Annexe sur le traitement des données

Annexe au traitement des données

 

Cette Annexe constitue une partie intégrante du Contrat et est conclue par :

 

  1. (i) Le Client ("Exportateur de Données")
  2. (ii) IQUALIF ("Importateur de Données")

 

Chacun étant une "Partie" et communément "Parties".

 

Préambule

ATTENDU que l'Importateur de Données fournit des services logiciels professionnels, informatiques, et connexes (tels que navigateurs avec fonctions de recherche avancées) ;

ATTENDU qu'en vertu du Contrat, l'Importateur de Données a accepté de fournir à l'Exportateur de Données les services spécifiés dans le Contrat (les "Services") ;

ATTENDU qu'en fournissant les Services, l'Importateur de Données reçoit ou bénéficie d'un accès aux informations de l'Exportateur de Données ou d'autres personnes ayant une relation (potentielle) avec l'Exportateur de Données, ces informations pouvant être qualifiées de données personnelles au sens du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ("RGPD") ainsi que d'autres lois applicables en matière de protection des données.

ATTENDU que cette Annexe contient les termes et conditions applicables à la collecte, au traitement et à l'utilisation de ces données personnelles par l'Importateur de Données en sa qualité d'agent autorisé de traitement de données de l'Exportateur de Données, afin de garantir la conformité des Parties à la législation applicable en matière de protection des données.

 

PAR CONSÉQUENT, et pour permettre aux Parties de poursuivre leur relation de manière légale, les Parties ont conclu cette Annexe comme suit :

Partie 1

 

1. Structure du document et définitions

1.1 Structure

Cette Annexe comprend différentes parties comme suit :

 

Partie 1 : 

contient les dispositions générales, par exemple concernant les définitions utilisées dans cette Annexe, la conformité avec les lois locales, le calendrier, et la résiliation

 
Partie 2 :

contient le corps du document des Clauses Contractuelles Types non modifiées

 
Annexe 1.1 de la Partie 2 :

contient les détails des opérations de traitement fournies par l'Importateur de Données à l'Exportateur de Données en tant qu'agent autorisé de traitement (y compris la nature, le but du traitement, le type de données personnelles, et les catégories de personnes concernées) dans le cadre de cette Annexe

 
Annexe 2 de la Partie 2 :

contient une description des mesures de sécurité techniques et organisationnelles de l'Importateur de Données, appliquées dans le cadre de toutes les activités de traitement décrites dans l'Annexe 1.1 de la Partie 2

 
Partie 3 :

contient les signatures des Parties pour être liées par cette Annexe et identifie chaque Importateur de Données

 

 

1.2 Termes et définitions

Aux fins de cette Annexe, la terminologie et les définitions utilisées par le RGPD sont applicables (Dans le corps du document des Clauses Contractuelles Types dans la Partie 2, lorsque les termes définis ne sont pas en majuscules). 

 

"État membre"

désigne un pays appartenant à l'Union européenne ou à l'Espace économique européen

 
"Catégories particulières de (données personnelles)"

fait référence aux données personnelles révélant l'origine raciale ou ethnique, les opinions politiques, religieuses ou philosophiques, ou l'appartenance à un syndicat, ainsi que les données génétiques, biométriques, si traitées dans le but d'identifier de manière unique une personne, les données concernant la santé, la vie sexuelle ou l'orientation sexuelle d'une personne

 
"Clauses Contractuelles Types"

désignent les Clauses Contractuelles Types pour le transfert de données personnelles des agents de traitement établis dans des pays tiers, conformément à la Décision de la Commission 2010/87/UE du 5 février 2010, modifiée par la Décision d'exécution de la Commission (UE) 2016/2297 du 16 décembre 2016

