12.2.2010   

FR

Journal officiel de l'Union européenne

L 39/5


DÉCISION DE LA COMMISSION

du 5 février 2010

relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil

[notifiée sous le numéro C(2010) 593]

(Texte présentant de l'intérêt pour l'EEE)

(2010/87/UE)

LA COMMISSION EUROPÉENNE,

vu le traité sur le fonctionnement de l’Union européenne,

vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (1), et notamment son article 26, paragraphe 4,

après consultation du contrôleur européen de la protection des données,

considérant ce qui suit:

(1)

Conformément à la directive 95/46/CE, les États membres sont tenus de veiller à ce qu’un transfert de données à caractère personnel vers un pays tiers n’ait lieu que si le pays en question assure un niveau de protection adéquat des données et si les lois des États membres, qui sont conformes aux autres dispositions de la directive, sont respectées avant le transfert.

(2)

Toutefois, l’article 26, paragraphe 2, de la directive 95/46/CE prévoit que les États membres peuvent autoriser, sous réserve de certaines garanties, un transfert, ou un ensemble de transferts, de données à caractère personnel vers des pays tiers n’assurant pas un niveau de protection adéquat. Ces garanties peuvent notamment résulter de clauses contractuelles appropriées.

(3)

Conformément à la directive 95/46/CE, le niveau de protection des données doit s’apprécier au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts. Le groupe de protection des personnes à l’égard du traitement des données à caractère personnel instauré au titre de ladite directive a publié des lignes directrices afin de faciliter l’évaluation.

(4)

Les clauses contractuelles types ne doivent concerner que la protection des données. L’exportateur de données et l’importateur de données sont donc libres d’inclure d’autres clauses à caractère commercial qu’ils jugent pertinentes pour le contrat, à condition qu’elles ne contredisent pas les clauses contractuelles types.

(5)

La présente décision ne doit pas affecter les autorisations nationales que les États membres peuvent délivrer conformément aux dispositions nationales mettant en œuvre l’article 26, paragraphe 2, de la directive 95/46/CE. Elle doit avoir pour seul effet d’obliger les États membres à ne pas refuser de reconnaître que les clauses contractuelles types qu’elle contient offrent des garanties adéquates et elle ne doit donc avoir aucun effet sur d’autres clauses contractuelles.

(6)

La décision 2002/16/CE de la Commission du 27 décembre 2001 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE (2) a été adoptée afin de faciliter le transfert de données à caractère personnel d’un responsable du traitement de données établi dans l’Union européenne vers un sous-traitant établi dans un pays tiers n’assurant pas un niveau de protection adéquat.

(7)

Une expérience considérable a été acquise depuis l’adoption de la décision 2002/16/CE. En outre, le rapport sur la mise en œuvre des décisions relatives aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers (3) a mis en évidence un intérêt grandissant dans la promotion de l’utilisation des clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers n’assurant pas un niveau de protection adéquat. De plus, des parties prenantes (4) ont présenté des propositions visant à mettre à jour les clauses contractuelles types énoncées dans la décision 2002/16/CE pour tenir compte du développement rapide de la portée des activités de traitement de données dans le monde et pour aborder certains aspects non couverts par cette décision.

(8)

Le champ d’application de la présente décision doit se limiter à établir que les clauses qu’elle énonce peuvent être utilisées par un responsable du traitement de données établi dans l’Union européenne pour offrir des garanties adéquates, au sens de l’article 26, paragraphe 2, de la directive 95/46/CE, pour le transfert de données à caractère personnel vers un sous-traitant établi dans un pays tiers.

(9)

La présente décision ne doit pas s’appliquer au transfert de données à caractère personnel effectué par des responsables du traitement établis dans l’Union européenne vers des responsables du traitement établis en dehors de l’Union européenne qui relèvent du champ d’application de la décision 2001/497/CE de la Commission du 15 juin 2001 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu de la directive 95/46/CE (5).

(10)

La présente décision doit mettre en œuvre l’obligation prévue à l’article 17, paragraphe 3, de la directive 95/46/CE et ne doit pas affecter le contenu d’un contrat ou acte juridique établi conformément à cette disposition. Toutefois, certaines clauses contractuelles types, relatives en particulier aux obligations de l’exportateur de données, doivent être incluses dans le but d’accroître la clarté en ce qui concerne les dispositions qui peuvent être introduites dans un contrat entre un responsable du traitement et un sous-traitant.

(11)

Les autorités de contrôle des États membres jouent un rôle clé dans ce mécanisme contractuel en garantissant la protection adéquate des données à caractère personnel après le transfert. Dans les cas exceptionnels où les exportateurs de données refusent ou ne sont pas en mesure d’instruire convenablement l’importateur de données et où il existe un risque imminent de dommage grave pour les personnes concernées, les clauses contractuelles types doivent permettre aux autorités de contrôle de soumettre les importateurs de données et les sous-traitants ultérieurs à des vérifications et, lorsque cela se révèle approprié, de prendre des décisions auxquelles ces derniers devront se plier. Les autorités de contrôle doivent avoir la faculté d’interdire ou de suspendre un transfert de données ou un ensemble de transferts fondé sur les clauses contractuelles types dans les cas exceptionnels où il est établi qu’un transfert fondé sur des termes contractuels risque d’avoir des conséquences négatives importantes pour les garanties et les obligations offrant un niveau de protection adéquat à la personne concernée.

