REMARQUE : NOUS AVONS PUBLIÉ LES CONDITIONS CI-DESSOUS EN RAPPORT AVEC LES NOUVELLES CLAUSES CONTRACTUELLES TYPES APPROUVÉES PAR LA COMMISSION EUROPÉENNE, AYANT EFFET LE 27 SEPTEMBRE 2021.

Aux fins de l'article 26, paragraphe 2, de la directive 95/46/CE pour le transfert de données personnelles à des sous-traitants établis dans des pays tiers qui n'assurent pas un niveau adéquat de protection des données,

Le responsable du traitement des données tel que défini dans l'Accord sur le traitement des données (l'« exportateur de données »),

Et

(a) Snap Inc. dont l'adresse est 3000 31st Street, Santa Monica, California 90405, si l'exportateur de données transfère des données personnelles à Snap Inc. en vertu de l'Accord sur le traitement des données ; 

(b) Snap ULC, dont l'adresse est 1959 Upper Water Street, Halifax, NS, Canada B3J 3N2, si l'exportateur de données transfère des données personnelles à Snap ULC en vertu de l'Accord de traitement des données ; ou

(c) Snap Aus Pty Ltd, dont l'adresse est au Level 31, 2 Chifley Square, Sydney, NSW 2000, Australie, si l'exportateur de données transfère des données personnelles à Snap Aus Pty Ltd en vertu de l'Accord de traitement des données

(l'entité Snap concernée décrite ci-dessus est appelée « importateur de données »),

chacun étant une « partie » ; ensemble « les parties »,

ONT CONVENU des clauses contractuelles suivantes (les « clauses ») afin d'offrir des garanties adéquates en matière de protection de la vie privée et des libertés et droits fondamentaux des personnes pour le transfert, par l'exportateur de données à l'importateur de données, des données personnelles indiquées à l'appendice 1.

Les présentes clauses contractuelles types sont incorporées aux Conditions des services des entreprises. Certains termes utilisés dans les présentes clauses contractuelles types sont définis dans les Conditions des services des entreprises.

Aux fins des clauses :

(a) « données personnelles », « catégories particulières de données », « processus/traitement », « responsable du traitement », « sous-traitant », « personne concernée » et « autorité de contrôle » ont la même signification que dans la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données personnelles et à la libre circulation de ces données ;

(b) « l'exportateur de données » : le responsable du traitement qui transfère les données personnelles ;

(c) « l'importateur de données » : le sous-traitant qui accepte de recevoir de l'exportateur de données des données personnelles destinées à être traitées pour son compte après le transfert, conformément à ses instructions et aux termes des clauses, et qui n'est pas soumis au système d'un pays tiers garantissant une protection adéquate au sens de l'article 25, paragraphe 1, de la directive 95/46/CE ;

(d) « le sous-traitant ultérieur » : tout sous-traitant engagé par l'importateur de données ou par tout autre sous-traitant ultérieur de l'importateur de données qui accepte de recevoir de l'importateur de données ou de tout autre sous-traitant ultérieur de l'importateur de données des données personnelles exclusivement destinées à des activités de traitement à effectuer pour le compte de l'exportateur de données après le transfert conformément à ses instructions, aux termes des clauses et aux termes du contrat de sous-traitance écrit ;

(e) « la législation applicable en matière de protection des données » : la législation protégeant les droits et libertés fondamentaux des personnes et, en particulier, leur droit à la vie privée en ce qui concerne le traitement des données personnelles, applicable à un responsable du traitement des données dans l'État membre dans lequel l'exportateur de données est établi ;

(f) « mesures de sécurité techniques et organisationnelles » : les mesures visant à protéger les données personnelles contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement implique la transmission de données par réseau, et contre toute autre forme de traitement illicite.

Les détails du transfert et notamment les catégories particulières de données personnelles le cas échéant sont précisés dans l'annexe 1 qui fait partie intégrante des clauses.

1. La personne concernée peut opposer à l'exportateur de données la présente clause, la clause 4, paragraphes b) à i), la clause 5, paragraphes a) à e) et g) à j), la clause 6, paragraphes 1 et 2, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12 en tant que tiers bénéficiaire.

2. La personne concernée peut faire valoir auprès de l'importateur de données la présente clause, la clause 5, paragraphes a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12, dans les cas où l'exportateur de données a disparu dans les faits ou a cessé d'exister juridiquement, à moins qu'une entité successeur n'ait assumé l'ensemble des obligations légales de l'exportateur de données par contrat ou de plein droit, ce qui fait qu'elle reprend les droits et obligations de l'exportateur de données, auquel cas la personne concernée peut les faire valoir contre cette entité.