 
"Sous-traitant"

désigne tout agent de traitement, situé à l'intérieur ou à l'extérieur de l'UE/EEE, qui accepte de recevoir du Data Importer ou d'un autre sous-traitant de l'Importateur de Données, des données personnelles exclusivement pour les activités de traitement à réaliser par l'Exportateur de Données après le transfert conformément aux instructions de ce dernier, aux termes de cette Annexe et du Contrat avec l'Importateur de Données

 

 

 

2. Obligations de l'Exportateur de Données

2.1 L'Exportateur de Données a l'obligation de garantir la conformité à toutes les obligations applicables en vertu du RGPD et de toute autre législation applicable en matière de protection des données, et de démontrer cette conformité conformément à l'Article 5 (2) du RGPD. L'Exportateur de Données garantit que l'Importateur de Données a obtenu le consentement préalable des personnes concernées conformément à l'Article 6 (a) du RGPD et a respecté son obligation d'informer les personnes concernées conformément aux Articles 13 et 14 du RGPD.

2.2 L'Exportateur de Données doit fournir à l'Importateur de Données les fichiers respectifs des activités de traitement conformément à l'Article 30 (1) du RGPD liés aux Services dans le cadre de cette Annexe, dans la mesure nécessaire pour que l'Importateur de Données puisse respecter l'obligation prévue à l'Article 30 (2) du RGPD.

2.3 L'Exportateur de Données doit désigner un délégué à la protection des données ou un représentant dans la mesure requise par la législation applicable en matière de protection des données. L'Exportateur de Données doit fournir les coordonnées du délégué ou du représentant, le cas échéant, à l'Importateur de Données.

2.4. L'Exportateur de Données confirme, avant la finalisation du traitement, par l'acceptation de cette Annexe, que les mesures de sécurité techniques et organisationnelles de l'Importateur de Données, telles que définies dans l'Annexe 2 de la Partie 2, sont appropriées et suffisantes pour protéger les droits de la personne concernée et confirme que l'Importateur de Données offre des garanties suffisantes à cet égard.

 

3. Conformité avec la législation locale

Pour répondre aux exigences de mise en œuvre des agents de traitement conformément à l'Article 28 du RGPD, les modifications suivantes sont applicables :

 

3.1 Instructions

  1. (i) L'Exportateur de Données donne instruction à l'Importateur de Données de traiter les données personnelles uniquement pour le compte de l'Exportateur de Données. Les instructions de l'Exportateur de Données sont fournies dans cette Annexe et dans le Contrat. L'Exportateur de Données a l'obligation de s'assurer que toutes les instructions données à l'Importateur de Données respectent la législation applicable en matière de protection des données. L'Importateur de Données doit traiter les données personnelles uniquement conformément aux instructions de l'Exportateur de Données, sauf si la loi de l'Union européenne ou celle de l'État membre (dans ce dernier cas, la Clause 3.2 (iv) (c) de la Partie 1 s'applique) exige le contraire.
  2. (ii) Toutes autres instructions dépassant celles de cette Annexe ou du Contrat doivent être incluses dans le sujet de cette Annexe et du Contrat. Si la mise en œuvre de cette instruction supplémentaire entraîne des coûts pour l'Importateur de Données, celui-ci doit en informer l'Exportateur de Données et fournir une explication avant de mettre en œuvre l'instruction. Ce n'est qu'après confirmation de l'acceptation de ces coûts par l'Exportateur de Données que l'Importateur de Données pourra exécuter cette instruction supplémentaire. L'Exportateur de Données doit donner des instructions supplémentaires par écrit, sauf en cas d'urgence ou de circonstances spécifiques nécessitant une autre forme (par exemple orale, électronique). Les instructions sous une autre forme que par écrit doivent être confirmées par écrit et sans délai par l'Exportateur de Données.
  3. 1. À moins que l'Exportateur de Données ne puisse effectuer lui-même la rectification, l'effacement ou la restriction des données personnelles, ces instructions peuvent également concerner la rectification, l'effacement et/ou la restriction des données personnelles telles que définies dans la Clause 3.3 de la Partie 1.
  4. 2. L'Importateur de Données doit immédiatement informer l'Exportateur de Données si, de son avis, une Instruction viole le RGPD ou d'autres dispositions applicables en matière de protection des données de l'Union européenne ou d'un État membre ("Instruction Contestée"). Si l'Importateur de Données estime qu'une Instruction enfreint le RGPD ou d'autres dispositions applicables, il n'est pas obligé de suivre l'Instruction Contestée. Si l'Exportateur de Données confirme l'Instruction Contestée après réception d'informations de l'Importateur de Données et reconnaît sa responsabilité dans cette instruction, l'Importateur de Données doit exécuter cette instruction, sauf si celle-ci concerne (i) la mise en œuvre de mesures techniques et organisationnelles, (ii) les droits des personnes concernées ou (iii) l'engagement de sous-traitants. Dans ces cas, l'Importateur de Données peut contacter une autorité de contrôle compétente pour faire évaluer légalement l'instruction contestée. Si l'autorité déclare l'instruction contestée légale, l'Importateur de Données doit exécuter cette instruction. La Clause 3.1 (ii) de la Partie 1 reste applicable.

