29.12.2004 |
FR |
Journal officiel de l'Union européenne |
L 385/74 |
DÉCISION DE LA COMMISSION
du 27 décembre 2004
modifiant la décision 2001/497/CE en ce qui concerne l’introduction d’un ensemble alternatif de clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers
[notifiée sous le numéro C(2004) 5271]
(Texte présentant de l'intérêt pour l'EEE)
(2004/915/CE)
LA COMMISSION DES COMMUNAUTÉS EUROPÉENNES,
vu le traité instituant la Communauté européenne,
vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (1), et notamment son article 26, paragraphe 4,
considérant ce qui suit:
(1) |
Afin de faciliter les flux de données provenant de la Communauté, il est souhaitable que les responsables du traitement des données puissent effectuer les transferts de données globalement, conformément à un ensemble unique de règles de protection des données. En l’absence de normes universelles en matière de protection des données, les clauses contractuelles types constituent un outil important pour permettre le transfert des données à caractère personnel provenant de tous les États membres conformément à un ensemble de règles commun. La décision 2001/497/CE de la Commission du 15 juin 2001 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu de la directive 95/46/CE (2) établit à cet effet un ensemble modèle de clauses contractuelles types qui offre des garanties adéquates pour le transfert de données vers des pays tiers. |
(2) |
Une expérience considérable a été accumulée depuis l’adoption de ladite décision. En outre, une coalition d’associations professionnelles (3) a soumis un autre ensemble de clauses contractuelles types conçu pour offrir un niveau de protection des données équivalent à celui offert par l’ensemble de clauses contractuelles types figurant dans la décision 2001/497/CE mais en recourant à des mécanismes différents. |
(3) |
Étant donné que l’utilisation de clauses contractuelles types pour les transferts de données internationaux est volontaire et que les clauses contractuelles types ne sont qu’une possibilité parmi d’autres prévues par la directive 95/46/CE pour transférer légalement des données à caractère personnel vers un pays tiers, les exportateurs de données dans la Communauté et les importateurs de données dans les pays tiers devraient avoir la faculté de sélectionner l’un des ensembles de clauses contractuelles types ou de choisir une autre base juridique pour le transfert des données. Comme chaque ensemble complet forme un modèle, les exportateurs de données ne devraient pas être autorisés à modifier ces ensembles ou à la fusionner, en totalité ou en partie, de quelque manière que ce soit. |
(4) |
Les clauses contractuelles types soumises par les associations professionnelles visent à renforcer l’utilisation de clauses contractuelles par des mécanismes tels que l’assouplissement des exigences de vérification ou l’établissement de règles plus détaillées en ce qui concerne le droit d’accès. |
(5) |
De plus, en tant qu’alternative au système de responsabilité solidaire prévu dans la décision 2001/497/CE, l’ensemble présentement soumis contient un régime de responsabilité reposant sur des obligations de diligence, selon lequel l’exportateur et l’importateur des données sont responsables, vis-à-vis des personnes concernées, de leurs manquements respectifs à leurs obligations contractuelles; l’exportateur de données est également responsable s’il n’a pas entrepris de démarches raisonnables pour s’assurer que l’importateur de données est à même de satisfaire aux obligations juridiques qui lui incombent en vertu des clauses (culpa in eligendo) et, à ce titre, la personne concernée peut exercer un recours contre l’exportateur de données. L’application de la clause I, point b), du nouvel ensemble de clauses contractuelles types revêt une importance particulière à cet égard, notamment en ce qui concerne la possibilité pour l’exportateur de données de procéder à des vérifications au siège de l’importateur de données ou de demander à celui-ci de prouver qu’il dispose de ressources financières suffisantes pour assumer ses responsabilités. |
(6) |
En ce qui concerne l’exercice des droits du tiers bénéficiaire par les personnes concernées, une implication plus importante de l’exportateur de données dans le règlement des plaintes des personnes concernées est prévue, l’exportateur de données étant tenu de prendre contact avec l’importateur de données et, si nécessaire, de faire appliquer le contrat dans un délai normal d’un mois. Si l’exportateur de données refuse de faire appliquer le contrat et que le manquement de l’importateur de données se poursuit, la personne concernée peut faire valoir les clauses à l’encontre de l’importateur de données et, en fin de compte, le poursuivre devant une juridiction communautaire. Cette acceptation de juridiction et l’engagement de se conformer à la décision d’un tribunal compétent ou de l’autorité en charge de la protection des données ne remet en cause aucun des droits procéduraux des importateurs de données établis dans des pays tiers, notamment en ce qui concerne les recours. |