(12)

Les clauses contractuelles types doivent prévoir les mesures techniques et d’organisation à mettre en œuvre par les sous-traitants établis dans un pays tiers n’offrant pas un niveau de protection adéquat, afin d’assurer un niveau de sécurité adapté aux risques liés au traitement et à la nature des données à protéger. Les parties doivent prévoir dans le contrat les mesures techniques et d’organisation qui, eu égard au droit applicable à la protection des données, au niveau technologique et au coût de mise en œuvre, sont nécessaires pour protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé ou toute autre forme illicite de traitement.

(13)

Afin de faciliter les flux de données provenant de l’Union européenne, il est souhaitable que les sous-traitants offrant des services de traitement des données à plusieurs responsables du traitement des données de l’Union européenne soient autorisés à appliquer les mêmes mesures techniques et d’organisation liées à la sécurité, quel que soit l’État membre d’où provient le transfert de données, notamment dans les cas où l’importateur de données reçoit, pour un traitement ultérieur, des données originaires de différents établissements de l’exportateur de données dans l’Union européenne, auquel cas le droit de l’État membre d’établissement désigné doit s’appliquer.

(14)

Il convient de définir les informations minimales que les parties doivent prévoir dans le contrat qui a trait au transfert. Les États membres doivent conserver la faculté de spécifier les informations que les parties doivent fournir. L’application de la présente décision doit être évaluée à la lumière de l’expérience acquise.

(15)

L’importateur de données doit traiter les données à caractère personnel transférées pour le compte exclusif de l’exportateur de données et selon ses instructions et les obligations incluses dans les clauses. En particulier, l’importateur de données ne doit pas divulguer les données à caractère personnel à un tiers sans l’accord écrit préalable de l’exportateur de données. Ce dernier doit charger l’importateur de données, pendant la durée des services de traitement des données, de traiter les données conformément à ses instructions, au droit applicable à la protection des données et aux obligations contenues dans les clauses.

(16)

Le rapport sur la mise en œuvre des décisions relatives aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers a recommandé l’élaboration de clauses contractuelles types adaptées sur les transferts ultérieurs d’un sous-traitant établi dans un pays tiers vers un autre sous-traitant (sous-traitance ultérieure) afin de tenir compte de l’évolution des pratiques des entreprises, qui tendent vers une mondialisation croissante de l’activité de traitement.

(17)

La présente décision doit contenir des clauses contractuelles types spécifiques sur la sous-traitance, par un sous-traitant établi dans un pays tiers (l’importateur de données), de ses services de traitement à d’autres sous-traitants (ultérieurs) établis dans des pays tiers. Elle doit également définir les conditions à remplir par la sous-traitance ultérieure pour que la protection des données à caractère personnel transférées soit garantie malgré le transfert à un sous-traitant ultérieur.

(18)

En outre, la sous-traitance ultérieure ne doit porter que sur les activités convenues dans le contrat conclu entre l’exportateur de données et l’importateur de données et intégrant les clauses contractuelles types prévues dans la présente décision, et ne doit pas avoir d’autres finalités ou concerner d’autres activités de traitement, de manière à ce que soit respecté le principe de la limitation des transferts à une finalité spécifique, énoncé dans la directive 95/46/CE. De plus, en cas de manquement par le sous-traitant ultérieur aux obligations en matière de traitement de données qui lui incombent conformément au contrat, l’importateur de données doit rester responsable envers l’exportateur de données. Le transfert de données à caractère personnel vers des sous-traitants établis en dehors de l’Union européenne ne doit rien enlever au fait que les activités de traitement doivent être régies par le droit applicable à la protection des données.

(19)

Les clauses contractuelles types doivent être exécutoires non seulement par les organisations parties au contrat, mais également par les personnes concernées, en particulier lorsque ces dernières subissent un dommage en raison d’une rupture du contrat.

(20)

La personne concernée doit avoir le droit d’exercer un recours et, lorsque cela se révèle approprié, d’obtenir réparation de l’exportateur de données qui est le responsable du traitement des données à caractère personnel transférées. À titre exceptionnel, la personne concernée doit aussi avoir le droit d’exercer un recours et, lorsque cela se révèle approprié, d’obtenir réparation de l’importateur de données pour manquement par l’importateur de données ou par tout sous-traitant ultérieur qui en dépend à l’une ou à l’autre de ses obligations visées à la clause 3, paragraphe 2, dans les cas où l’exportateur de données a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable. À titre exceptionnel, la personne concernée doit aussi avoir le droit d’exercer un recours et, lorsque cela se révèle approprié, d’obtenir réparation d’un sous-traitant ultérieur dans les cas où à la fois l’exportateur de données et l’importateur de données ont matériellement disparu, ont cessé d’exister en droit ou sont devenus insolvables. Cette responsabilité civile du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux clauses contractuelles.