 

3.2 Obligations de l'Importateur de Données

  1. (i) L'Importateur de Données doit s'assurer que les personnes autorisées par lui à traiter les données personnelles pour le compte de l'Exportateur de Données, notamment les employés de l'Importateur et ceux de tout sous-traitant, ont pris un engagement de confidentialité ou sont soumis à une obligation légale de confidentialité appropriée, et que ces personnes traitent les données personnelles conformément aux instructions de l'Exportateur de Données.
  2. (ii) L'Importateur de Données doit mettre en œuvre les mesures de sécurité techniques et organisationnelles telles que définies dans l'Annexe 2 de la Partie 2 avant de traiter les données personnelles pour le compte de l'Exportateur de Données. Il peut modifier ces mesures si elles offrent une protection au moins équivalente à celles définies dans cette Annexe.
  3. (iii) L'Importateur de Données doit mettre à disposition de l'Exportateur de Données, sur demande, des informations permettant de prouver la conformité à ses obligations en vertu de cette Annexe. Cette obligation est remplie en fournissant à l'Exportateur de Données un rapport d'audit (portant sur la sécurité, la disponibilité du système et la confidentialité) ("Rapport d'Audit"). Si des activités d'audit supplémentaires sont légalement requises, l'Exportateur de Données peut demander que des inspections soient effectuées par lui ou par un autre auditeur désigné, sous réserve de la signature d'un accord de confidentialité avec l'Importateur de Données. Cet Audit est soumis aux conditions suivantes : (i) acceptation préalable écrite de l'Importateur de Données ; (ii) l'Exportateur de Données supporte tous les coûts liés à l'Audit sur site. L'Exportateur de Données doit rédiger un rapport résumant les résultats et observations de l'Audit ("Rapport d'Audit sur site"). Les Rapports d'Audit sur site et les Rapports d'Audit sont confidentiels et ne doivent pas être divulgués à des tiers sauf si la loi l'exige ou avec le consentement de l'Importateur de Données.
  4. (iv) L'Importateur de Données doit notifier sans délai excessif à l'Exportateur de Données :
    1. a. toute demande légale contraignante de divulgation de données personnelles par une autorité de police ou de justice, sauf interdiction, comme une interdiction en droit pénal visant à préserver la confidentialité d'une enquête ;
    2. b. toute plainte ou demande reçue directement d'une personne concernée (par exemple concernant l'accès, la rectification, la suppression, la restriction du traitement, la portabilité des données, l'opposition au traitement, la prise de décision automatisée) sans y répondre, sauf si l'Importateur de Données est autorisé à le faire ;
    3. c. si l'Importateur de Données ou le sous-traitant est obligé, en vertu du droit de l'Union ou d'un État membre, de traiter les données personnelles au-delà des instructions de l'Exportateur de Données, avant d'effectuer ce traitement, sauf si la loi interdit ce traitement pour des raisons d'intérêt public vital, auquel cas la notification à l'Exportateur de Données doit préciser l'exigence légale ;
    4. d. si l'Importateur de Données constate une violation de données personnelles, uniquement par lui ou son sous-traitant, susceptible d'affecter les données personnelles de l'Exportateur de Données couvertes par le présent contrat, auquel cas il assistera l'Exportateur dans son obligation d'informer les personnes concernées et, le cas échéant, les autorités de contrôle, en fournissant les informations en sa possession, conformément à l'Article 33 (3) du RGPD.
  5. (v) Sur demande de l'Exportateur de Données, l'Importateur doit aider celui-ci dans le cadre d'une évaluation d'impact relative à la protection des données (Article 35 du RGPD) et d'une consultation préalable (Article 36 du RGPD) concernant les services fournis par l'Importateur dans le cadre de cette Annexe, en fournissant les informations nécessaires. Cette assistance n'est due que si l'Exportateur ne peut pas remplir son obligation par d'autres moyens. L'Importateur doit informer l'Exportateur du coût de cette assistance. Dès que l'Exportateur confirme qu'il peut supporter ces coûts, l'Importateur doit fournir cette assistance.
  6. (vi) À la fin de la prestation des services, l'Exportateur peut demander la restitution des données personnelles traitées par l'Importateur dans un délai d'un mois. Sauf si la législation de l'État membre ou de l'Union européenne exige que l'Importateur conserve ces données, celui-ci doit supprimer toutes ces données personnelles ou non personnelles après ce délai, qu'elles aient été restituées ou non à la demande de l'Exportateur.

