EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32021D0915

Décision d’exécution (UE) 2021/915 de la Commission du 4 juin 2021 relative aux clauses contractuelles types entre les responsables du traitement et les sous-traitants au titre de l’article 28, paragraphe 7, du règlement (UE) 2016/679 du Parlement européen et du Conseil et de l’article 29, paragraphe 7, du règlement (UE) 2018/1725 du Parlement européen et du Conseil (Texte présentant de l’intérêt pour l’EEE)

C/2021/3701

OJ L 199, 7.6.2021, p. 18–30 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

In force

ELI: http://data.europa.eu/eli/dec_impl/2021/915/oj

7.6.2021   

FR

Journal officiel de l’Union européenne

L 199/18


DÉCISION D’EXÉCUTION (UE) 2021/915 DE LA COMMISSION

du 4 juin 2021

relative aux clauses contractuelles types entre les responsables du traitement et les sous-traitants au titre de l’article 28, paragraphe 7, du règlement (UE) 2016/679 du Parlement européen et du Conseil et de l’article 29, paragraphe 7, du règlement (UE) 2018/1725 du Parlement européen et du Conseil

(Texte présentant de l’intérêt pour l’EEE)

LA COMMISSION EUROPÉENNE,

vu le traité sur le fonctionnement de l’Union européenne,

vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (RGPD) (1), et notamment son article 28, paragraphe 7,

vu le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (RPDUE) (2), et notamment son article 29, paragraphe 7,

considérant ce qui suit:

(1)

Les notions de responsable du traitement et de sous-traitant jouent un rôle fondamental dans l’application du règlement (UE) 2016/679 et du règlement (UE) 2018/1725. Le «responsable du traitement» est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel. Aux fins du règlement (UE) 2018/1725, on entend par «responsable du traitement» l’institution ou l’organe de l’Union, la direction générale ou toute autre entité organisationnelle qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel. Lorsque les finalités et les moyens dudit traitement sont déterminés par un acte spécifique de l’Union, le responsable du traitement ou les critères spécifiques applicables pour le désigner peuvent être prévus par le droit de l’Union. Le «sous-traitant» est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

(2)

Le même ensemble de clauses contractuelles types devrait s’appliquer à l’égard de la relation entre les responsables du traitement et les sous-traitants relevant du règlement (UE) 2016/679, de même que lorsqu’ils sont soumis au règlement (UE) 2018/1725. En effet, afin de disposer d’une approche cohérente en matière de protection et de libre circulation des données à caractère personnel au sein de l’Union, les règles en matière de protection des données prévues par le règlement (UE) 2016/679, applicables au secteur public dans les États membres, et les règles en matière de protection des données énoncées dans le règlement (UE) 2018/1725, applicables aux institutions, organes et organismes de l’Union, ont été alignées les unes sur les autres dans toute la mesure du possible.

(3)

Afin de garantir le respect des exigences des règlements (UE) 2016/679 et (UE) 2018/1725, lorsque qu’il confie des activités de traitement à un sous-traitant, le responsable du traitement ne devrait faire appel qu’à des sous-traitants présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre de mesures techniques et organisationnelles qui satisfont aux exigences du règlement (UE) 2016/679 et du règlement (UE) 2018/1725, y compris en matière de sécurité du traitement.

(4)

Le traitement effectué par un sous-traitant doit être régi par un contrat ou un autre acte juridique en vertu du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement et qui énonce les éléments énumérés à l’article 28, paragraphes 3 et 4, du règlement (UE) 2016/679 ou à l’article 29, paragraphes 3 et 4, du règlement (UE) 2018/1725. Ce contrat ou cet acte se présente sous forme écrite, y compris sous forme électronique.