(21)

Si un litige entre la personne concernée qui invoque la clause du tiers bénéficiaire et l’importateur de données n’est pas résolu à l’amiable, l’importateur de données doit proposer à la personne concernée de choisir entre la médiation et la procédure judiciaire. La personne concernée aura réellement le choix dans la mesure où elle pourra disposer de systèmes de médiation fiables et reconnus. La médiation par les autorités de contrôle de la protection des données de l’État membre dans lequel est établi l’exportateur de données doit être une option lorsqu’elles fournissent un tel service.

(22)

Le contrat doit être régi par le droit de l’État membre dans lequel l’exportateur de données est établi et qui permet à un tiers bénéficiaire de faire exécuter un contrat. Les personnes concernées doivent pouvoir être représentées par des associations ou d’autres organismes si elles le souhaitent et si le droit national l’autorise. Le même droit doit également régir les dispositions relatives à la protection des données comprises dans tout contrat conclu avec un sous-traitant ultérieur concernant la sous-traitance ultérieure des activités de traitement de données à caractère personnel transférées par l’exportateur de données vers l’importateur de données en vertu des clauses contractuelles.

(23)

La présente décision s’appliquant exclusivement à la sous-traitance par un sous-traitant établi dans un pays tiers de ses services de traitement à un sous-traitant ultérieur établi dans un pays tiers, elle ne doit pas s’appliquer à la situation dans laquelle un sous-traitant établi dans l’Union européenne et effectuant le traitement de données à caractère personnel pour le compte d’un responsable du traitement établi dans l’Union européenne sous-traite ses activités de traitement à un sous-traitant ultérieur établi dans un pays tiers. Dans une telle situation, les États membres sont libres de tenir compte ou non du fait que les principes et garanties des clauses contractuelles types énoncées dans la présente décision ont été utilisés pour sous-traiter des activités à un sous-traitant ultérieur établi dans un pays tiers dans le but d’assurer une protection adéquate des droits des personnes concernées dont les données à caractère personnel sont transférées dans le cadre d’activités de sous-traitance ultérieure.

(24)

Le groupe de protection des personnes à l’égard du traitement des données à caractère personnel institué en vertu de l’article 29 de la directive 95/46/CE a émis un avis sur le niveau de protection prévu par les clauses contractuelles types annexées à la présente décision. Cet avis a été pris en considération dans la préparation de cette dernière.

(25)

Il convient d’abroger la décision 2002/16/CE.

(26)

Les mesures prévues par la présente décision sont conformes à l’avis du comité institué en vertu de l’article 31 de la directive 95/46/CE,

A ADOPTÉ LA PRÉSENTE DÉCISION:

Article premier

Les clauses contractuelles types figurant en annexe sont considérées comme offrant des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits correspondants comme l’exige l’article 26, paragraphe 2, de la directive 95/46/CE.

Article 2

La présente décision concerne uniquement le caractère adéquat de la protection fournie par les clauses contractuelles types figurant en annexe pour le transfert de données à caractère personnel. Elle n’affecte pas l’application d’autres dispositions nationales mettant en œuvre la directive 95/46/CE qui se rapportent au traitement de données à caractère personnel dans les États membres.

La présente décision s’applique au transfert de données à caractère personnel par des responsables du traitement établis dans l’Union européenne à des destinataires établis en dehors du territoire de l’Union européenne qui agissent exclusivement en tant que sous-traitants.

Article 3

Aux fins de la présente décision, on entend par:

a)   «catégories particulières de données»: les données visées à l’article 8 de la directive 95/46/CE;

b)   «autorité de contrôle»: l’autorité visée à l’article 28 de la directive 95/46/CE;

c)   «exportateur de données»: le responsable du traitement qui transfère les données à caractère personnel;

d)   «importateur de données»: le sous-traitant établi dans un pays tiers qui accepte de recevoir de l’exportateur de données des données à caractère personnel destinées à être traitées pour le compte de ce dernier après le transfert conformément à ses instructions et aux conditions de la présente décision et qui n’est pas soumis au mécanisme d’un pays tiers assurant une protection adéquate au sens de l’article 25, paragraphe 1, de la directive 95/46/CE;

e)   «sous-traitant ultérieur»: tout sous-traitant engagé par l’importateur de données ou par tout autre sous-traitant ultérieur de celui-ci, qui accepte de recevoir de l’importateur de données ou de tout autre sous-traitant ultérieur de celui-ci des données à caractère personnel exclusivement destinées à des activités de traitement à effectuer pour le compte de l’exportateur de données après le transfert conformément aux instructions de ce dernier, aux clauses contractuelles types énoncées dans l’annexe et aux termes du contrat écrit relatif à la sous-traitance ultérieure;

f)   «droit applicable à la protection des données»: la législation protégeant les libertés et les droits fondamentaux des personnes, notamment le droit à la vie privée à l’égard du traitement des données à caractère personnel, et s’appliquant à un responsable du traitement dans l’État membre où l’exportateur de données est établi;

g)   «mesures techniques et d’organisation liées à la sécurité»: les mesures destinées à protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé, notamment lorsque le traitement suppose la transmission de données par réseau, et contre toute autre forme illicite de traitement.