 

3.3 Droits des personnes concernées

  1.  
    1. (i) L'Exportateur de Données gère et répond aux demandes des personnes concernées. L'Importateur n'est pas obligé de répondre directement aux personnes concernées.
    2. (ii) Si l'Exportateur de Données demande l'aide de l'Importateur pour traiter et répondre aux demandes des personnes concernées, il doit émettre une instruction supplémentaire conformément à la Clause 3.1 (ii) de la Partie 1. L'Importateur aidera l'Exportateur avec les mesures techniques et organisationnelles appropriées pour répondre aux demandes d'exercice des droits des personnes concernées conformément au Chapitre III du RGPD, notamment :
    3. a. Pour les demandes d'information, l'Importateur ne fournira au seul Exportateur que les informations requises par les Articles 13 et 14 du RGPD, si celles-ci sont en sa possession et que l'Exportateur ne peut pas les trouver seul.
    4. b. Pour les demandes d'accès (Article 15 du RGPD), l'Importateur ne fournira que les informations qui doivent être communiquées à la personne concernée pour cette demande, si celles-ci sont en sa possession et que l'Exportateur ne peut pas les trouver seul.
    5. c. Pour les demandes de rectification (Article 16 du RGPD), d'effacement (Article 17 du RGPD), de limitation du traitement (Article 18 du RGPD) ou de portabilité (Article 20 du RGPD), et uniquement si l'Exportateur ne peut pas rectifier, effacer, limiter ou transmettre lui-même les données personnelles, l'Importateur aidera l'Exportateur à rectifier, effacer, limiter ou transmettre ces données, ou le fera lui-même si cela n'est pas possible.
    6. d. Pour la notification de rectification, effacement ou restriction (Article 19 du RGPD), l'Importateur aidera l'Exportateur en informant tous les destinataires des données personnelles traitées par l'Importateur si l'Exportateur le demande, et si celui-ci ne peut pas remédier seul à la situation.
    7. e. Pour le droit d'opposition exercé par une personne concernée (Articles 21 et 22 du RGPD), l'Exportateur déterminera si l'opposition est légitime et comment y répondre.
    8. (iii) Les obligations d'assistance de l'Importateur de Données se limitent aux données traitées dans son infrastructure (par exemple bases de données, systèmes, applications détenus ou fournis par l'Importateur).
    9. (iv) L'Exportateur doit déterminer si une Personne Concernée peut exercer ses droits conformément à la Clause 3.1 de cette Partie 1 et doit informer l'Importateur dans quelle mesure l'assistance décrite dans les Clauses 3.3 (ii), (iii) est nécessaire.
    10. (v) Si l'Exportateur demande des mesures techniques et organisationnelles supplémentaires ou modifiées pour respecter les droits des personnes concernées, dépassant l'assistance fournie par l'Importateur en vertu des Sub-Clause 3.3 (ii), (iii), l'Importateur doit en informer l'Exportateur des coûts. Dès que l'Exportateur confirme qu'il peut supporter ces coûts, l'Importateur doit mettre en œuvre ces mesures.
    11. (vi) Sans limiter la portée de la Clause 3.3 (v), l'Exportateur doit rembourser à l'Importateur ses dépenses raisonnables pour répondre aux demandes des personnes concernées.

