REMARQUE : NOUS AVONS PUBLIÉ LES CONDITIONS CI-DESSOUS EN RAPPORT AVEC LES NOUVELLES CLAUSES CONTRACTUELLES TYPES APPROUVÉES PAR LA COMMISSION EUROPÉENNE, EFFECTIF LE 27 SEPTEMBRE 2021.

Les présentes clauses contractuelles types sont conclues entre l'exportateur de données et l'importateur de données (chacun étant une Partie ; ensemble, les Parties) identifiés dans l'annexe 1 de l'accord de partage des données. Accord de partage de données.

Aux fins des clauses :

(a) "données personnelles", "catégories particulières de données/données sensibles", "traitement/traitement", "responsable du traitement", "sous-traitant", "personne concernée" et "autorité/autorité de contrôle" ont la même signification que dans la directive 95/46/CE du 24 octobre 1995 (où "l'autorité" désigne l'autorité compétente en matière de protection des données sur le territoire où l'exportateur de données est établi) ;

(b) le terme exportateur de données désigne le responsable du traitement qui transfère les données personnelles ;

(c) l'importateur de données : le responsable du traitement qui accepte de recevoir de l'exportateur de données des données à caractère personnel en vue de leur traitement ultérieur conformément aux termes des présentes clauses et qui n'est pas soumis au système d'un pays tiers assurant une protection adéquate ;

(d) clauses : les présentes clauses contractuelles, qui constituent un document autonome n'incorporant pas les entreprises commerciales établies par les parties dans le cadre d'accords commerciaux distincts.

Les détails du transfert (ainsi que les données personnelles couvertes) sont spécifiés à l'annexe B, qui fait partie intégrante des clauses.

I.  Obligations de l'exportateur de données

L'exportateur de données garantit et s'engage à ce que :

(a) les données personnelles ont été collectées, traitées et transférées conformément aux lois applicables à l'exportateur de données.

(b) Il a déployé des efforts raisonnables pour déterminer que l'importateur de données est en mesure de satisfaire à ses obligations légales en vertu des présentes clauses.

(c) Il fournira à l'importateur de données, lorsqu'il en fera la demande, des copies des lois pertinentes sur la protection des données ou des références à celles-ci (le cas échéant, et à l'exclusion des conseils juridiques) du pays dans lequel l'exportateur de données est établi.

(d) Il répondra aux demandes de renseignements des personnes concernées et de l'autorité concernant le traitement des données personnelles par l'importateur de données, à moins que les parties n'aient convenu que l'importateur de données y répondra, auquel cas l'exportateur de données répondra toujours dans la mesure du possible et avec les informations dont il dispose raisonnablement si l'importateur de données ne veut pas ou ne peut pas répondre. Les réponses seront données dans un délai raisonnable.

(e) Il mettra, sur demande, une copie des clauses à la disposition des personnes concernées qui sont des tiers bénéficiaires en vertu de la clause III, à moins que les clauses ne contiennent des informations confidentielles, auquel cas il pourra retirer ces informations. Lorsque des informations sont retirées, l'exportateur de données informe par écrit les personnes concernées du motif du retrait et de leur droit d'attirer l'attention de l'autorité sur ce retrait. Toutefois, l'exportateur de données doit se conformer à une décision du pouvoir concernant l'accès des personnes concernées au texte intégral des clauses, pour autant que les personnes concernées aient accepté de respecter la confidentialité des informations confidentielles retirées. L'exportateur de données fournit également une copie des clauses à l'autorité lorsque cela est requis.

L'importateur de données garantit et s'engage à ce que :

(a) Il mettra en place des mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la divulgation ou l'accès non autorisés, et qui offrent un niveau de sécurité adapté au risque représenté par le traitement et à la nature des données à protéger.

(b) Il mettra en place des procédures afin que tout tiers qu'il autorise à avoir accès aux données personnelles, y compris les sous-traitants, respecte et maintienne la confidentialité et la sécurité des données personnelle. Toute personne agissant sous l'autorité de l'importateur de données, y compris un sous-traitant, est tenue de traiter les données à caractère personnel uniquement sur instruction de l'importateur de données Cette disposition ne s'applique pas aux personnes autorisées ou tenues par la loi ou la réglementation d'avoir accès aux données personnelles.

(c) Il n'a aucune raison de croire, au moment de la conclusion des présentes clauses, à l'existence de lois locales qui auraient un effet négatif important sur les garanties prévues par les présentes clauses, et il informera l'exportateur de données (qui transmettra cette notification à l'autorité si nécessaire) s'il a connaissance de telles lois.