(5)

Conformément à l’article 28, paragraphe 6, du règlement (UE) 2016/679 et à l’article 29, paragraphe 6, du règlement (UE) 2018/1725, le responsable du traitement et le sous-traitant peuvent choisir soit de négocier un contrat particulier contenant les éléments obligatoires prévus respectivement à l’article 28, paragraphes 3 et 4, du règlement (UE) 2016/679, ou à l’article 29, paragraphes 3 et 4, du règlement (UE) 2018/1725, soit de se fonder, en tout ou en partie, sur les clauses contractuelles types adoptées par la Commission conformément à l’article 28, paragraphe 7, du règlement (UE) 2016/679 et à l’article 29, paragraphe 7, du règlement (UE) 2018/1725.

(6)

Le responsable du traitement et le sous-traitant ne devraient pas être empêchés d’inclure les clauses contractuelles types de la présente décision dans un contrat plus large, ni d’y ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les clauses contractuelles types et qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées. Il est fait appel aux clauses contractuelles types sans préjudice de toute obligation contractuelle incombant au responsable du traitement et/ou au sous-traitant d’assurer le respect des privilèges et immunités applicables.

(7)

Les clauses contractuelles types devraient inclure des règles tant de fond que de procédure. En outre, conformément à l’article 28, paragraphe 3, du règlement (UE) 2016/679 et à l’article 29, paragraphe 3, du règlement (UE) 2018/1725, les clauses contractuelles types devraient également exiger du responsable du traitement et du sous-traitant qu’ils définissent l’objet et la durée du traitement, sa nature et sa finalité, le type de données à caractère personnel et les catégories de personnes concernées, ainsi que les obligations et les droits du responsable du traitement.

(8)

Conformément à l’article 28, paragraphe 3, du règlement (UE) 2016/679 et à l’article 29, paragraphe 3, du règlement (UE) 2018/1725, le sous-traitant doit informer immédiatement le responsable du traitement si, selon lui, une instruction du responsable du traitement constitue une violation du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données.

(9)

Si un sous-traitant a recours aux services d’un autre sous-traitant pour mener des activités de traitement spécifiques, les exigences spécifiques énoncées à l’article 28, paragraphes 2 et 4, du règlement (UE) 2016/679 ou à l’article 29, paragraphes 2 et 4, du règlement (UE) 2018/1725 doivent s’appliquer. Une autorisation écrite préalable, spécifique ou générale, est notamment requise. Indépendamment de la nature spécifique ou générale de cette autorisation préalable, le premier sous-traitant doit tenir à jour une liste des autres sous-traitants.

(10)

Afin de satisfaire aux exigences de l’article 46, paragraphe 1, du règlement (UE) 2016/679, la Commission a adopté des clauses contractuelles types conformément à l’article 46, paragraphe 2, point c), du règlement (UE) 2016/679. Ces clauses satisfont également aux exigences de l’article 28, paragraphes 3 et 4, du règlement (UE) 2016/679 pour les transferts de données effectués par des responsables du traitement relevant du règlement (UE) 2016/679 vers des sous-traitants ne relevant pas du champ d’application territorial dudit règlement ou par des sous-traitants relevant du règlement (UE) 2016/679 vers des sous-traitants ultérieurs ne relevant pas du champ d’application territorial dudit règlement. Ces clauses contractuelles types ne peuvent servir de clauses contractuelles types aux fins du chapitre V du règlement (UE) 2016/679.

(11)

Les tiers devraient pouvoir devenir parties aux clauses contractuelles types tout au long du cycle de vie du contrat.

(12)

Le fonctionnement des clauses contractuelles types devrait être évalué dans le cadre de l’évaluation périodique du règlement (UE) 2016/679, prévue à l’article 97 de celui-ci.

(13)

Le Contrôleur européen de la protection des données et le comité européen de la protection des données ont été consultés conformément à l’article 42, paragraphes 1 et 2, du règlement (UE) 2018/1725 et ont rendu un avis conjoint le 14 janvier 2021 (3), qui a été pris en considération lors de l’élaboration de la présente décision.