 

3.4 Sous-traitance

  1.  
    1. (i) L'Exportateur autorise l'Importateur à faire appel à des sous-traitants pour la fourniture des services dans le cadre de cette Annexe. L'Importateur doit choisir ces sous-traitants avec soin. L'Exportateur approuve les sous-traitants listés dans l'Annexe 1.1 en fin de Partie 2.
    2. (ii) L'Importateur doit transférer ses obligations en vertu de cette Annexe au(x) sous-traitant(s) dans la mesure applicable aux services sous-traités.
    3. (iii) L'Importateur peut licencier, remplacer ou nommer un autre sous-traitant approprié et fiable à sa discrétion. Sur demande écrite de l'Exportateur, il doit suivre la procédure suivante :
  2.  
    1. a. L'Importateur doit informer l'Exportateur avant tout changement dans la liste des sous-traitants mentionnés à la Clause 3.4 (i). Si l'Exportateur ne s'oppose pas dans un délai de trente jours après réception de cette notification, les sous-traitants supplémentaires sont considérés comme acceptés.
    2. b. Si l'Exportateur a une raison légitime de s'opposer à un sous-traitant supplémentaire, il doit en informer l'Importateur par écrit dans les trente jours suivant la réception de la notification, avant la mise en service du service par l'Importateur. En cas d'opposition, l'Importateur peut annuler son projet d'utiliser ce sous-traitant, ou prendre les mesures correctives demandées par l'Exportateur, ou cesser de fournir ou l'Exportateur peut convenir de ne pas utiliser (temporairement ou définitivement) une partie du service impliquant ce sous-traitant.
  3.  
    1. (iv) Si le sous-traitant est basé hors de l'UE/EEE dans un pays n'offrant pas un niveau de protection adéquat selon une décision de la Commission européenne, l'Importateur doit prendre des mesures pour assurer un niveau de protection adéquat conformément au RGPD (par exemple, contrats de traitement de données basés sur les clauses types de l'UE, transfert à des sous-traitants certifiés dans le cadre du Privacy Shield UE-États-Unis ou programme équivalent).

 

3.5 Durée

La durée de cette Annexe est identique à celle du Contrat correspondant. Sauf disposition contraire, les droits et obligations liés à la résiliation sont ceux contenus dans le Contrat.

 

4. Limitation de responsabilité

4.1 Chaque partie gère ses obligations en vertu de cette Annexe et de la législation applicable en matière de protection des données.

4.2 Toute responsabilité relative à une violation des obligations de cette Annexe ou de la législation applicable en matière de protection des données sera soumise et régie par les dispositions de responsabilité prévues dans, ou applicables au, Contrat, sauf disposition contraire dans cette Annexe. Si la responsabilité est régie par les dispositions du Contrat, pour le calcul des limites de responsabilité ou l'application d'autres limitations, toute responsabilité découlant de cette Annexe sera considérée comme relevant du Contrat.