Article 4

1.   Sans préjudice de leurs pouvoirs de prendre des mesures visant à assurer le respect des dispositions nationales adoptées conformément aux chapitres II, III, V et VI de la directive 95/46/CE, les autorités compétentes des États membres peuvent exercer les pouvoirs dont elles disposent pour interdire ou suspendre les flux de données vers des pays tiers afin de protéger les individus à l’égard du traitement de leurs données à caractère personnel, et ce dans les cas où:

a)

il est établi que le droit auquel l’importateur de données ou un sous-traitant ultérieur est soumis oblige ce dernier à déroger au droit applicable à la protection des données au-delà des limitations nécessaires dans une société démocratique pour l’une des raisons énoncées à l’article 13 de la directive 95/46/CE lorsque cette obligation risque d’avoir des conséquences négatives importantes pour les garanties offertes par le droit applicable à la protection des données et les clauses contractuelles types;

b)

une autorité compétente a établi que l’importateur de données ou un sous-traitant ultérieur n’a pas respecté les clauses contractuelles types figurant en annexe; ou

c)

il est fort probable que les clauses contractuelles types figurant en annexe ne sont pas ou ne seront pas respectées et que la poursuite du transfert ferait courir aux personnes concernées un risque imminent de subir des dommages graves.

2.   L’interdiction ou la suspension visée au paragraphe 1 est levée dès que les raisons qui la motivaient disparaissent.

3.   Lorsque les États membres adoptent des mesures conformément aux paragraphes 1 et 2, ils en informent sans délai la Commission, qui transmet l’information aux autres États membres.

Article 5

La Commission évalue l’application de la présente décision, sur la base des informations disponibles, trois ans après son adoption. Elle présente au comité institué au titre de l’article 31 de la directive 95/46/CE un rapport sur les constatations effectuées. Le rapport comprend tout élément susceptible d’influer sur l’évaluation concernant le caractère adéquat des clauses contractuelles types figurant en annexe et tout élément indiquant que la présente décision est appliquée de manière discriminatoire.

Article 6

La présente décision s’applique à compter du 15 mai 2010.

Article 7

1.   La décision 2002/16/CE est abrogée avec effet au 15 mai 2010.

2.   Tout contrat conclu entre un exportateur de données et un importateur de données en vertu de la décision 2002/16/CE avant le 15 mai 2010 reste en vigueur dans son intégralité aussi longtemps que les transferts et les activités de traitement de données faisant l’objet du contrat restent inchangés et que les données à caractère personnel couvertes par la présente décision continuent d’être transférées entre les parties. Si les parties contractantes décident d’apporter des modifications à cet égard ou de sous-traiter les activités de traitement faisant l’objet du contrat, elles sont tenues de conclure un nouveau contrat conforme aux clauses contractuelles types figurant en annexe.

Article 8

Les États membres sont destinataires de la présente décision.

Fait à Bruxelles, le 5 février 2010.

Par la Commission

Jacques BARROT

Vice-président


(1)  JO L 281 du 23.11.1995, p. 31.

(2)  JO L 6 du 10.1.2002, p. 52.

(3)  SEC(2006) 95 du 20.1.2006.

(4)  La Chambre de commerce internationale (CCI), l’Association des entreprises japonaises en Europe (JBCE), le comité UE de la Chambre de commerce américaine en Belgique (Amcham) et la Fédération des associations européennes de vente directe (FEDMA).

(5)  JO L 181 du 4.7.2001, p. 19.


ANNEXE

CLAUSES CONTRACTUELLES TYPES (SOUS-TRAITANTS)

Aux fins de l’article 26, paragraphe 2 de la directive 95/46/CE pour le transfert des données à caractère personnel vers des sous-traitants établis dans des pays tiers qui n’assurent pas un niveau adéquat de protection des données

Nom de l’organisation exportant les données: …

Adresse: …

Téléphone …; fax …; courrier électronique: …

Autres informations nécessaires pour identifier l’organisation:

(ci-après dénommée l’«exportateur de données»)

d’une part, et

Nom de l’organisation important les données: …

Adresse: …

Téléphone …; fax …; courrier électronique: …

Autres informations nécessaires pour identifier l’organisation:

(ci-après dénommée l’«importateur de données»)

d’autre part, ci-après dénommés individuellement une «partie» et collectivement les «parties»

SONT CONVENUS des clauses contractuelles suivantes (ci-après dénommées «les clauses») afin d’offrir des garanties adéquates concernant la protection de la vie privée et des libertés et droits fondamentaux des personnes lors du transfert, par l’exportateur de données vers l’importateur de données, des données à caractère personnel visées à l’appendice 1.