(14)

Les mesures prévues par la présente décision sont conformes à l’avis du comité institué en vertu de l’article 93 du règlement (UE) 2016/679 et de l’article 96, paragraphe 2, du règlement (UE) 2018/1725,

A ADOPTÉ LA PRÉSENTE DÉCISION:

Article premier

Les clauses contractuelles types figurant en annexe satisfont aux exigences applicables aux contrats conclus entre les responsables du traitement et les sous-traitants énoncées à l’article 28, paragraphes 3 et 4, du règlement (UE) 2016/679 et à l’article 29, paragraphes 3 et 4, du règlement (UE) 2018/1725.

Article 2

Les clauses contractuelles types figurant en annexe peuvent être utilisées dans les contrats conclus entre un responsable du traitement et un sous-traitant qui traite des données à caractère personnel pour le compte du responsable du traitement.

Article 3

La Commission évalue l’application pratique des clauses contractuelles types figurant en annexe sur la base de toutes les informations disponibles dans le cadre de l’évaluation périodique prévue à l’article 97 du règlement (UE) 2016/679.

Article 4

La présente décision entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

Fait à Bruxelles, le 4 juin 2021.

Par la Commission

La présidente

Ursula VON DER LEYEN


(1)  JO L 119 du 4.5.2016, p. 1.

(2)  JO L 295 du 21.11.2018, p. 39.

(3)  Avis conjoint 1/2021 du comité européen de la protection des données et du Contrôleur européen de la protection des données sur la décision d’exécution de la Commission européenne relative aux clauses contractuelles types entre les responsables du traitement et les sous-traitants au titre de l’article 28, paragraphe 7, du règlement (UE) 2016/679 du Parlement européen et du Conseil et de l’article 29, paragraphe 7, du règlement (UE) 2018/1725 du Parlement européen et du Conseil.


ANNEXE

Clauses contractuelles types

SECTION I

Clause 1

Objet et champ d’application

a)

Les présentes clauses contractuelles types (ci-après les «clauses») ont pour objet de garantir la conformité avec [choisir l’option qui convient: OPTION 1: l’article 28, paragraphes 3 et 4, du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données]/[OPTION 2: l’article 29, paragraphes 3 et 4, du règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE].

b)

Les responsables du traitement et les sous-traitants énumérés à l’annexe I ont accepté ces clauses afin de garantir le respect des dispositions de l’article 28, paragraphes 3 et 4, du règlement (UE) 2016/679 et/ou des dispositions de l’article 29, paragraphes 3 et 4, du règlement (UE) 2018/1725.

c)

Les présentes clauses s’appliquent au traitement des données à caractère personnel tel que décrit à l’annexe II.

d)

Les annexes I à IV font partie intégrante des clauses.

e)

Les présentes clauses sont sans préjudice des obligations auxquelles le responsable du traitement est soumis en vertu du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725.

f)

Les clauses ne suffisent pas à elles seules pour assurer le respect des obligations relatives aux transferts internationaux conformément au chapitre V du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725.

Clause 2

Invariabilité des clauses

a)

Les parties s’engagent à ne pas modifier les clauses, sauf en ce qui concerne l’ajout d’informations aux annexes ou la mise à jour des informations qui y figurent.

b)

Les parties ne sont pour autant pas empêchées d’inclure les clauses contractuelles types définies dans les présentes clauses dans un contrat plus large, ni d’ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les clauses ou qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées.

Clause 3

Interprétation

a)

Lorsque des termes définis respectivement dans le règlement (UE) 2016/679 ou dans le règlement (UE) 2018/1725 figurent dans les clauses, ils s’entendent comme dans le règlement en question.

b)

Les présentes clauses doivent être lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679 et du règlement (UE) 2018/1725 respectivement.

c)

Les présentes clauses ne doivent pas être interprétées d’une manière contraire aux droits et obligations prévus par le règlement (UE) 2016/679 / le règlement (UE) 2018/1725 ou d’une manière qui porte atteinte aux libertés ou droits fondamentaux des personnes concernées.