(7) |
Toutefois, afin de prévenir les abus de cette flexibilité accrue, il convient de prévoir que les autorités en charge de la protection des données puissent plus aisément interdire ou suspendre les transferts de données sur la base du nouvel ensemble de clauses contractuelles types dans les cas où l’exportateur de données refuse de prendre des mesures appropriées pour faire valoir les obligations contractuelles à l’encontre de l’importateur de données ou lorsque ce dernier refuse de coopérer de bonne foi avec les autorités compétentes en matière de contrôle de la protection des données. |
(8) |
L’utilisation des clauses contractuelles types se fera sans préjudice de l’application des dispositions nationales adoptées en vertu de la directive 95/46/CE ou de la directive 2002/58/CE (4) concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), notamment en ce qui concerne l’envoi de communications commerciales aux citoyens de l’Union européenne. |
(9) |
Sur cette base, les garanties contenues dans les clauses contractuelles types soumises peuvent être considérées comme adéquates au sens de l’article 26, paragraphe 2, de la directive 95/46/CE. |
(10) |
Le groupe de travail sur la protection des personnes à l’égard du traitement des données à caractère personnel institué en vertu de l’article 29 de la directive 95/46/CE a émis un avis (5) sur le niveau de protection assuré par les clauses contractuelles types soumises, dont il a été tenu compte. |
(11) |
Afin d'évaluer l'effet des amendements à la décision 2001/497/CE, il convient que la Commission les évaluent trois ans après leur notification aux États membres. |
(12) |
La décision 2001/497/CE doit être modifiée en conséquence. |
(13) |
Les mesures prévues par la présente décision sont conformes à l’avis du comité institué en vertu de l’article 31 de la directive 95/46/CE, |
A ARRÊTÉ LA PRÉSENTE DÉCISION:
Article premier
La décision 2001/497/CE est modifiée comme suit:
1) |
À l’article 1er, le paragraphe suivant est ajouté: «Les responsables du traitement des données peuvent choisir entre les ensembles I et II de l’annexe. Ils ne peuvent toutefois pas modifier les clauses ni combiner des clauses individuelles ou les ensembles.» |
2) |
À l’article 4, les paragraphes 2 et 3 sont remplacés par les paragraphes 2 et 3 suivants: «2. Aux fins du paragraphe 1, lorsque le responsable du traitement des données offre des garanties adéquates sur la base des clauses contractuelles types contenues dans l’ensemble II de l’annexe, les autorités compétentes en matière de protection des données peuvent exercer les pouvoirs dont elles disposent pour interdire ou suspendre les flux de données dans les cas suivants:
Aux fins du premier alinéa, le refus de mauvaise foi ou le refus d’appliquer le contrat par l’importateur de données ne couvre pas les cas où la coopération ou l’application entrerait en conflit avec les exigences impératives de la législation nationale le concernant et qui ne vont pas au-delà de celles qui sont nécessaires dans une société démocratique sur la base de l’un des intérêts énumérés à l’article 13, paragraphe 1, de la directive 95/46/CE, notamment les sanctions reconnues sur le plan international, les obligations de déclaration fiscale et les obligations de déclaration dans le cadre de la lutte contre le blanchiment d’argent. Aux fins du point a) du premier alinéa, la coopération peut inclure, en particulier, la soumission pour vérification des moyens de traitement des données de l’importateur de données ou l’obligation de se soumettre à l’avis de l’autorité de contrôle de la protection des données dans la Communauté. 3. L’interdiction ou la suspension visée aux paragraphes 1 et 2 est levée dès que les raisons qui la motivaient disparaissent. 4. Lorsque les États membres adoptent des mesures conformément aux paragraphes 1 et 2, ils en informent sans délai la Commission, qui transmet l’information aux autres États membres.» |
3) |
À l'article 5, la première phrase est remplacée par le texte suivant: «La Commission évaluera l'effet de cette décision sur la base des informations disponibles trois ans après sa notification aux États membres ainsi qu'après la notification de tout amendement qui pourrait y être apporté.» |
4) |
L’annexe est modifiée comme suit:
|
Article 2
La présente décision s’applique à compter du 1er avril 2005.