Clause première

Définitions

Au sens des clauses:

a)

«données à caractère personnel», «catégories particulières de données», «traiter/traitement», «responsable du traitement», «sous-traitant», «personne concernée» et «autorité de contrôle» ont la même signification que dans la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (1);

b)

l’«exportateur de données» est le responsable du traitement qui transfère les données à caractère personnel;

c)

l’«importateur de données» est le sous-traitant qui accepte de recevoir de l’exportateur de données des données à caractère personnel destinées à être traitées pour le compte de ce dernier après le transfert conformément à ses instructions et aux termes des présentes clauses et qui n’est pas soumis au mécanisme d’un pays tiers assurant une protection adéquate au sens de l’article 25, paragraphe 1, de la directive 95/46/CE;

d)

le «sous-traitant ultérieur» est le sous-traitant engagé par l’importateur de données ou par tout autre sous-traitant ultérieur de celui-ci, qui accepte de recevoir de l’importateur de données ou de tout autre sous-traitant ultérieur de celui-ci des données à caractère personnel exclusivement destinées à des activités de traitement à effectuer pour le compte de l’exportateur de données après le transfert conformément aux instructions de ce dernier, aux conditions énoncées dans les présentes clauses et selon les termes du contrat de sous-traitance écrit;

e)

le «droit applicable à la protection des données» est la législation protégeant les libertés et les droits fondamentaux des personnes, notamment le droit à la vie privée à l’égard du traitement des données à caractère personnel, et s’appliquant à un responsable du traitement dans l’État membre où l’exportateur de données est établi;

f)

les «mesures techniques et d’organisation liées à la sécurité» sont les mesures destinées à protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé, notamment lorsque le traitement suppose la transmission de données par réseau, et contre toute autre forme illicite de traitement.

Clause 2

Détails du transfert

Les détails du transfert et, notamment, le cas échéant, les catégories particulières de données à caractère personnel, sont spécifiés dans l’appendice 1 qui fait partie intégrante des présentes clauses.

Clause 3

Clause du tiers bénéficiaire

1.

La personne concernée peut faire appliquer contre l’exportateur de données la présente clause, ainsi que la clause 4, points b) à i), la clause 5, points a) à e) et points g) à j), la clause 6, paragraphes 1 et 2, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12 en tant que tiers bénéficiaire.

2.

La personne concernée peut faire appliquer contre l’importateur de données la présente clause, ainsi que la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12 dans les cas où l’exportateur de données a matériellement disparu ou a cessé d’exister en droit, à moins que l’ensemble de ses obligations juridiques n'ait été transféré, par contrat ou par effet de la loi, à l’entité qui lui succède, à laquelle reviennent par conséquent les droits et les obligations de l’exportateur de données, et contre laquelle la personne concernée peut donc faire appliquer lesdites clauses.

3.

La personne concernée peut faire appliquer contre le sous-traitant ultérieur la présente clause, ainsi que la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12, mais uniquement dans les cas où l’exportateur de données et l’importateur de données ont matériellement disparu, ont cessé d’exister en droit ou sont devenus insolvables, à moins que l’ensemble des obligations juridiques de l’exportateur de données n'ait été transféré, par contrat ou par effet de la loi, au successeur légal, auquel reviennent par conséquent les droits et les obligations de l’exportateur de données, et contre lequel la personne concernée peut donc faire appliquer lesdites clauses. Cette responsabilité civile du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux présentes clauses.

4.

Les parties ne s’opposent pas à ce que la personne concernée soit représentée par une association ou un autre organisme si elle en exprime le souhait et si le droit national l’autorise.

Clause 4

Obligations de l’exportateur de données

L’exportateur de données accepte et garantit ce qui suit:

a)

le traitement, y compris le transfert proprement dit des données à caractère personnel, a été et continuera d’être effectué conformément aux dispositions pertinentes du droit applicable à la protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l’État membre dans lequel l’exportateur de données est établi) et n’enfreint pas les dispositions pertinentes dudit État;

b)

il a chargé, et chargera pendant toute la durée des services de traitement de données à caractère personnel, l’importateur de données de traiter les données à caractère personnel transférées pour le compte exclusif de l’exportateur de données et conformément au droit applicable à la protection des données et aux présentes clauses;

c)

l’importateur de données offrira suffisamment de garanties en ce qui concerne les mesures techniques et d’organisation liées à la sécurité spécifiées dans l’appendice 2 du présent contrat;

d)

après l’évaluation des exigences du droit applicable à la protection des données, les mesures de sécurité sont adéquates pour protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé, notamment lorsque le traitement suppose la transmission de données par réseau, et contre toute autre forme illicite de traitement et elles assurent un niveau de sécurité adapté aux risques liés au traitement et à la nature des données à protéger, eu égard au niveau technologique et au coût de mise en œuvre;

e)

il veillera au respect des mesures de sécurité;

f)

si le transfert porte sur des catégories particulières de données, la personne concernée a été informée ou sera informée avant le transfert ou dès que possible après le transfert que ses données pourraient être transmises à un pays tiers n’offrant pas un niveau de protection adéquat au sens de la directive 95/46/CE;

g)