Clause 4

Hiérarchie

En cas de contradiction entre les présentes clauses et les dispositions des accords connexes qui existent entre les parties au moment où les présentes clauses sont convenues ou qui sont conclus ultérieurement, les présentes clauses prévaudront.

Clause 5 — Facultative

Clause d’amarrage

a)

Toute entité qui n’est pas partie aux présentes clauses peut, avec l’accord de toutes les parties, y adhérer à tout moment, en qualité soit de responsable du traitement soit de sous-traitant, en complétant les annexes et en signant l’annexe I.

b)

Une fois que les annexes mentionnées au point a) sont complétées et signées, l’entité adhérente est considérée comme une partie aux présentes clauses et jouit des droits et est soumise aux obligations d’un responsable du traitement ou d’un sous-traitant, conformément à sa désignation à l’annexe I.

c)

Les présentes clauses ne créent pour la partie adhérente aucun droit ni aucune obligation pour la période précédant l’adhésion.

SECTION II

OBLIGATIONS DES PARTIES

Clause 6

Description du ou des traitements

Les détails des opérations de traitement, et notamment les catégories de données à caractère personnel et les finalités du traitement pour lesquelles les données à caractère personnel sont traitées pour le compte du responsable du traitement, sont précisés à l’annexe II.

Clause 7

Obligations des parties

7.1.   Instructions

a)

Le sous-traitant ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis. Dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si la loi le lui interdit pour des motifs importants d’intérêt public. Des instructions peuvent également être données ultérieurement par le responsable du traitement pendant toute la durée du traitement des données à caractère personnel. Ces instructions doivent toujours être documentées.

b)

Le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction donnée par le responsable du traitement constitue une violation du règlement (UE) 2016/679 / du règlement (UE) 2018/1725 ou d'autres dispositions du droit de l'Union ou du droit des États membres relatives à la protection des données.

7.2.   Limitation de la finalité

Le sous-traitant traite les données à caractère personnel uniquement pour la ou les finalités spécifiques du traitement, telles que définies à l’annexe II, sauf instruction complémentaire du responsable du traitement.

7.3.   Durée du traitement des données à caractère personnel

Le traitement par le sous-traitant n’a lieu que pendant la durée précisée à l’annexe II.

7.4.   Sécurité du traitement

a)

Le sous-traitant met au moins en œuvre les mesures techniques et organisationnelles précisées à l’annexe III pour assurer la sécurité des données à caractère personnel. Figure parmi ces mesures la protection des données contre toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel ou l'accès non autorisé à de telles données (violation de données à caractère personnel). Lors de l’évaluation du niveau de sécurité approprié, les parties tiennent dûment compte de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les personnes concernées.

b)

Le sous-traitant n’accorde aux membres de son personnel l’accès aux données à caractère personnel faisant l’objet du traitement que dans la mesure strictement nécessaire à l’exécution, à la gestion et au suivi du contrat. Le sous-traitant veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

7.5.   Données sensibles

Si le traitement porte sur des données à caractère personnel révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que des données génétiques ou des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique, ou des données relatives aux condamnations pénales et aux infractions («données sensibles»), le sous-traitant applique des limitations spécifiques et/ou des garanties supplémentaires.

7.6.   Documentation et conformité

a)

Les parties doivent pouvoir démontrer la conformité avec les présentes clauses.

b)

Le sous-traitant traite de manière rapide et adéquate les demandes du responsable du traitement concernant le traitement des données conformément aux présentes clauses.

c)

Le sous-traitant met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans les présentes clauses et découlant directement du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725. À la demande du responsable du traitement, le sous-traitant permet également la réalisation d’audits des activités de traitement couvertes par les présentes clauses et y contribue, à intervalles raisonnables ou en présence d’indices de non-conformité. Lorsqu’il décide d’un examen ou d’un audit, le responsable du traitement peut tenir compte des certifications pertinentes en possession du sous-traitant.

d)

Le responsable du traitement peut décider de procéder lui-même à l’audit ou de mandater un auditeur indépendant. Les audits peuvent également comprendre des inspections dans les locaux ou les installations physiques du sous-traitant et sont, le cas échéant, effectués moyennant un préavis raisonnable.

e)

Les parties mettent à la disposition de l’autorité de contrôle compétente/des autorités de contrôle compétentes, dès que celles-ci en font la demande, les informations énoncées dans la présente clause, y compris les résultats de tout audit.