3. La personne concernée peut opposer au sous-traitant ultérieur la présente clause, la clause 5, paragraphes a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12, dans les cas où l'exportateur de données et l'importateur de données ont tous deux disparu dans les faits ou cessé d'exister juridiquement ou sont devenus insolvables, à moins qu'une entité successeur n'ait assumé l'ensemble des obligations légales de l'exportateur de données par contrat ou par application de la loi, en conséquence de quoi elle assume les droits et obligations de l'exportateur de données, auquel cas la personne concernée peut les faire valoir contre cette entité. Cette responsabilité civile du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des clauses.

4. Les parties ne s'opposent pas à ce qu'une personne concernée soit représentée par une association ou un autre organisme si la personne concernée le souhaite expressément et si le droit national le permet.

L'exportateur de données accepte et garantit :

(a) que le traitement, y compris le transfert lui-même, des données personnelles a été et continuera d'être effectué conformément aux dispositions pertinentes de la législation applicable en matière de protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l'État membre où l'exportateur de données est établi) et ne viole pas les dispositions pertinentes de cet État ;

(b) qu'il a donné des instructions et que, pendant toute la durée des services de traitement des données personnelles, il donnera des instructions à l'importateur de données pour qu'il traite les données personnelles transférées uniquement pour le compte de l'exportateur de données et conformément à la législation applicable en matière de protection des données et aux clauses ;

(c) que l'importateur de données fournira des garanties suffisantes en ce qui concerne les mesures de sécurité techniques et organisationnelles spécifiées à l'annexe 2 du présent contrat ;

(d) qu'après évaluation des exigences de la législation applicable en matière de protection des données, les mesures de sécurité sont appropriées pour protéger les données personnelles contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la divulgation ou l'accès non autorisés, notamment lorsque le traitement implique la transmission de données sur un réseau, et contre toute autre forme de traitement illicite, et que ces mesures assurent un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger compte tenu de l'état de l'art et du coût de leur mise en œuvre ;

(e) qu'il veillera au respect des mesures de sécurité ;

(f) que, si le transfert concerne des catégories particulières de données, la personne concernée a été informée ou sera informée avant, ou le plus tôt possible après, le transfert que ses données pourraient être transmises à un pays tiers n'assurant pas une protection adéquate au sens de la directive 95/46/CE ;

(g) de transmettre toute notification reçue de l'importateur de données ou de tout sous-traitant ultérieur conformément à la clause 5, paragraphe b) et à la clause 8, paragraphe 3), à l'autorité de contrôle de la protection des données si l'exportateur de données décide de poursuivre le transfert ou de lever la suspension ;

(h) de mettre à la disposition des personnes concernées, sur demande, une copie des clauses, à l'exception de l'annexe 2, et une description sommaire des mesures de sécurité, ainsi qu'une copie de tout contrat de services de sous-traitance qui doit être conclu conformément aux clauses, à moins que les clauses ou le contrat ne contiennent des informations commerciales, auquel cas il peut supprimer ces informations commerciales ;

(i) que, en cas de sous-traitement, l'activité de traitement est effectuée conformément à la clause 11 par un sous-traitant ultérieur offrant au moins le même niveau de protection des données personnelles et des droits de la personne concernée que l'importateur de données en vertu des clauses ; et

(j) qu'il veillera au respect de la clause 4, paragraphes a) à i).

L'importateur de données accepte et garantit :

(a) de traiter les données personnelles uniquement pour le compte de l'exportateur de données et conformément à ses instructions et aux clauses ; s'il ne peut assurer cette conformité pour quelque raison que ce soit, il accepte d'informer rapidement l'exportateur de données de son incapacité à se conformer, auquel cas l'exportateur de données a le droit de suspendre le transfert de données et/ou de résilier le contrat ;

(b) qu'il n'a aucune raison de croire que la législation qui lui est applicable l'empêche de respecter les instructions reçues de l'exportateur de données et ses obligations en vertu du contrat et qu'en cas de modification de cette législation susceptible d'avoir un effet défavorable important sur les garanties et obligations prévues par les clauses, il notifiera rapidement le changement à l'exportateur de données dès qu'il en aura connaissance, auquel cas l'exportateur de données est en droit de suspendre le transfert de données et/ou de résilier le contrat ;

(c) qu'il a mis en œuvre les mesures de sécurité techniques et organisationnelles spécifiées à l'annexe 2 avant de traiter les données personnelles transférées ;