il transmettra toute notification reçue de l’importateur de données ou de tout sous-traitant ultérieur conformément à la clause 5, point b), et à la clause 8, paragraphe 3), à l’autorité de contrôle de la protection des données s’il décide de poursuivre le transfert ou de lever sa suspension;

h)

il mettra à la disposition des personnes concernées, si elles le demandent, une copie des présentes clauses, à l’exception de l’appendice 2, et une description sommaire des mesures de sécurité, ainsi qu’une copie de tout contrat de sous-traitance ultérieure ayant été conclu conformément aux présentes clauses, à moins que les clauses ou le contrat ne contienne(nt) des informations commerciales, auquel cas il pourra retirer ces informations;

i)

en cas de sous-traitance ultérieure, l’activité de traitement est effectuée conformément à la clause 11 par un sous-traitant ultérieur offrant au moins le même niveau de protection des données à caractère personnel et des droits de la personne concernée que l’importateur de données conformément aux présentes clauses; et

j)

il veillera au respect de la clause 4, points a) à i).

Clause 5

Obligations de l’importateur de données  (2)

L’importateur de données accepte et garantit ce qui suit:

a)

il traitera les données à caractère personnel pour le compte exclusif de l’exportateur de données et conformément aux instructions de ce dernier et aux présentes clauses; s’il est dans l’incapacité de s’y conformer pour quelque raison que ce soit, il accepte d’informer dans les meilleurs délais l’exportateur de données de son incapacité, auquel cas ce dernier a le droit de suspendre le transfert de données et/ou de résilier le contrat;

b)

il n’a aucune raison de croire que la législation le concernant l’empêche de remplir les instructions données par l’exportateur de données et les obligations qui lui incombent conformément au contrat, et si ladite législation fait l’objet d’une modification susceptible d’avoir des conséquences négatives importantes pour les garanties et les obligations offertes par les clauses, il communiquera la modification à l’exportateur de données sans retard après en avoir eu connaissance, auquel cas ce dernier a le droit de suspendre le transfert de données et/ou de résilier le contrat;

c)

il a mis en œuvre les mesures techniques et d’organisation liées à la sécurité spécifiées dans l’appendice 2 avant de traiter les données à caractère personnel transférées;

d)

il communiquera sans retard à l’exportateur de données:

i)

toute demande contraignante de divulgation des données à caractère personnel émanant d’une autorité de maintien de l’ordre, sauf disposition contraire, telle qu’une interdiction de caractère pénal visant à préserver le secret d’une enquête policière;

ii)

tout accès fortuit ou non autorisé; et

iii)

toute demande reçue directement des personnes concernées sans répondre à cette demande, à moins qu’il n’ait été autorisé à le faire;

e)

il traitera rapidement et comme il se doit toutes les demandes de renseignements émanant de l’exportateur de données relatives à son traitement des données à caractère personnel qui font l’objet du transfert et se rangera à l’avis de l’autorité de contrôle en ce qui concerne le traitement des données transférées;

f)

à la demande de l’exportateur de données, il soumettra ses moyens de traitement de données à une vérification des activités de traitement couvertes par les présentes clauses qui sera effectuée par l’exportateur de données ou un organe de contrôle composé de membres indépendants possédant les qualifications professionnelles requises, soumis à une obligation de secret et choisis par l’exportateur de données, le cas échéant, avec l’accord de l’autorité de contrôle;

g)

il mettra à la disposition de la personne concernée, si elle le demande, une copie des présentes clauses, ou tout contrat de sous-traitance ultérieure existant, à moins que les clauses ou le contrat ne contienne(nt) des informations commerciales, auquel cas il pourra retirer ces informations, à l’exception de l’appendice 2, qui sera remplacé par une description sommaire des mesures de sécurité, lorsque la personne concernée n’est pas en mesure d’obtenir une copie de l’exportateur de données;

h)

en cas de sous-traitance ultérieure, il veillera au préalable à informer l’exportateur de données et à obtenir l’accord écrit de ce dernier;

i)

les services de traitement fournis par le sous-traitant ultérieur seront conformes à la clause 11;

j)

il enverra dans les meilleurs délais une copie de tout accord de sous-traitance ultérieure conclu par lui en vertu des présentes clauses à l’exportateur de données.

Clause 6

Responsabilité

1.

Les parties conviennent que toute personne concernée ayant subi un dommage du fait d’un manquement aux obligations visées à la clause 3 ou à la clause 11 par une des parties ou par un sous-traitant ultérieur a le droit d’obtenir de l’exportateur de données réparation du préjudice subi.

2.

Si une personne concernée est empêchée d’intenter l’action en réparation visée au paragraphe 1 contre l’exportateur de données pour manquement par l’importateur de données ou par son sous-traitant ultérieur à l’une ou l’autre de ses obligations visées à la clause 3 ou à la clause 11, parce que l’exportateur de données a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable, l’importateur de données accepte que la personne concernée puisse déposer une plainte à son encontre comme s’il était l’exportateur de données, à moins que l’ensemble des obligations juridiques de l’exportateur de données n'ait été transféré, par contrat ou par effet de la loi, à l’entité qui lui succède, contre laquelle la personne concernée peut alors faire valoir ses droits.