7.7.   Recours à des sous-traitants ultérieurs

a)

OPTION 1: AUTORISATION SPÉCIFIQUE PRÉALABLE: le sous-traitant n’est pas autorisé à sous-traiter à un sous-traitant ultérieur les opérations de traitement qu’il effectue pour le compte du responsable du traitement en vertu des présentes clauses sans l’autorisation écrite spécifique préalable du responsable du traitement. Le sous-traitant soumet la demande d’autorisation spécifique au moins [PRÉCISER LA DURÉE] avant le recrutement du sous-traitant ultérieur en question, ainsi que les informations nécessaires pour permettre au responsable du traitement de prendre une décision au sujet de l’autorisation. La liste des sous-traitants ultérieurs autorisés par le responsable du traitement figure à l’annexe IV, que les parties tiennent à jour.

OPTION 2: AUTORISATION ÉCRITE GÉNÉRALE: le sous-traitant dispose de l’autorisation générale du responsable du traitement pour ce qui est du recrutement de sous-traitants ultérieurs sur la base d’une liste convenue. Le sous-traitant informe spécifiquement par écrit le responsable du traitement de tout projet de modification de cette liste par l’ajout ou le remplacement de sous-traitants ultérieurs au moins [PRÉCISER LA DURÉE] à l’avance, donnant ainsi au responsable du traitement suffisamment de temps pour pouvoir s’opposer à ces changements avant le recrutement du ou des sous-traitants ultérieurs concernés. Le sous-traitant fournit au responsable du traitement les informations nécessaires pour lui permettre d’exercer son droit d’opposition.

b)

Lorsque le sous-traitant recrute un sous-traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte du responsable du traitement), il le fait au moyen d’un contrat qui impose au sous-traitant ultérieur, en substance, les mêmes obligations en matière de protection des données que celles imposées au sous-traitant en vertu des présentes clauses. Le sous-traitant veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu des présentes clauses et du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725.

c)

À la demande du responsable du traitement, le sous-traitant lui fournit une copie de ce contrat conclu avec le sous-traitant ultérieur et de toute modification qui y est apportée ultérieurement. Dans la mesure nécessaire à la protection des secrets d’affaires ou d’autres informations confidentielles, y compris les données à caractère personnel, le sous-traitant peut expurger le texte du contrat avant d’en diffuser une copie.

d)

Le sous-traitant demeure pleinement responsable, à l’égard du responsable du traitement, de l’exécution des obligations du sous-traitant ultérieur conformément au contrat conclu avec le sous-traitant ultérieur. Le sous-traitant informe le responsable du traitement de tout manquement du sous-traitant ultérieur à ses obligations contractuelles.

e)

Le sous-traitant convient avec le sous-traitant ultérieur d’une clause du tiers bénéficiaire selon laquelle — dans le cas où le sous-traitant a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable — le responsable du traitement a le droit de résilier le contrat conclu avec le sous-traitant ultérieur et de donner instruction au sous-traitant ultérieur d’effacer ou de renvoyer les données à caractère personnel.

7.8.   Transferts internationaux

a)

Tout transfert de données vers un pays tiers ou une organisation internationale par le sous-traitant n’est effectué que sur la base d’instructions documentées du responsable du traitement ou afin de satisfaire à une exigence spécifique du droit de l’Union ou du droit de l’État membre à laquelle le sous-traitant est soumis et s’effectue conformément au chapitre V du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725.

b)

Le responsable du traitement convient que lorsque le sous-traitant recrute un sous-traitant ultérieur conformément à la clause 7.7 pour mener des activités de traitement spécifiques (pour le compte du responsable du traitement) et que ces activités de traitement impliquent un transfert de données à caractère personnel au sens du chapitre V du règlement (UE) 2016/679, le sous-traitant et le sous-traitant ultérieur peuvent garantir le respect du chapitre V du règlement (UE) 2016/679 en utilisant les clauses contractuelles types adoptées par la Commission sur la base de l’article 46, paragraphe 2, du règlement (UE) 2016/679, pour autant que les conditions d’utilisation de ces clauses contractuelles types soient remplies.