(d) qu'il informera rapidement l'exportateur de données de :

(i) toute demande juridiquement contraignante de divulgation des données personnelles par une autorité chargée de l'application de la loi, sauf interdiction contraire, telle qu'une interdiction en vertu du droit pénal pour préserver la confidentialité d'une enquête policière ;

(ii) tout accès accidentel ou non autorisé ; et

(iii) toute demande reçue directement des personnes concernées sans répondre à cette demande, à moins qu'il n'ait été autrement autorisé à le faire ;

(e) traiter rapidement et correctement toutes les demandes de l'exportateur de données relatives à son traitement des données personnelles faisant l'objet du transfert et se conformer à l'avis de l'autorité de contrôle en ce qui concerne le traitement des données transférées ;

(f) à la demande de l'exportateur de données, soumettre ses installations de traitement des données à un audit des activités de traitement couvertes par les clauses, qui sera effectué par l'exportateur de données ou par un organisme de contrôle composé de membres indépendants et possédant les qualifications professionnelles requises, liés par un devoir de confidentialité, choisis par l'exportateur de données, le cas échéant, en accord avec l'autorité de contrôle ;

(g) mettre à la disposition de la personne concernée qui en fait la demande une copie des clauses ou de tout contrat de sous-traitance existant, sauf si les clauses ou le contrat contiennent des informations commerciales, auquel cas il peut supprimer ces informations commerciales, à l'exception de l'annexe 2 qui est remplacée par une description sommaire des mesures de sécurité dans les cas où la personne concernée n'est pas en mesure d'obtenir une copie auprès de l'exportateur de données ;

(h) qu'en cas de sous-traitement, il a préalablement informé l'exportateur de données et obtenu son consentement écrit préalable ;

(i) que les services de traitement par le sous-traitant ultérieur seront effectués conformément à la clause 11 ;

(j) envoyer rapidement à l'exportateur de données une copie de tout accord de sous-traitance secondaire qu'il conclut en vertu des clauses.

1. Les parties conviennent que toute personne concernée qui a subi un dommage à la suite d'une violation des obligations visées à la clause 3 ou à la clause 11 par une partie ou un sous-traitant ultérieur a le droit d'être indemnisée par l'exportateur de données pour le dommage subi.

2. Si une personne concernée n'est pas en mesure d'introduire une demande d'indemnisation conformément au paragraphe 1 à l'encontre de l'exportateur de données, en raison d'une violation par l'importateur de données ou son sous-traitant ultérieur de l'une de leurs obligations visées à la clause 3 ou à la clause 11, parce que l'exportateur de données a disparu dans les faits ou a cessé d'exister juridiquement ou est devenu insolvable, l'importateur de données accepte que la personne concernée puisse émettre une réclamation contre l'importateur de données comme s'il était l'exportateur de données, à moins qu'une entité successeur n'ait assumé l'ensemble des obligations légales de l'exportateur de données par contrat ou de plein droit, auquel cas la personne concernée peut faire valoir ses droits à l'encontre cette entité. L'importateur de données ne peut se prévaloir d'un manquement d'un sous-traitant ultérieur à ses obligations pour se soustraire à ses propres responsabilités.

3. Si une personne concernée n'est pas en mesure d'introduire une réclamation contre l'exportateur de données ou l'importateur de données visés aux paragraphes 1 et 2, résultant d'une violation par le sous-traitant ultérieur de l'une de ses obligations visées à la clause 3 ou à la clause 11 parce que l'exportateur de données et l'importateur de données ont tous deux disparu dans les faits ou cessé d'exister juridiquement ou sont devenus insolvables, le sous-traitant ultérieur convient que la personne concernée puisse émettre une réclamation à l'encontre du sous-traitant ultérieur des données en ce qui concerne ses propres opérations de traitement en vertu des clauses comme s'il était l'exportateur de données ou l'importateur de données, à moins qu'une entité successeur n'ait assumé l'ensemble des obligations légales de l'exportateur de données ou de l'importateur de données par contrat ou par application de la loi, auquel cas la personne concernée peut faire valoir ses droits à l'encontre de cette entité. La responsabilité du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des clauses.

1. L'importateur de données convient que si la personne concernée invoque à son encontre des droits de tiers bénéficiaires et/ou demande une indemnisation pour des dommages en vertu des clauses, l'importateur de données acceptera la décision de la personne concernée ;

(a) de soumettre le différend à la médiation, par une personne indépendante ou, le cas échéant, par l'autorité de contrôle ;

(b) de porter le litige devant les tribunaux de l'État membre dans lequel l'exportateur de données est établi.