 

5. Dispositions générales

5.1 En cas d'incohérences ou de divergences entre les Parties 1 et 2 de cette Annexe, la Partie 2 prévaut. En particulier, même dans ce cas, la Partie 1 qui va au-delà de la Partie 2 (c'est-à-dire les termes des clauses types) sans la contredire reste valable.

5.2 En cas de divergence entre les dispositions de cette Annexe et celles d'autres contrats liant les Parties, cette Annexe prévaut en ce qui concerne les obligations de protection des données des Parties. En cas de doute sur la portée des clauses dans d'autres contrats, cette Annexe prévaut.

5.3 Si une disposition de cette Annexe est invalide ou inapplicable, le reste de cette Annexe demeure en vigueur. La disposition invalide ou inapplicable sera modifiée pour assurer sa validité et son applicabilité, tout en respectant autant que possible l'intention des Parties, ou, si cela n'est pas possible, elle sera interprétée comme si cette partie n'avait jamais fait partie du contrat. La même règle s'applique en cas d'omission dans cette Annexe.

5.5 Dans la mesure du nécessaire, les Parties peuvent demander des modifications à la Partie 1, Clause 3 (Conformité avec la législation locale) ou à d'autres parties de l'Annexe afin de respecter les interprétations, directives ou ordres des autorités compétentes de l'Union ou des États membres, les dispositions nationales d'exécution, ou toute évolution légale concernant le RGPD ou d'autres conditions de délégation à des entités impliquées dans le traitement des données, notamment en ce qui concerne l'utilisation des Clauses Contractuelles Types dans le RGPD. Les clauses types ne peuvent être modifiées ou remplacées que si la Commission européenne l'approuve expressément (par exemple, par de nouvelles clauses adéquates ou normes de protection des données).

5.6 Toute référence dans cette Annexe aux "Clauses" doit être comprise comme se référant à toutes les dispositions de cette Annexe sauf indication contraire.

5.7 Le choix de la loi dans la Clause 9 de la Partie 2 s'applique à l'ensemble du Contrat.

 

6. Données personnelles transmises et traitées par les parties à des fins personnelles (transfert du responsable du traitement au responsable du traitement)

6.1 Les Parties savent pleinement que certaines données personnelles seront transférées du Data Exporter au Data Importer et vice versa, et que ces données sont traitées par chaque Partie pour ses propres fins. En ce qui concerne ces données personnelles, cela n'affecte pas les autres dispositions de cette Annexe (sauf cette clause 6).

6.2 L'Exportateur de Données peut transférer des données personnelles concernant le personnel de l'Importateur de Données, y compris des informations sur les incidents de sécurité, ou tout autre document ou fichier créé ou établi par l'Exportateur de Données en lien avec les Services fournis par le personnel de l'Importateur de Données. L'Importateur de Données peut traiter ces données personnelles pour ses propres fins, notamment dans ses relations professionnelles avec le personnel de l'Exportateur, pour le contrôle de qualité ou la formation, ou à des fins commerciales.

6.3 L'Importateur de Données peut transférer des données personnelles à l'Exportateur de Données, y compris le nom et les coordonnées du personnel de l'Importateur. L'Exportateur de Données peut traiter ces données pour ses propres fins.

6.4 Les deux Parties doivent respecter la législation applicable en matière de protection des données, y compris le RGPD, lors de la collecte, du traitement et de l'utilisation de ces données reçues de l'autre Partie conformément à la clause 1 de la Partie 1. En particulier, les deux Parties doivent prendre des mesures de sécurité adéquates, offrant un niveau de protection similaire à celui prévu dans l'Annexe 2 de la Partie 2. Tout accès à ces données doit être limité à ce qui est nécessaire.