(d) Il traitera les données personnelles aux fins décrites à l'annexe B, et a le pouvoir légal de donner les garanties et de respecter les engagements énoncés dans les présentes clauses.

(e) Il identifiera auprès de l'exportateur de données un point de contact au sein de son organisation autorisé à répondre aux demandes de renseignements concernant le traitement des données à caractère personnel, et coopérera de bonne foi avec l'exportateur de données, la personne concernée et l'autorité concernant toutes ces demandes dans un délai raisonnable. En cas de dissolution légale de l'exportateur de données, ou si les parties en ont convenu, l'importateur de données assumera la responsabilité du respect des dispositions de la clause I(e).

(f) À la demande de l'exportateur de données, il fournira à ce dernier la preuve qu'il dispose de ressources financières suffisantes pour s'acquitter de ses responsabilités en vertu de la clause III (ce qui peut inclure une couverture d'assurance).

(g) Sur demande raisonnable de l'exportateur de données, il soumettra ses installations de traitement des données, ses fichiers de données et la documentation nécessaire au traitement à un examen, un audit et/ou une certification par l'exportateur de données (ou tout agent d'inspection ou auditeur indépendant ou impartial, choisi par l'exportateur de données et auquel l'importateur de données ne peut raisonnablement s'opposer) afin de vérifier la conformité aux garanties et aux engagements prévus dans les présentes clauses, moyennant un préavis raisonnable et pendant les heures de travail habituelles. La demande sera soumise à tout consentement ou approbation nécessaire de la part d'une autorité de réglementation ou de contrôle dans le pays de l'importateur de données, consentement ou approbation que l'importateur de données s'efforcera d'obtenir en temps utile.

(h) Il traitera les données à caractère personnel, à son choix, conformément aux principes de traitement des données énoncés à l'annexe A.

(i) Il ne divulguera pas ou ne transférera pas de données personnelles à un tiers responsable du traitement des données situé en dehors de l'Espace économique européen EEA (EEA) à moins qu'il ne notifie l'exportateur de données personnelles du transfert et

(i) le tiers responsable du traitement des données personnelles conformément à une décision de la Commission constatant qu'un pays tiers fournit une protection adéquate, ou

(ii) le contrôleur de données tiers devient signataire des présentes clauses ou d'un autre accord de transfert de données approuvé par une autorité compétente de l'UE, ou

(iii) les personnes concernées ont eu la possibilité de s'y opposer, après avoir été informées des finalités du transfert, des catégories de destinataires et du fait que les pays vers lesquels les données sont exportées peuvent avoir des normes différentes en matière de protection des données ; ou

(iv) en ce qui concerne les transferts ultérieurs de données sensibles, les personnes concernées ont donné leur consentement sans ambiguïté au transfert ultérieur.

(a) Chaque partie est responsable envers les autres parties des dommages qu'elle cause par toute violation des présentes clauses. La responsabilité entre les parties est limitée aux dommages réels subis. Les dommages-intérêts punitifs (c'est-à-dire les dommages destinés à punir une partie pour sa conduite scandaleuse) sont spécifiquement exclus. Chaque partie est responsable envers les personnes concernées des dommages-intérêts qu'elle cause par toute violation des droits des tiers en vertu des présentes clauses. Cela n'affecte pas la responsabilité de l'exportateur de données en vertu de sa loi sur la protection des données.

(b) Les parties conviennent qu'une personne concernée a le droit de faire valoir, en tant que tiers bénéficiaire, la présente clause et les clauses I b), I d), I e), II a), II c), II d), II e), II h), II i), III a), V, VI(d) et VII contre l'importateur de données ou l'exportateur de données, pour leur manquement respectif à leurs obligations contractuelles, en ce qui concerne ses données personnelles, et accepter la compétence à cette fin du pays d'établissement de l'exportateur de données. En cas d'allégations de violation par l'importateur de données, la personne concernée doit d'abord demander à l'exportateur de données de prendre des mesures appropriées pour faire valoir ses droits à l'encontre de l'importateur de données ; si l'exportateur de données ne prend pas de telles mesures dans un délai raisonnable (qui, dans des circonstances normales, serait d'un mois), la personne concernée peut alors faire valoir ses droits directement à l'encontre de l'importateur de données. Une personne concernée a le droit de poursuivre directement un exportateur de données qui n'a pas fait d'efforts raisonnables pour déterminer que l'importateur de données est en mesure de satisfaire à ses obligations légales en vertu des présentes clauses (il incombe à l'exportateur de données de prouver qu'il a fait des efforts raisonnables).