L’importateur de données ne peut invoquer un manquement par un sous-traitant ultérieur à ses obligations pour échapper à ses propres responsabilités.

3.

Si une personne concernée est empêchée d’intenter l’action visée aux paragraphes 1 et 2 contre l’exportateur de données ou l’importateur de données pour manquement par le sous-traitant ultérieur à l’une ou l’autre de ses obligations visées à la clause 3 ou à la clause 11, parce que l’exportateur de données et l’importateur de données ont matériellement disparu, ont cessé d’exister en droit ou sont devenus insolvables, le sous-traitant ultérieur accepte que la personne concernée puisse déposer une plainte à son encontre en ce qui concerne ses propres activités de traitement conformément aux présentes clauses comme s’il était l’exportateur de données ou l’importateur de données, à moins que l’ensemble des obligations juridiques de l’exportateur de données ou de l’importateur de données n'ait été transféré, par contrat ou par effet de la loi, au successeur légal, contre lequel la personne concernée peut alors faire valoir ses droits. La responsabilité du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux présentes clauses.

Clause 7

Médiation et juridiction

1.

L’importateur de données convient que si, en vertu des clauses, la personne concernée invoque à son encontre le droit du tiers bénéficiaire et/ou demande réparation du préjudice subi, il acceptera la décision de la personne concernée:

a)

de soumettre le litige à la médiation d’une personne indépendante ou, le cas échéant, de l’autorité de contrôle;

b)

de porter le litige devant les tribunaux de l’État membre où l’exportateur de données est établi.

2.

Les parties conviennent que le choix effectué par la personne concernée ne remettra pas en cause le droit procédural ou matériel de cette dernière d’obtenir réparation conformément à d’autres dispositions du droit national ou international.

Clause 8

Coopération avec les autorités de contrôle

1.

L’exportateur de données convient de déposer une copie du présent contrat auprès de l’autorité de contrôle si celle-ci l’exige ou si ce dépôt est prévu par le droit applicable à la protection des données.

2.

Les parties conviennent que l’autorité de contrôle a le droit d’effectuer des vérifications chez l’importateur de données et chez tout sous-traitant ultérieur dans la même mesure et dans les mêmes conditions qu’en cas de vérifications opérées chez l’exportateur de données conformément au droit applicable à la protection des données.

3.

L’importateur de données informe l’exportateur de données, dans les meilleurs délais, de l’existence d’une législation le concernant ou concernant tout sous-traitant ultérieur faisant obstacle à ce que des vérifications soient effectuées chez lui ou chez tout sous-traitant ultérieur conformément au paragraphe 2. Dans ce cas, l’exportateur de données a le droit de prendre les mesures prévues par la clause 5, point b).

Clause 9

Droit applicable

Les clauses sont régies par le droit de l’État membre où l’exportateur de données est établi, à savoir …

Clause 10

Modification du contrat

Les parties s’engagent à ne pas modifier les présentes clauses. Les parties restent libres d’inclure d’autres clauses à caractère commercial qu’elles jugent nécessaires, à condition qu’elles ne contredisent pas les présentes clauses.

Clause 11

Sous-traitance ultérieure

1.

L’importateur de données ne sous-traite aucune de ses activités de traitement effectuées pour le compte de l’exportateur de données conformément aux présentes clauses sans l’accord écrit préalable de l’exportateur de données. L’importateur de données ne sous-traite les obligations qui lui incombent conformément aux présentes clauses, avec l’accord de l’exportateur de données, qu’au moyen d’un accord écrit conclu avec le sous-traitant ultérieur, imposant à ce dernier les mêmes obligations que celles qui incombent à l’importateur de données conformément aux présentes clauses (3). En cas de manquement, par le sous-traitant ultérieur, aux obligations en matière de protection des données qui lui incombent conformément audit accord écrit, l’importateur de données reste pleinement responsable du respect de ces obligations envers l’exportateur de données.

2.

Le contrat écrit préalable entre l’importateur de données et le sous-traitant ultérieur prévoit également une clause du tiers bénéficiaire telle qu’énoncée à la clause 3 pour les cas où la personne concernée est empêchée d’intenter l’action en réparation visée à la clause 6, paragraphe 1, contre l’exportateur de données ou l’importateur de données parce que ceux-ci ont matériellement disparu, ont cessé d’exister en droit ou sont devenus insolvables, et que l’ensemble des obligations juridiques de l’exportateur de données ou de l’importateur de données n’a pas été transféré, par contrat ou par effet de la loi, à une autre entité leur ayant succédé. Cette responsabilité civile du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux présentes clauses.

3.

Les dispositions relatives aux aspects de la sous-traitance ultérieure liés à la protection des données du contrat visé au paragraphe 1 sont régies par le droit de l’État membre où l’exportateur de données est établi, à savoir …

4.

L’exportateur de données tient une liste des accords de sous-traitance ultérieure conclus en vertu des présentes clauses et notifiés par l’importateur de données conformément à la clause 5, point j), qui sera mise à jour au moins une fois par an. Cette liste est mise à la disposition de l’autorité de contrôle de la protection des données de l’exportateur de données.