2. Les parties conviennent que le choix effectué par la personne concernée ne portera pas atteinte à ses droits substantiels ou procéduraux d'exercer des recours conformément à d'autres dispositions du droit national ou international.

1. L'exportateur de données accepte de déposer une copie du présent contrat auprès de l'autorité de contrôle si celle-ci en fait la demande ou si ce dépôt est exigé par la loi applicable en matière de protection des données.

2. Les parties conviennent que l'autorité de contrôle a le droit de procéder à un audit de l'importateur de données, et de tout sous-traitant ultérieur, qui a la même portée et est soumis aux mêmes conditions que celles qui s'appliqueraient à un audit de l'exportateur de données en vertu de la loi applicable sur la protection des données.

3. L'importateur de données informe rapidement l'exportateur de données de l'existence d'une législation applicable à lui-même ou à tout sous-traitant ultérieur empêchant la réalisation d'un audit de l'importateur de données, ou de tout sous-traitant ultérieur, conformément au paragraphe 2. Dans ce cas, l'exportateur de données est autorisé à prendre les mesures prévues à la clause 5, paragraphe b).

Les clauses sont régies par le droit de l'État membre dans lequel l'exportateur de données est établi.

Les parties s'engagent à ne pas varier ou modifier les clauses. Cela n'empêche pas les parties d'ajouter, le cas échéant, des clauses sur des questions liées aux affaires, pour autant qu'elles ne contredisent pas la clause.

1. L'importateur de données ne sous-traite aucune de ses opérations de traitement effectuées pour le compte de l'exportateur de données en vertu des clauses sans le consentement écrit préalable de l'exportateur de données. Lorsque l'importateur de données sous-traite ses obligations en vertu des clauses, avec le consentement de l'exportateur de données, il ne le fait que par le biais d'un accord écrit avec le sous-traitant ultérieur qui impose au sous-traitant ultérieur les mêmes obligations que celles imposées à l'importateur de données en vertu des clauses. Lorsque le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données en vertu d'un tel accord écrit, l'importateur de données reste entièrement responsable envers l'exportateur de données de l'exécution des obligations du sous-traitant ultérieur en vertu dudit accord.

2. Le contrat écrit préalable entre l'importateur de données et le sous-traitant ultérieur prévoit également une clause de tiers bénéficiaire telle que prévue à la clause 3 pour les cas où la personne concernée n'est pas en mesure d'introduire la demande d'indemnisation visée à la clause 6, paragraphe 1, à l'encontre de l'exportateur de données ou l'importateur de données parce qu'ils ont disparu dans les faits ou ont cessé d'exister juridiquement ou sont devenus insolvables et qu'aucune entité successeur n'a assumé l'ensemble des obligations légales de l'exportateur de données ou de l'importateur de données par contrat ou de plein droit. Cette responsabilité civile du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des clauses.

3. Les dispositions relatives aux aspects de la protection des données pour le traitement ultérieur du contrat visé au paragraphe 1 sont régies par le droit de l'État membre dans lequel l'exportateur de données est établi.

4. L'exportateur de données tient une liste des accords de sous-traitance annexe conclus en vertu des clauses et notifiés par l'importateur de données conformément à la clause 5, paragraphe j), qui est mise à jour au moins une fois par an. La liste est à la disposition de l'autorité de contrôle de la protection des données de l'exportateur de données.

1. Les parties conviennent qu'à la fin de la prestation de services de traitement des données, l'importateur de données et le sous-traitant ultérieur, au choix de l'exportateur de données, renverront toutes les données personnelles transférées et les copies de celles-ci à l'exportateur de données ou détruiront toutes les données personnelles et certifieront à l'exportateur de données qu'ils l'ont fait, sauf si la législation imposée à l'importateur de données l'empêche de renvoyer ou de détruire tout ou partie des données personnelles transférées. Dans ce cas, l'importateur de données garantit qu'il assurera la confidentialité des données personnelles transférées et qu'il ne traitera plus activement les données personnelles transférées.

2. L'importateur de données et le sous-traitant ultérieur garantissent que, à la demande de l'exportateur de données et/ou de l'autorité de contrôle, ils soumettront leurs installations de traitement des données à un audit des mesures visées au paragraphe 1.

Pour les informations contenues dans les annexes 1 et 2, se référer aux annexes 1 et 2 de la convention de traitement des données.