Clause 8

Assistance au responsable du traitement

a)

Le sous-traitant informe sans délai le responsable du traitement de toute demande qu’il a reçue de la part de la personne concernée. Il ne donne pas lui-même suite à cette demande, à moins que le responsable du traitement des données ne l’y ait autorisé.

b)

Le sous-traitant prête assistance au responsable du traitement pour ce qui est de remplir l’obligation qui lui incombe de répondre aux demandes des personnes concernées d’exercer leurs droits, en tenant compte de la nature du traitement. Dans l’exécution de ses obligations conformément aux points a) et b), le sous-traitant se conforme aux instructions du responsable du traitement.

c)

Outre l’obligation incombant au sous-traitant d’assister le responsable du traitement en vertu de la clause 8, point b), le sous-traitant aide en outre le responsable du traitement à garantir le respect des obligations suivantes, compte tenu de la nature du traitement et des informations dont dispose le sous-traitant:

1)

l’obligation de procéder à une évaluation de l’incidence des opérations de traitement envisagées sur la protection des données à caractère personnel («analyse d’impact relative à la protection des données») lorsqu’un type de traitement est susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques;

2)

l’obligation de consulter l'autorité de contrôle compétente/les autorités de contrôle compétentes préalablement au traitement lorsqu'une analyse d'impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque;

3)

l’obligation de veiller à ce que les données à caractère personnel soient exactes et à jour, en informant sans délai le responsable du traitement si le sous-traitant apprend que les données à caractère personnel qu’il traite sont inexactes ou sont devenues obsolètes;

4)

les obligations prévues à [OPTION 1] l’article 32 du règlement (UE) 2016/679 / [OPTION 2] aux articles 33, 36 à 38 du règlement (UE) 2018/1725.

d)

Les parties définissent à l’annexe III les mesures techniques et organisationnelles appropriées par lesquelles le sous-traitant est tenu de prêter assistance au responsable du traitement dans l’application de la présente clause, ainsi que la portée et l’étendue de l’assistance requise.

Clause 9

Notification de violations de données à caractère personnel

En cas de violation de données à caractère personnel, le sous-traitant coopère avec le responsable du traitement et lui prête assistance aux fins de la mise en conformité avec les obligations qui lui incombent en vertu des articles 33 et 34 du règlement (UE) 2016/679 ou des articles 34 et 35 du règlement (UE) 2018/1725, selon celui qui est applicable, en tenant compte de la nature du traitement et des informations dont dispose le sous-traitant.

9.1.   Violation de données en rapport avec des données traitées par le responsable du traitement

En cas de violation de données à caractère personnel en rapport avec des données traitées par le responsable du traitement, le sous-traitant prête assistance au responsable du traitement:

a)

aux fins de la notification de la violation de données à caractère personnel à l’autorité de contrôle compétente/aux autorités de contrôle compétentes, dans les meilleurs délais après que le responsable du traitement en a eu connaissance, le cas échéant (sauf si la violation de données à caractère personnel est peu susceptible d'engendrer un risque pour les droits et libertés des personnes physiques);

b)

aux fins de l’obtention des informations suivantes qui, conformément à [OPTION 1] l’article 33, paragraphe 3, du règlement (UE) 2016/679 / [OPTION 2] l’article 34, paragraphe 3, du règlement (UE) 2018/1725, doivent figurer dans la notification du responsable du traitement, et inclure, au moins:

1)

la nature des données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;