Article 3
Les États membres sont destinataires de la présente décision.
Fait à Bruxelles, le 27 décembre 2004.
Par la Commission
Charlie McCREEVY
Membre de la Commission
(1) JO L 281 du 23.11.1995, p. 31. Directive modifiée par le règlement (CE) no 1883/2003 (JO L 284 du 31.10.2003, p. 1).
(2) JO L 181 du 4.7.2001, p. 19.
(3) La Chambre de commerce internationale (ICC), l’Association des entreprises japonaises en Europe (JBCE), l’Association européenne des technologies de l’information et des communications (EICTA), le Comité UE de la Chambre de commerce américaine en Belgique (Amcham), la Confédération de l’industrie britannique (CBI), La Table ronde internationale de la communication (ICRT) et la Fédération des associations européennes de vente directe (FEDMA).
(4) JO L 201 du 31.7.2002, p. 37.
(5) Avis no 8/2003, disponible sur: http://europa.eu.int/comm/privacy
ANNEXE
ENSEMBLE II
Clauses contractuelles types pour le transfert de données à caractère personnel à partir de la Communauté vers des pays tiers (transferts de responsable du traitement à responsable du traitement)
Accord de transfert de données
entre
_(nom)
_(adresse et pays d’établissement)
ci-après, “l’exportateur de données”
d’une part, et
_(nom)
_(adresse et pays d’établissement)
ci-après, “l’importateur de données”, d’autre part,
dénommés ensemble “les parties” et individuellement “partie”
Définitions
Au sens des clauses:
a) |
“données à caractère personnel”, “catégories spéciales de données/données sensibles”, “traiter/traitement”, “responsable du traitement”, “sous-traitant”, “personne concernée” et “autorité de contrôle/autorité” ont la même signification que dans la directive 95/46/CE du 24 octobre 1995 (“l’autorité” étant l’autorité compétente en matière de protection des données sur le territoire où l’exportateur de données est établi); |
b) |
l'“exportateur de données” est le responsable du traitement qui transfère les données à caractère personnel; |
c) |
l'“importateur de données” est le responsable du traitement qui accepte de recevoir de l’exportateur de données des données à caractère personnel destinées à être traitées conformément aux termes des présentes clauses et qui n’est pas soumis au mécanisme d’un pays tiers assurant une protection adéquate; |
d) |
les “clauses” sont les présentes clauses contractuelles, qui constituent un document indépendant et ne comprennent pas de dispositions commerciales convenues par les parties dans le cadre d’accords commerciaux distincts. |
Les détails du transfert (ainsi que les données à caractère personnel couvertes) sont spécifiés à l’annexe B, qui fait partie intégrante des clauses.
I. Obligations de l’exportateur de données
L’exportateur de données offre les garanties et prend les engagements suivants:
a) |
Les données à caractère personnel ont été collectées, traitées et transférées conformément aux lois applicables à l’exportateur de données. |
b) |
L’exportateur de données a entrepris des démarches raisonnables pour s’assurer que l’importateur de données est à même de satisfaire aux obligations juridiques qui lui incombent en vertu des présentes clauses. |
c) |
L’exportateur de données communique à l’importateur de données, à la demande de ce dernier, le texte des lois pertinentes en matière de protection des données du pays dans lequel il est établi ou les références de ces lois (si approprié et sans inclure d’avis juridique). |
d) |
L’exportateur de données répond aux demandes de renseignements des personnes concernées et de l’autorité au sujet du traitement des données à caractère personnel par l’importateur de données, à moins que les parties n’aient convenu que c’est l’importateur de données qui y répond, auquel cas l’exportateur de données doit néanmoins répondre dans la mesure du possible en communiquant les informations dont il peut raisonnablement disposer si l’importateur de données ne consent pas à répondre ou n’est pas en mesure de le faire. Les réponses sont apportées dans des délais raisonnables. |
e) |
L’exportateur de données remet, sur demande, un exemplaire des clauses aux personnes concernées qui sont des tiers bénéficiaires en vertu de la clause III, à moins que les clauses ne contiennent des informations confidentielles, auquel cas il est autorisé à retirer lesdites informations. Lorsque des informations sont retirées, l’exportateur de données informe les personnes concernées, par écrit, de la raison du retrait et de leur droit de porter ce retrait à la connaissance de l’autorité. Toutefois, l’exportateur de données se conforme à une décision de l’autorité concernant l’accès au texte intégral des clauses par les personnes concernées, pour autant que ces dernières aient accepté de respecter la confidentialité des informations confidentielles retirées. L’exportateur de données fournit également un exemplaire des clauses à l’autorité lorsque cette dernière le lui demande. |