Les présentes clauses sont régies par la loi du pays dans lequel l'exportateur de données est établi, à l'exception des lois et règlements relatifs au traitement des données personnelles par l'importateur de données en vertu de la clause II (h), qui ne s'appliquent que si l'importateur de données en fait le choix en vertu de cette clause.

(a) En cas de litige ou de réclamation introduite par une personne concernée ou l'autorité concernant le traitement des données à caractère personnel à l'encontre de l'une ou des deux parties, les parties s'informeront mutuellement de ces litiges ou réclamations et coopéreront en vue de les régler à l'amiable en temps utile.

(b) Les parties acceptent de répondre à toute procédure de médiation non contraignante généralement disponible, engagée par une personne concernée ou par l'autorité. Si elles participent à la procédure, les parties peuvent choisir de le faire à distance (par exemple par téléphone ou d'autres moyens électroniques). Les parties conviennent également d'envisager de participer à toute autre procédure d'arbitrage, de médiation ou de règlement des différends élaborée pour les litiges relatifs à la protection des données personnelles.

(c) Chaque partie se conforme à une décision d'un tribunal compétent du pays d'établissement de l'exportateur de données ou de l'autorité qui est définitive et contre laquelle aucun autre recours n'est possible.

(a) Si l'importateur de données ne respecte pas les obligations qui lui incombent en vertu des présentes clauses, l'exportateur de données peut suspendre temporairement le transfert de données à caractère personnel à l'importateur de données jusqu'à ce que la violation soit réparée ou que le contrat soit résilié.

(b) Dans l'éventualité où :

(i) le transfert de données personnelles à l'importateur de données a été temporairement suspendu par l'exportateur de données pendant plus d'un mois conformément au point (a) ;

(ii) le respect de ces clauses par l'importateur de données le mettrait en infraction avec ses obligations légales ou réglementaires dans le pays d'importation ;

(iii) données l'importateur de données est en violation substantielle ou persistante de toute garantie ou entreprise qu'il donne en vertu des présentes clauses ;

(iv) une décision définitive et sans appel d'une juridiction compétente du pays de l'exportateur de données ou de l'autorité statue qu'il y a eu violation des clauses par l'importateur de données ou l'exportateur de données ; ou

(v) une requête est présentée en vue de l'administration ou de la liquidation de l'importateur de données, que ce soit à titre personnel ou commercial, requête qui n'est pas rejetée dans le délai applicable pour un tel rejet en vertu de la loi applicable ; une ordonnance de liquidation est prise ; un administrateur judiciaire est nommé sur l'un de ses actifs ; un syndic de faillite est nommé, si l'importateur de données est une personne physique ; une clause volontaire de la société est entamé par lui ; ou toute obligation équivalente dans toute juridiction se produit.

l'exportateur de données, sans préjudice de tout autre droit qu'il pourrait avoir à l'encontre de l'importateur de données, a le droit de résilier les présentes clauses, auquel cas l'autorité sera informée si nécessaire. Dans les cas couverts par (i), (ii) ou (iv) ci-dessus, l'importateur de données peut également résilier ces clauses.

(c) Chacune des parties peut résilier ces clauses si (i) une décision d'adéquation positive de la Commission en vertu de l'article 25, paragraphe 6, de la directive 95/46/CE (ou de tout texte le remplaçant) est prise à l'égard du pays (ou d'un secteur de celui-ci) auquel les données sont transférées et traitées par l'importateur de données, ou (ii) si la directive 95/46/CE (ou tout texte le remplaçant) devient directement applicable dans ce pays.

(d) Les parties conviennent que la résiliation des présentes clauses à tout moment, en toutes circonstances et pour quelque raison que ce soit (à l'exception de la résiliation en vertu de la clause VI(c)) ne les dispense pas des obligations et/ou des conditions prévues par les clauses en ce qui concerne le traitement des données personnelles transférées.

Les parties ne peuvent pas modifier ces clauses, sauf pour mettre à jour les informations de l'annexe B, auquel cas elles en informeront l'autorité si nécessaire. Cela n'empêche pas les parties d'ajouter des clauses commerciales si nécessaire.

Les détails du transfert et des données personnelles sont précisés à l'annexe B. Les parties conviennent que l'annexe B peut contenir des informations commerciales confidentielles qu'elles ne divulgueront pas à des tiers, sauf si la loi l'exige ou en réponse à une agence réglementaire ou gouvernementale compétente, ou si la clause I(e) l'exige. Les parties peuvent signer des annexes supplémentaires pour couvrir des transferts additionnels, qui seront soumis à l'autorité si nécessaire. L'annexe B peut, à l'inverse, être rédigée pour couvrir les transferts arbitrages.