2)

les conséquences probables de la violation de données à caractère personnel;

3)

les mesures prises ou les mesures que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Lorsque, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et, à mesure qu’elles deviennent disponibles, des informations supplémentaires sont communiquées par la suite dans les meilleurs délais;

c)

aux fins de la satisfaction, conformément à [OPTION 1] l’article 34 du règlement (UE) 2016/679 / [OPTION 2] l’article 35 du règlement (UE) 2018/1725, de l’obligation de communiquer dans les meilleurs délais la violation de données à caractère personnel à la personne concernée, lorsque la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

9.2.   Violation de données en rapport avec des données traitées par le sous-traitant

En cas de violation de données à caractère personnel en rapport avec des données traitées par le sous-traitant, celui-ci en informe le responsable du traitement dans les meilleurs délais après en avoir pris connaissance. Cette notification contient au moins:

a)

une description de la nature de la violation constatée (y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et d'enregistrements de données à caractère personnel concernés);

b)

les coordonnées d’un point de contact auprès duquel des informations supplémentaires peuvent être obtenues au sujet de la violation de données à caractère personnel;

c)

ses conséquences probables et les mesures prises ou les mesures qu’il est proposé de prendre pour remédier à la violation, y compris pour en atténuer les éventuelles conséquences négatives.

Lorsque, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et, à mesure qu’elles deviennent disponibles, des informations supplémentaires sont communiquées par la suite dans les meilleurs délais.

Les parties définissent à l’annexe III tous les autres éléments que le sous-traitant doit communiquer lorsqu’il prête assistance au responsable du traitement aux fins de la satisfaction des obligations incombant à ce dernier en vertu [OPTION 1] des articles 33 et 34 du règlement (UE) 2016/679/[OPTION 2] des articles 34 et 35 du règlement (UE) 2018/1725.

SECTION III

DISPOSITIONS FINALES

Clause 10

Non-respect des clauses et résiliation

a)

Sans préjudice des dispositions du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725, en cas de manquement du sous-traitant aux obligations qui lui incombent en vertu des présentes clauses, le responsable du traitement peut donner instruction au sous-traitant de suspendre le traitement des données à caractère personnel jusqu’à ce que ce dernier se soit conformé aux présentes clauses ou jusqu’à ce que le contrat soit résilié. Le sous-traitant informe rapidement le responsable du traitement s’il n’est pas en mesure de se conformer aux présentes clauses, pour quelque raison que ce soit.

b)

Le responsable du traitement est en droit de résilier le contrat dans la mesure où il concerne le traitement de données à caractère personnel conformément aux présentes clauses si:

1)

le traitement de données à caractère personnel par le sous-traitant a été suspendu par le responsable du traitement conformément au point a) et le respect des présentes clauses n’est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d’un mois à compter de la suspension;

2)

le sous-traitant est en violation grave ou persistante des présentes clauses ou des obligations qui lui incombent en vertu du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725;

3)

le sous-traitant ne se conforme pas à une décision contraignante d’une juridiction compétente ou de l’autorité de contrôle compétente/des autorités de contrôle compétentes concernant les obligations qui lui incombent en vertu des présentes clauses ou du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725.

c)

Le sous-traitant est en droit de résilier le contrat dans la mesure où il concerne le traitement de données à caractère personnel en vertu des présentes clauses lorsque, après avoir informé le responsable du traitement que ses instructions enfreignent les exigences juridiques applicables conformément à la clause 7.1, point b), le responsable du traitement insiste pour que ses instructions soient suivies.

d)

À la suite de la résiliation du contrat, le sous-traitant supprime, selon le choix du responsable du traitement, toutes les données à caractère personnel traitées pour le compte du responsable du traitement et certifie auprès de celui-ci qu’il a procédé à cette suppression, ou renvoie toutes les données à caractère personnel au responsable du traitement et détruit les copies existantes, à moins que le droit de l’Union ou le droit national n’impose de les conserver plus longtemps. Le sous-traitant continue de veiller à la conformité aux présentes clauses jusqu’à la suppression ou à la restitution des données.