II. Obligations de l’importateur de données
L’importateur de données offre les garanties et prend les engagements suivants:
a) |
L’importateur de données met en place les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte accidentelle, une altération, une divulgation ou un accès non autorisé. Ces mesures assurent un niveau de sécurité adapté au risque lié au traitement et à la nature des données à protéger. |
b) |
L’importateur de données met en place des procédures assurant que les tiers qu’il autorise à accéder aux données à caractère personnel, y compris les sous-traitants, respectent et préservent la confidentialité et la sécurité des données à caractère personnel. Toute personne agissant sous l’autorité de l’importateur de données, y compris un sous-traitant, ne peut traiter les données à caractère personnel que sur instruction de l’importateur de données. Cette disposition ne s’applique pas aux personnes que la loi ou la réglementation autorise ou oblige à accéder aux données à caractère personnel. |
c) |
Au moment où il adhère aux présentes clauses, l’importateur de données n’a pas connaissance de l’existence de lois locales susceptibles d’affecter de façon substantielle les garanties offertes en vertu des présentes clauses et, s’il apprend l’existence de telles lois, il en informe l’exportateur de données (qui transmettra cette notification à l’autorité si nécessaire). |
d) |
L’importateur de données traite les données à caractère personnel aux fins décrites à l’annexe B et il est juridiquement habilité à donner les garanties et à prendre les engagements énoncés dans les présentes clauses. |
e) |
L’importateur de données désigne à l’exportateur de données un point de contact au sein de son organisation qui est autorisé à répondre aux demandes de renseignements concernant le traitement des données à caractère personnel et coopère de bonne foi avec l’exportateur de données, les personnes concernées et l’autorité au sujet de toutes ces demandes de renseignements dans des délais raisonnables. En cas de dissolution légale de l’exportateur de données ou si les parties en ont convenu ainsi, l’importateur de données assume la responsabilité de la conformité aux dispositions de la clause I e). |
f) |
À la demande de l’exportateur de données, l’importateur de données lui apporte la preuve qu’il dispose de ressources financières suffisantes pour assumer ses responsabilités au titre de la clause III (ce qui peut inclure la couverture d’une assurance). |
g) |
Sur demande raisonnable de l’exportateur de données, l’importateur de données soumet ses moyens de traitement des données, ses fichiers de données et la documentation nécessaire au traitement à l’examen, à la vérification et/ou à la certification par l’exportateur de données (ou tout inspecteur ou vérificateur indépendant ou impartial sélectionné par l’exportateur de données et que l’importateur de données ne peut raisonnablement récuser) afin de vérifier la conformité aux garanties données et aux engagements pris dans les présentes clauses, moyennant un préavis raisonnable et durant les heures de bureau habituelles. La demande est soumise, si nécessaire, à l’autorisation ou à l’approbation d’une autorité réglementaire ou de contrôle du pays de l’importateur de données, lequel s’efforce d’obtenir cette autorisation ou approbation dans les meilleurs délais. |
h) |
L’importateur de données traite les données à caractère personnel, selon son choix, conformément:
|
i) |
L’importateur de données ne divulgue pas et ne transfère pas les données à caractère personnel à un responsable du traitement dans un pays tiers situé en dehors de l’Espace économique européen (EEE) sans notifier ce transfert à l’exportateur de données et sans
|
III. Responsabilité et droits des tiers
a) |
Chaque partie est responsable envers l’autre partie des dommages qu’elle cause par suite d’un manquement aux présentes clauses. La responsabilité entre les parties se limite au dommage effectif subi. Des pénalités (c’est-à-dire des dommages-intérêts destinés à punir une partie pour sa conduite outrageante) sont spécifiquement exclues. Chaque partie est responsable envers les personnes concernées des dommages qu’elle cause par suite d’une violation des droits des tiers au titre des présentes clauses, sans que cela n’affecte la responsabilité de l’exportateur de données en vertu de la loi sur la protection des données à laquelle il est soumis. |
b) |