1. Limitation de la finalité : les données personnelles ne peuvent être traitées et utilisées par la suite ou communiquées ultérieurement qu'à des fins décrites dans l'annexe B ou à des fins autorisées ultérieurement par la personne concernée.

2. Qualité des données et proportionnalité : les données personnelles doivent être exactes et, si nécessaire, mises à jour. Les données personnelles doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont transférées et ultérieurement traitées.

3. Transparence : les personnes concernées doivent recevoir l'information nécessaire pour assurer un traitement équitable (notamment les informations sur la finalité et le transfert), à moins qu'une telle information ne soit déjà donnée par l'exportateur de données.

4. Sécurité et confidentialité : le responsable du traitement des données doit prendre des mesures de sécurité techniques et organisationnelles adaptées aux risques – notamment contre une destruction accidentelle ou illicite, une perte accidentelle, une divulgation ou un accès non autorisée – inhérentes aux traitements. Toute personne agissant au nom du responsable du traitement des données, y compris un sous-traitant, ne doit pas exploiter les données, à moins d'avoir reçu les instructions du responsable du traitement des données.

5. Droits d'accès, de rectification, de suppression et d'opposition : conformément à l'article 12 de la Directive 95/46/EC, les personnes concernées doivent, soit directement, soit par l'intermédiaire d'un tiers, recevoir les informations à caractère personnelles qu'une organisation possède, à l'exception des requêtes qui sont manifestement abusives, en raison des intervalles non raisonnables, de leurs nombres, de leurs caractères répétitifs et systématiques, et à l'exception des requêtes pour lesquelles l'accès ne doit pas être accordée en vertu des lois du pays de l'exportateur de données. À moins d'avoir reçu l'accord préalable du responsable, l'accès ne devra pas être accordé au cas où ce faire pourrait porter atteinte aux intérêts de l'importateur de données ou des autres organisations collaborant avec l'importateur de données, et au cas où de tels intérêts ne sont pas supplantés par l'obligation de respect des droits élémentaires et des libertés fondamentales de la personne concernée. Les sources des données personnelles ne doivent pas être identifiées lorsqu'une démarche n'est pas possible par des efforts raisonnables, ou lorsque les droits d'autres personnes autres que la personne concernée pourraient être violés. Les personnes concernées doivent être en mesure de faire rectifier, modifier ou effacer leurs informations personnelles lorsque ces dernières sont inexactes ou exploitées en violation des présents principes. Lorsque des preuves convaincantes suscitent le doute quant à la légitimité de la requête, l'organisation peut solliciter d'autres justifications avant de procéder à la rectification, à la modification ou à la suppression. La notification des tiers auxquels les données ont été divulguées au sujet d'une rectification, d'une modification ou d'une suppression n'est pas nécessaire au cas où un tel acte impliquerait des efforts disproportionnés. Une personne concernée doit également être en mesure de s'opposer à l'exploitation des données personnelles la concernant s'il existe des motifs légitimes et impérieux liés à sa situation particulière. La charge de la preuve à la suite d'un refus incombe à l'importateur de données, et la personne concernée peut toujours contester un refus auprès d'une autorité.

6. Données sensibles : l'importateur de données doit prendre des mesures supplémentaires (notamment en rapport avec la sécurité) lorsqu'elles s'avèrent nécessaires pour protéger les données sensibles dans le cadre de ses obligations stipulées dans la clause II.

7. Données utilisées à des fins de marketing : lorsque les données sont exploitées à des fins de marketing direct, des procédures efficaces doivent être en place pour permettre à la personne concernée de renoncer à tout moment à l'utilisation de ses données à de telles fins.

8. Décisions automatisées : aux fins des présentes, on entend par " décision automatisée ", une décision de l'exportateur de données ou de l'importateur de données qui produit des effets juridiques liés à une personne concernée ou qui affecte sérieusement la personne concernée, et qui repose uniquement sur le traitement automatique des données personnelles visant l'évaluation de certains aspects le caractérisant, notamment sa performance au travail, sa solvabilité, sa fiabilité, son comportement, etc. L'importateur de données ne doit pas prendre de décisions automatisées en direction des personnes concernées, sauf dans les cas suivants :

(a) (i) de telles décisions sont prises par l'importateur de données dans le cadre de la conclusion ou de l'exécution d'un contrat avec la personne concernée, et (ii) (la personne concernée reçoit une invitation pour discuter des résultats d'une décision automatisée pertinente avec un représentant des parties prenant une telle décision ou, à défaut, de faire représenter ces parties.

ou

(b) lorsque la loi relative à l'exportateur de données stipule le contraire.

Les détails concernant la description du transfert sont énoncés dans l'annexe 1 de l'Accord sur le partage des données.