Elle établit des clauses contractuelles types pouvant être utilisées par les responsables du traitement des données* (exportateurs) dans l’Union européenne (UE) qui transfèrent des données à caractère personnel* à des sous-traitants* (importateurs) établis en dehors de l’UE ou de l’Espace économique européen (EEE), afin de fournir des garanties appropriées en matière de protection des données et de se conformer ainsi aux exigences de la législation de l’UE qui couvre ces questions [le règlement général sur la protection des données, ou règlement (UE) 2016/679; voir la synthèse].
Les clauses contractuelles types figurent en annexe de la décision. Elles couvrent uniquement la protection des données et peuvent ainsi être incluses par les parties dans un contrat plus large ou être complétées par d’autres clauses ou garanties, à condition que celles-ci ne les contredisent pas, directement ou indirectement. Les clauses contractuelles types se présentent comme suit :
Clause 1: Définitions
Cette clause définit les notions clés utilisées dans les clauses contractuelles types.
Clause 2: Détails du transfert
Les parties doivent énumérer, dans un appendice aux clauses contractuelles, les détails des transferts, notamment les activités pertinentes de l’importateur et de l’exportateur de données, les catégories de données à caractère personnel transférées et les traitements auxquels les données à caractère personnel seront soumises une fois transférées.
Clause 3: Clause du tiers bénéficiaire
Cette clause permet aux personnes concernées de faire valoir plusieurs des clauses à l’encontre de l’exportateur, de l’importateur ou du sous-traitant ultérieur en tant que tiers bénéficiaire. Elle prévoit en outre que les parties ne s’opposent pas à ce qu’une personne concernée soit représentée par une association ou un autre organisme, si le droit national le permet.
Clause 4: Obligations de l’exportateur de données
Cette clause définit les obligations contractuelles de l’exportateur de données, qui accepte et garantit:
Clause 5: Obligations de l’importateur de données
Cette clause définit les obligations contractuelles de l’importateur de données, qui accepte et garantit:
Clause 6: Responsabilité
Les clauses exigent que les parties conviennent que toute personne concernée qui a subi des dommages à la suite d’un manquement aux obligations est en droit de recevoir une compensation de l’exportateur de données pour les dommages subis.
Clause 7: Médiation et juridiction
Si la personne concernée invoque à son encontre le droit du tiers bénéficiaire et/ou demande réparation du préjudice subi, l’importateur de données doit accepter sa décision de soumettre le litige à la médiation d’une personne indépendante ou de tribunaux du pays de l’UE dans lequel l’exportateur de données est établi (avec le droit d’exercer des recours en vertu d’autres lois nationales ou internationales).
Clause 8: Coopération avec les autorités de contrôle
Cette clause régit la coopération avec l’autorité de contrôle compétente, en prévoyant que:
Clause 9: Droit applicable
Les clauses doivent être régies par le droit national du pays de l’UE dans lequel l’exportateur de données est établi.
Clause 10: Modification du contrat
Les parties s’engagent à ne pas modifier les clauses ou à les contredire.
Clause 11: Sous-traitance ultérieure
Les dispositions relatives au traitement ultérieur doivent être régies par le droit du pays de l’UE dans lequel l’exportateur de données est établi.
Clause 12: Obligation après la résiliation des services de traitement des données à caractère personnel
Cette clause régit les obligations des parties après la fin du traitement des données. En particulier, les parties doivent convenir qu’au terme des services de traitement des données, l’importateur de données et le sous-traitant ultérieur doivent restituer (ou détruire, si demande en est faite) toutes les données à caractère personnel transférées, sauf si la législation les en empêche.
Elle s’applique depuis le 15 mai 2010.
Décision 2010/87/UE de la Commission du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil (JO L 39 du 12.2.2010, p. 5-18)
Les modifications successives de la décision 2010/87/UE ont été intégrées au texte original. Cette version consolidée n’a qu’une valeur documentaire.
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1-88)
Voir la version consolidée.
Décision 2004/915/CE de la Commission du 27 décembre 2004 modifiant la décision 2001/497/CE en ce qui concerne l’introduction d’un ensemble alternatif de clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers (JO L 385 du 29.12.2004, p. 74-84)
Décision 2001/497/CE de la Commission du 15 juin 2001 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu de la directive 95/46/CE (JO L 181 du 4.7.2001, p. 19-31)
Voir la version consolidée.
Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281 du 23.11.1995, p. 31-50)
Voir la version consolidée.
dernière modification 07.10.2020