Les parties conviennent qu’une personne concernée a le droit de faire appliquer, en tant que tiers bénéficiaire, la présente clause, ainsi que les clauses I b), I d), I e), II a), II c), II d), II e), II h), II i), III a), V, VI d) et VII à l’encontre de l’importateur de données ou de l’exportateur de données, pour leurs manquements respectifs à leurs obligations contractuelles, en ce qui concerne ses données à caractère personnel, et accepte la juridiction à cette fin du pays d’établissement de l’exportateur de données. Dans les cas impliquant des allégations de manquement dans le chef de l’importateur de données, la personne concernée doit d’abord demander à l’exportateur de données de prendre des mesures appropriées pour faire valoir ses droits à l’encontre de l’importateur de données; si l’exportateur de données ne prend pas ces mesures dans des délais raisonnables (qui, dans des circonstances normales, seraient d’un mois), la personne concernée peut alors faire valoir ses droits à l’encontre de l’importateur de données directement. Une personne concernée est en droit de procéder directement à l’encontre d’un exportateur de données qui n’a pas entrepris de démarches raisonnables pour déterminer que l’importateur de données est à même de satisfaire à ses obligations légales au titre des présentes clauses (il appartient à l’exportateur de données de prouver qu’il a entrepris des démarches raisonnables). |
IV. Droit applicable aux clauses
Les présentes clauses sont régies par le droit du pays où l’exportateur de données est établi, à l’exception des lois et règlements relatifs au traitement des données à caractère personnel par l’importateur de données en vertu de la clause II h), qui s’appliquent seulement si l’importateur de données les sélectionnent en vertu de cette clause.
V. Règlement des litiges avec les personnes concernées ou l’autorité
a) |
En cas de litige ou de plainte introduite à l’encontre des parties ou de l’une d’entre elles par une personne concernée ou par l’autorité au sujet du traitement des données à caractère personnel, les parties s’informent mutuellement de ces litiges ou plaintes et coopèrent en vue de parvenir à un règlement à l’amiable dans les meilleurs délais. |
b) |
Les parties conviennent de répondre à toute procédure de médiation non contraignante généralement disponible mise en œuvre par une personne concernée ou par l’autorité. Si elles participent aux procédures, les parties peuvent choisir de le faire à distance (notamment par téléphone ou autres moyens électroniques). Les parties conviennent également d’examiner la possibilité de participer à toute autre procédure d’arbitrage, de médiation ou de règlement de litige mise en place pour les litiges relatifs à la protection des données. |
c) |
Chaque partie se plie à la décision d’un tribunal compétent du pays d’établissement de l’exportateur de données ou de l’autorité qui est définitive et contre laquelle aucun recours n’est possible. |
VI. Résiliation
a) |
Au cas où l’importateur de données manque à ses obligations au titre des présentes clauses, l’exportateur de données peut temporairement suspendre le transfert de données à caractère personnel à l’importateur de données jusqu’à ce qu’il soit remédié au manquement ou que le contrat soit résilié. |
b) |
Au cas où:
l’exportateur de données, sans préjudice des autres droits qu’il pourrait faire valoir à l’encontre de l’importateur de données, est autorisé à résilier les présentes clauses, auquel cas l’autorité en est informée si nécessaire. Dans les cas couverts par les points i), ii) ou iv) ci-dessus, l’importateur de données peut également résilier les présentes clauses. |
c) |
L’une des parties peut résilier les présentes clauses si i) la Commission a adopté une décision constatant le caractère adéquat de la protection des données au titre de l’article 25, paragraphe 6, de la directive 95/46/CE (ou tout texte la remplaçant) concernant le pays (ou un secteur de celui-ci) vers lequel les données sont transférées et traitées par l’importateur de données ou ii) la directive 95/46/CE (ou tout texte la remplaçant) devient directement applicable dans ce pays. |
d) |
Les parties conviennent que la résiliation des présentes clauses à tout moment, en toutes circonstances et pour quelque raison que ce soit [sauf pour la résiliation en vertu de la clause VI c)] ne les exempte pas des obligations et/ou conditions imposées par les clauses en ce qui concerne le traitement des données à caractère personnel transférées. |
VII. Modification des présentes clauses
Les parties ne peuvent pas modifier les présentes clauses sauf pour mettre à jour les informations de l’annexe B, auquel cas elles en informent l’autorité si nécessaire. Elles sont toutefois autorisées à ajouter des clauses commerciales supplémentaires, si nécessaire.