Clause 12

Obligation après la résiliation des services de traitement des données à caractère personnel

1.

Les parties conviennent qu’au terme des services de traitement des données, l’importateur de données et le sous-traitant ultérieur restitueront à l’exportateur de données, et à la convenance de celui-ci, l’ensemble des données à caractère personnel transférées ainsi que les copies, ou détruiront l’ensemble de ces données et en apporteront la preuve à l’exportateur de données, à moins que la législation imposée à l’importateur de données ne l’empêche de restituer ou de détruire la totalité ou une partie des données à caractère personnel transférées. Dans ce cas, l’importateur de données garantit qu’il assurera la confidentialité des données à caractère personnel transférées et qu’il ne traitera plus activement ces données.

2.

L’importateur de données et le sous-traitant ultérieur garantissent que si l’exportateur de données et/ou l’autorité de contrôle le demandent, ils soumettront leurs moyens de traitement de données à une vérification des mesures visées au paragraphe 1.

Au nom de l’exportateur de données:

Nom (écrit en toutes lettres): …

Fonction: …

Adresse: …

Autres informations nécessaires pour rendre le contrat contraignant (le cas échéant):

Image

Signature …

Au nom de l’importateur de données:

Nom (écrit en toutes lettres): …

Fonction: …

Adresse: …

Autres informations nécessaires pour rendre le contrat contraignant (le cas échéant):

Image

Signature …


(1)  Les parties peuvent reprendre, dans la présente clause, les définitions et les significations de la directive 95/46/CE si elles estiment qu’il est préférable que le contrat soit autonome.

(2)  Les exigences impératives de la législation nationale le concernant et qui ne vont pas au-delà de celles qui sont nécessaires dans une société démocratique pour l’un des intérêts énoncés à l’article 13, paragraphe 1, de la directive 95/46/CE, c’est-à-dire si elles constituent une mesure nécessaire pour sauvegarder la sûreté de l’État; la défense; la sécurité publique; la prévention, la recherche, la détection et la poursuite d’infractions pénales ou de manquements à la déontologie dans le cas de professions réglementées; un intérêt économique ou financier important d’un État ou la protection de la personne concernée ou des droits et libertés d’autrui, ne vont pas à l’encontre des clauses contractuelles types. Parmi les exemples de ces exigences impératives qui ne vont pas au-delà de celles qui sont nécessaires dans une société démocratique figurent, notamment, les sanctions reconnues sur le plan international, les obligations de déclaration fiscale et les obligations de déclaration de lutte contre le blanchiment des capitaux.

(3)  Cette condition peut être réputée remplie si le sous-traitant ultérieur est cosignataire du contrat conclu entre l’exportateur de données et l’importateur de données conformément à la présente décision.

Appendice 1

Des clauses contractuelles types

Le présent appendice fait partie des clauses et doit être rempli et signé par les parties.

Les États membres peuvent compléter ou préciser, selon leurs procédures nationales, toute information supplémentaire devant éventuellement être incluse dans le présent appendice.

Exportateur de données

L’exportateur de données est (veuillez préciser brièvement vos activités qui présentent un intérêt pour le transfert):

Importateur de données

L’importateur de données est (veuillez préciser brièvement vos activités qui présentent un intérêt pour le transfert):

Personnes concernées

Les données à caractère personnel transférées concernent les catégories suivantes de personnes concernées (veuillez préciser):

Catégories de données

Les données à caractère personnel transférées concernent les catégories suivantes de données (veuillez préciser):

Catégories particulières de données (le cas échéant)

Les données à caractère personnel transférées concernent les catégories particulières suivantes de données (veuillez préciser):

Traitement

Les données à caractère personnel transférées seront soumises aux activités de traitement de base suivantes (veuillez préciser):

 

EXPORTATEUR DE DONNÉES

Nom: …

Signature autorisée: …

 

IMPORTATEUR DE DONNÉES

Nom: …

Signature autorisée: …

Appendice 2

Des clauses contractuelles types

Le présent appendice fait partie des clauses et doit être rempli et signé par les parties.

Description des mesures techniques et d’organisation liées à la sécurité mises en œuvre par l’importateur de données conformément à la clause 4, point d), et à la clause 5, point c) (ou document/législation jointe):

EXEMPLE DE CLAUSE DE DÉDOMMAGEMENT (FACULTATIVE)

Responsabilité

Les parties conviennent que si l’une d’entre elles est tenue pour responsable d’une violation des clauses commise par l’autre partie, dans la mesure où celle-ci est responsable, elle dédommagera la première partie de tout coût, charge, dommage, dépense ou perte encourus par cette première partie.

Le dédommagement est subordonné à ce que:

a)

l’exportateur de données communique la plainte dans les meilleurs délais à l’importateur de données; et

b)

l’importateur de donnés se voie offrir la possibilité de coopérer avec l’exportateur de données à la défense et au règlement de la plainte (1).


(1)  Le paragraphe relatif à la responsabilité est facultatif.