ANNEXE I

Liste des parties

Responsable(s) du traitement: [Identité et coordonnées du ou des responsables du traitement et, le cas échéant, du délégué à la protection des données du responsable du traitement]

1.

Nom: …

 

Adresse: …

 

Nom, fonction et coordonnées de la personne de contact: …

 

Signature et date d’adhésion: …

2.

 

Sous-traitant(s): [Identité et coordonnées du ou des sous-traitants et, le cas échéant, du délégué à la protection des données du sous-traitant]

1.

Nom: …

 

Adresse: …

 

Nom, fonction et coordonnées de la personne de contact: …

 

Signature et date d’adhésion: …

2.

 


ANNEXE II

Description du traitement

Catégories de personnes concernées dont les données à caractère personnel sont traitées

Catégories de données à caractère personnel traitées

Les données sensibles traitées (le cas échéant) et les limitations ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, tels que, par exemple, la limitation stricte de la finalité, les restrictions des accès (y compris l’accès réservé uniquement au personnel ayant suivi une formation spécialisée), la tenue d’un registre de l’accès aux données, les restrictions applicables aux transferts ultérieurs ou les mesures de sécurité supplémentaires.

Nature du traitement

Finalité(s) pour laquelle (lesquelles) les données à caractère personnel sont traitées pour le compte du responsable du traitement

Durée du traitement

Pour le traitement par les sous-traitants (ultérieurs), préciser également l’objet, la nature et la durée du traitement.


ANNEXE III

Mesures techniques et organisationnelles, y compris mesures techniques et organisationnelles visant à garantir la sécurité des données

NOTE EXPLICATIVE:

Les mesures techniques et organisationnelles doivent faire l’objet d’une description concrète, et non pas générique.

Description des mesures de sécurité techniques et organisationnelles mises en œuvre par le ou les sous-traitants (y compris toute certification pertinente) visant à garantir un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques. Exemples de mesures possibles:

 

mesures de pseudonymisation et de chiffrement des données à caractère personnel;

 

mesures visant à garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

 

mesures assurant de disposer de moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;

 

procédures visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement;

 

mesures d’identification et d’autorisation de l’utilisateur;

 

mesures de protection des données pendant la transmission;

 

mesures de protection des données pendant le stockage;

 

mesures visant à garantir la sécurité physique des sites où les données à caractère personnel sont traitées;

 

mesures visant à garantir l’enregistrement des événements;

 

mesures visant à assurer la configuration des systèmes, y compris la configuration par défaut;

 

mesures de gouvernance et de gestion de l’informatique interne et de la sécurité informatique;

 

mesures de certification/assurance des procédés et produits;

 

mesures visant à garantir la minimisation des données;

 

mesures visant à garantir la qualité des données;

 

mesures visant à garantir une conservation limitée des données;

 

mesures visant à garantir la responsabilité;

 

mesures permettant la portabilité des données et garantissant l’effacement]

Pour les transferts vers des sous-traitants (ultérieurs), décrire également les mesures techniques et organisationnelles spécifiques que doit prendre le sous-traitant (ultérieur) pour être en mesure de prêter assistance au responsable du traitement.

Description des mesures techniques et organisationnelles spécifiques que le sous-traitant doit prendre pour pouvoir prêter assistance au responsable du traitement.


ANNEXE IV

Liste de sous-traitants ultérieurs

NOTE EXPLICATIVE:

La présente annexe doit être complétée en cas d’autorisation spécifique de sous-traitants ultérieurs [clause 7.7, point a), option 1].

Le responsable du traitement a autorisé le recours aux sous-traitants ultérieurs suivants:

1.

Nom: …

 

Adresse: …

 

Nom, fonction et coordonnées de la personne de contact: …

 

Description du traitement (y compris une délimitation claire des responsabilités dans le cas où plusieurs sous-traitants ultérieurs sont autorisés): …

2.


Top