VIII. Description du transfert
Les détails du transfert et des données à caractère personnel sont spécifiés à l’annexe B. Les parties conviennent que l’annexe B peut contenir des informations professionnelles confidentielles qu’elles ne divulgueront pas à des tiers, sauf si la loi les y oblige ou en réponse à une agence officielle ou réglementaire compétente ou si elles y sont tenues en vertu de la clause I e). Les parties peuvent exécuter des annexes supplémentaires pour couvrir des transferts supplémentaires, qui seront soumises à l’autorité si nécessaire. L’annexe B peut aussi être rédigée de manière à couvrir des transferts multiples.
Date: _
_
_
POUR L’IMPORTATEUR DE DONNÉES
POUR L’EXPORTATEUR DE DONNÉES
…
…
…
…
…
…
ANNEXE A:
PRINCIPES DE TRAITEMENT DES DONNÉES
1. |
Limitation des transferts à une finalité spécifique: Les données à caractère personnel ne peuvent être traitées et ultérieurement communiquées qu’aux fins décrites à l’annexe B ou ultérieurement autorisées par la personne concernée. |
2. |
Qualité et proportionnalité des données: Les données à caractère personnel doivent être exactes et, au besoin, actualisées. Elles doivent être adéquates, pertinentes et non excessives au regard des finalités de leur transfert ou de leur traitement ultérieur. |
3. |
Transparence: Les personnes concernées sont en droit d’obtenir les informations nécessaires pour assurer un traitement loyal (notamment les informations sur les finalités du traitement et sur le transfert), à moins que ces informations aient été déjà fournies par l’exportateur de données. |
4. |
Sécurité et confidentialité: Le responsable du traitement doit prendre des mesures de sécurité, sur le plan technique et au niveau de l’organisation, qui sont appropriées au regard des risques présentés par le traitement, notamment la destruction fortuite ou illicite, la perte fortuite, l’altération, la divulgation ou l’accès non autorisé. Toute personne agissant sous l’autorité du responsable du traitement, y compris un sous-traitant, ne doit traiter les données que sur instructions du responsable. |
5. |
Droits d’accès, de rectification, de suppression et d’objection: Comme le prévoit l’article 12 de la directive 95/46/CE, les personnes concernées sont en droit d’obtenir, directement ou via un tiers, la communication des informations personnelles les concernant qu’une organisation détient, sauf si les demandes sont manifestement abusives du fait de leur fréquence déraisonnable, de leur nombre ou de leur nature répétitive ou systématique, ou si l’accès ne doit pas être accordé en vertu des lois du pays de l’exportateur de données. Pour autant que l’autorité ait donné son accord préalable, l’accès peut également ne pas être accordé lorsqu’il risque de porter gravement atteinte aux intérêts de l’importateur de données ou d’autres organisations traitant avec l’importateur de données et que les libertés et droits fondamentaux de la personne concernée ne priment pas sur ces intérêts. Les sources des données à caractère personnel peuvent ne pas être identifiées lorsque cela n’est pas possible au prix d’efforts raisonnables ou lorsque les droits de personnes autres que celle concernée seraient violés. Les personnes concernées ont le droit de faire rectifier, modifier ou supprimer les données à caractère personnel les concernant lorsqu’elles sont inexactes ou font l’objet d’un traitement contraire aux présents principes. En cas de doute sérieux quant à la légitimité de la demande, l’organisation peut demander d’autres justifications avant de procéder à la rectification, à la modification ou à la suppression. La notification de toute rectification, modification ou suppression aux tiers à qui les données ont été divulguées peut être omise lorsque cela implique un effort disproportionné. Les personnes concernées doivent également être en mesure de s’opposer au traitement des données les concernant pour des raisons impérieuses et légitimes relatives à leur situation personnelle. La charge de la preuve pour tout refus appartient à l’importateur de données et la personne concernée peut toujours contester un refus devant l’autorité. |
6. |
