acceptation des présentes Clauses pour la durée du contact, l'importateur de données accepte d'envoyer immédiatement une notification s'il a des raisons de croire qu'il est soumis au respect de lois ou de pratiques ou l'est devenu, étant non conformes aux exigences du paragraphe (a), notamment à la suite d'un changement dans la législation du pays tiers ou d'une mesure (telle qu'une requête en divulgation), indiquant l'application de ces lois dans la pratique non conformes aux exigences du paragraphe (a).

(f) Suite à une notification en vertu du paragraphe (e), ou si l'exportateur de données a par ailleurs raison de croire que l'importateur de données ne peut plus remplir ses obligations, l'exportateur doit immédiatement identifier les mesures appropriées (par exemple, des mesures techniques, organisationnelles afin d'assurer la sécurité et le respect de la confidentialité) que lui ou l'importateur de données doit adopter afin de remédier à la situation. L'exportateur de donnée suspend le transfert de données s'il considère qu'aucune garantie appropriée concernant le transfert ne peut être assurée, ou sur requête de l'autorité de contrôle compétente. En pareil cas, l'exportateur de données a le droit de résilier le contrat, dans la mesure où cela concerne le traitement des données personnelles conformément aux présentes Clauses. Lorsque le contrat implique plus de deux parties, l'exportateur de données ne peut exercer ce droit de résiliation qu'à l'égard de la partie concernée, à moins que les parties n'en aient convenu autrement. Lors de la résiliation du contrat en vertu la présente Clause, les Clauses 16(b) et (e) s'appliquent.

(a)  L'importateur de données s'engage à informer immédiatement l'exportateur de données et, le cas échéant, la personne concernée (si nécessaire avec l'aide de l'exportateur de celui-ci) si :

(i) il reçoit une requête juridiquement contraignante d'une autorité publique, incluant les autorités judiciaires, conformément à la législation du pays de destination concernant la divulgation des données personnelles transférées en vertu des présentes Clauses ; la notification comprend des informations sur les données personnelles requises, le nom de l'autorité requérante, le fondement juridique de la requête ainsi que la réponse fournie ; ou

(ii) il prend connaissance de tout accès direct par les autorités publiques aux données personnelles transférées en vertu des présentes Clause, conformément aux lois du pays de destination ; la notification comprend l'ensemble des informations disponibles pour l'importateur.

(b) l'importateur de données a pour interdiction de notifier l'exportateur de données et/ou personne concernée en vertu de la législation du pays de destination, l'importateur de données s'engage à apporter la diligence et les efforts nécessaires afin d'obtenir une dérogation à l'interdiction en vue de communiquer le plus d'informations possible, dans les plus brefs délais. L'importateur de données s'engage à documenter sa diligence et ses efforts afin de pouvoir les montrer sur requête à l'exportateur de données

(c)  Lorsque cela est permis par la loi du pays de destination, l'importateur de données s'engage à fournir à l'exportateur de données, à intervalles réguliers pendant la durée du Contrat, le plus d'informations pertinentes possible sur réception d'une requête (en particulier, le nombre de requêtes, le type de données requises, les/l'autorité(s) requérante(s), le cas échéant, les contestations des requêtes ainsi que leur issue, etc.).

(d) L'importateur de données s'engage à préserver les informations conformément aux paragraphes (a) à (c) pendant la durée du Contrat et à les mettre à la disposition de l'autorité de contrôle sur requête.

(e)  Les paragraphes (a) à (c) sont sans préjudice de l'obligation de l'importateur de données, en vertu des Clauses 14(e) et 16, d'informer immédiatement l'exportateur de données lorsqu'il est dans l'incapacité de se conformer aux présentes Clauses.

(a)  L'importateur de données s'engage à examiner la légalité de la requête en divulgation, en particulier si elle relève des pouvoirs accordés à l'autorité publique requérante et remet en cause la requête si, après une évaluation minutieuse, il conclut qu'il existe des motifs raisonnables de considérer que la requête est illégale en vertu des lois du pays de destination, des obligations applicables obligations conformément au droit international et des principes du comité international. L'importateur de données doit, dans les mêmes conditions, poursuivre des possibilités d'interjeter appel. Lorsqu'il conteste une demande, l'importateur de données demande des mesures provisoires en vue de suspendre les effets de la demande jusqu'à ce que le pouvoir judiciaire compétent ait statué sur le fond. Il ne divulguera pas données personnelles requises jusqu'à ce qu'il soit tenu de la faire en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations de l'importateur de données prévues par la Clause 14(e).

(b) L'importateur de données s'engage à documenter son évaluation légale et toute contestation de la requête en divulgation et, dans la mesure de ce qui est permis par la législation du pays de destination, à mettre la documentation à la disposition de l'exportateur de données. Il la met également à la disposition de l'autorité de contrôle sur requête.

(c) L'importateur de données s'engage à fournir le minimum d'informations autorisées lorsqu'il répond à une requête en divulgation, sur le fondement d'une interprétation raisonnable de celle-ci.

(a)  L'importateur de données doit promptement informer l'exportateur lorsqu'il est dans l'incapacité de se conformer aux présentes clauses, pour quelque raison que ce soit.

(b) Au cas où l'importateur de données agirait en violation de ces clauses ou serait dans l'incapacité de se conformer aux présentes clauses, l'exporteur de données devra suspendre le transfert des données personnelles à l'importateur de données jusqu'à ce que ce dernier adhère à nouveau aux clauses de conformité ou jusqu'à la résiliation effective du contrat. Cette disposition est sans préjudice de la Clause 14(f).

(c)  L'exportateur de données doit se charger de résilier le contrat, dans la mesure où cela concerne le traitement des données personnelles en vertu des présentes clauses, dans lesquelles :

(i) l'exportateur de données a suspendu le transfert des données personnelles à l'importateur de données en vertu du paragraphe (b) et le respect des présentes clauses n'est pas réaffirmé ni dans un délai raisonnable ni à aucun moment pendant un mois de suspension ;

(ii) l'importateur de données a violé de manière substantielle ou persistante les présentes clauses ; ou

(iii) l'importateur de données a violé une décision contraignante d'une juridiction compétente ou d'une autorité de contrôle concernant ses obligations en vertu des présentes clauses.

Dans ces cas, il devra informer l'autorité de contrôle compétente d'un tel manquement. Lorsque le contrat implique plus de deux parties, l'exportateur de données ne peut exercer ce droit de résiliation qu'à l'égard de la partie concernée, à moins que les parties n'en aient convenu autrement.

(d) les données personnelles qui ont été transférées avant la résiliation du contrat en vertu du paragraphe (c) doivent, selon la préférence de l'exportateur de données, être renvoyées à l'exportateur de données ou supprimées dans leur intégralité. Il en va de même pour toute copie des données. L’importateur de données confirme la suppression des données à l’exportateur de données. Dans l'attente de la suppression ou du renvoi des données, l'importateur de données devra continuer à veiller au respect des présentes clauses. Au cas où l'importateur de données est soumis à des lois locales interdisant le renvoi ou la suppression des données personnelles transférées, l'importateur de données garantit qu'il continuera à veiller au respect des présentes clauses et n'exploitera les données qu'en accord avec les restrictions et les exigences de la loi locale.

(e)  Chacune des parties peut révoquer son acceptation d'être liée par les présentes clauses dans lesquelles (i) la Commission européenne adopte une décision en vertu de l'article 45(3) du Règlement (UE) 2016/679 relatif au transfert des données personnelles auxquelles les présentes clauses s'appliquent ; ou (ii) le Règlement (UE) 2016/679 s'intègre au cadre juridique du pays vers lequel les données personnelles sont transférées. Cette disposition est sans préjudice des autres obligations qui s'appliquent au traitement concerné en vertu du Règlement (UE) 2016/679.

Les présentes clauses sont régies par les lois de l'État membre de l'UE dans lequel l'exportateur de données est établi. Lorsqu'une telle loi ne tient pas compte des droits du tiers bénéficiaire, ils doivent être gouvernés par les lois d'un autre État membre de l'UE qui tient compte les droits du tiers bénéficiaire. Les parties acceptent de se soumettre à la loi des Pays-Bas.

(a)  Tout litige découlant des présentes clauses sera résolu par les tribunaux d'un pays membre de l'UE.

(b) Les parties acceptent de se soumettre aux tribunaux des Pays-Bas.

(c)  Une personne concernée peut également engager des poursuites judiciaires à l'encontre de l'exportateur de données et/ou de l'importateur de données devant les tribunaux d'un État membre dans lequel elle a une résidence habituelle.

(d) Les parties acceptent de se soumettre à la compétence de ces tribunaux

Pour les informations dans les annexes I et II, veuillez vous référer aux annexes 1 et 2 de l'Accord du traitement des données.