Données sensibles: L’importateur de données prend les mesures supplémentaires (par exemple, en matière de sécurité) qui sont nécessaires pour protéger les données sensibles conformément à ses obligations au titre de la clause II. |
7. |
Données utilisées à des fins de marketing direct: Lorsque les données sont traitées à des fins de marketing direct, des procédures efficaces doivent permettre à la personne concernée de s’opposer à ce que les données la concernant soient, à un moment ou à un autre, utilisées à une telle fin. |
8. |
Décisions automatisées: Aux fins du présent contrat, on entend par “décision automatisée” toute décision de l’exportateur de données ou de l’importateur de données qui produit des effets juridiques à l’égard d’une personne concernée ou affecte de manière significative une personne concernée, prise sur le seul fondement d’un traitement automatisé de données destiné à évaluer certains aspects de la personnalité, tels que son rendement professionnel, son crédit, sa fiabilité, son comportement, etc. Les personnes concernées ne peuvent faire l’objet de décisions automatisées de la part de l’importateur de données sauf dans le cas où:
ou
|
ANNEXE B
DESCRIPTION DU TRANSFERT
[À compléter par les parties]
EXEMPLES DE CLAUSES COMMERCIALES (FACULTATIF)
Dédommagement entre l’exportateur de données et l’importateur de données
“Les parties se tiennent mutuellement indemnes et à couvert des coûts, frais, dommages, dépenses ou pertes qu’elles s’occasionnent l’une l’autre du fait de leur manquement à l’une des dispositions des présentes clauses. Le dédommagement est subordonné aux conditions suivantes: a) la partie qui doit être indemnisée notifie rapidement la plainte à la partie qui doit indemniser; b) la partie qui doit indemniser a le contrôle exclusif de la défense et du règlement de la plainte et c) la partie qui doit être indemnisée coopère raisonnablement avec la partie qui doit indemniser et l’assiste dans la défense de la plainte.”
Règlement des litiges entre l’exportateur de données et l’importateur de données (les parties peuvent naturellement opter pour une autre solution ou clause juridictionnelle de règlement des litiges):
“Un litige entre l’importateur de données et l’exportateur de données concernant un manquement présumé aux dispositions des présentes clauses est réglé en dernier ressort selon les règles d’arbitrage de la Chambre de commerce internationale par un ou plusieurs arbitres désignés conformément aux dites règles. L’arbitrage a lieu à: [ ]. Les arbitres sont au nombre de [ ].”
Répartition des frais:
“Chaque partie remplit ses obligations au titre des présentes clauses à ses propres frais.”
Clause de résiliation supplémentaire:
“En cas de résiliation des présentes clauses, l’importateur de données doit restituer immédiatement à l’exportateur de données toutes les données à caractère personnel et toutes les copies des données à caractère personnel faisant l’objet des présentes clauses ou, selon le choix de l’exportateur de données, en détruire toutes les copies et certifier à l’exportateur de données qu’il a agi de la sorte, à moins que l’importateur de données ne soit empêché par son droit national ou le régulateur local de détruire ou de restituer l’ensemble ou une partie de ces données, auquel cas les données sont maintenues confidentielles et ne peuvent pas être traitées activement à quelque fin que ce soit. L’importateur de données convient que, à la demande de l’exportateur de données, il permettra à ce dernier ou à un inspecteur sélectionné par ce dernier et qu’il ne peut raisonnablement récuser, d’accéder à son établissement afin de vérifier que cela a été fait, moyennant un préavis raisonnable et durant les heures de bureau.”
(1) Les “dispositions pertinentes” sont celles de toute autorisation ou décision à l’exception des dispositions d’application de toute autorisation ou décision (qui sont régies par les présentes clauses).
(2) Toutefois, les dispositions de l’annexe A.5 concernant les droits d’accès, de rectification, de suppression ou d’objection doivent être appliquées lorsque cette option est choisie et priment sur les dispositions comparables de la décision de la Commission sélectionnée.