6.5 Les deux Parties doivent supprimer ces données personnelles dès que les objectifs sont atteints.

Partie 2

 

DÉCISION DE LA COMMISSION

du 5 février 2010

sur les clauses contractuelles types pour le transfert de données personnelles vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil

 

 

 

Clause 1

Définitions

Au sens des clauses :

a) 'données personnelles', 'catégories particulières de données', 'traitement', 'responsable du traitement', 'sous-traitant', 'personne concernée' et 'autorité de contrôle' auront la même signification que dans la directive 95/46/CE du Parlement européen du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (1) ;

b) 'Exportateur de Données' désigne le responsable du traitement transférant les données personnelles ;

c) 'Importateur de Données' désigne le sous-traitant qui accepte de recevoir du Data Exporter des données personnelles destinées à être traitées pour le compte du Data Exporter après le transfert conformément à ses instructions et selon les termes de ces clauses, et qui n'est pas soumis au mécanisme d'un pays tiers garantissant une protection adéquate au sens de l'Article 25(1) de la directive 95/46/CE ; (d) 'Sous-traitant' désigne le sous-traitant engagé par l'Importateur de Données ou par tout autre sous-traitant de l'Importateur de Données qui accepte de recevoir du Data Importer ou d'un autre sous-traitant de l'Importateur de Données des données personnelles exclusivement pour les activités de traitement à réaliser pour le compte du Data Exporter après le transfert, conformément aux instructions du Data Exporter, selon les conditions définies dans ces Clauses et dans le contrat de sous-traitance écrit ;

e) 'loi applicable en matière de protection des données' désigne la législation protégeant les droits et libertés fondamentaux des personnes, y compris le droit à la vie privée concernant le traitement des données personnelles, et s'applique à un responsable du traitement dans l'État membre où le Data Exporter est établi ;

f) 'mesures techniques et organisationnelles relatives à la sécurité' désignent les mesures destinées à protéger les données personnelles contre la destruction accidentelle ou illicite ou la perte accidentelle, l'altération, la divulgation ou l'accès non autorisé, notamment lorsque le traitement implique la transmission de données sur des réseaux, et contre toutes autres formes illicites de traitement.

Clause 2

Détails du transfert

Les détails du transfert, y compris, le cas échéant, les catégories particulières de données personnelles, sont spécifiés dans l'Annexe 1, qui fait partie intégrante de ces clauses.

Clause 3

Clause relative au bénéficiaire tiers

1. La personne concernée peut faire valoir contre l'Exportateur de Données cette Clause, la Clause 4(b) à (i), la Clause 5(a) à (e) et (g) à (j), la Clause 6 (1) et (2), la Clause 7, la Clause 8(2) et les Clauses 9 à 12 en tant que bénéficiaire tiers.

2. La personne concernée peut faire valoir cette Clause, la Clause 5 (a) à (e) et (g), la Clause 6, la Clause 7, la Clause 8 (2) et les Clauses 9 à 12 contre l'Importateur de Données lorsque l'Exportateur de Données a disparu physiquement ou a cessé d'exister en droit, sauf si toutes ses obligations légales ont été transférées, par contrat ou par opération de la loi, à l'entité successeur, à laquelle les droits et obligations de l'Exportateur de Données reviennent donc, et contre laquelle la personne concernée peut faire valoir les clauses susmentionnées.

La personne concernée peut faire valoir cette Clause, la Clause 5 (a) à (e) et (g), la Clause 6, la Clause 7, la Clause 8 (2) et les Clauses 9 à 12 contre le sous-traitant, mais uniquement dans les cas où l'Exportateur de Données et l'Importateur de Données ont disparu physiquement, ont cessé d'exister en droit ou sont devenus insolvables, sauf si toutes les obligations légales de l'Exportateur de Données ou de l'Importateur de Données ont été transférées, par contrat ou par opération de la loi, au successeur légal, contre lequel la personne concernée peut alors faire valoir ses droits. La responsabilité du sous-traitant doit être limitée à ses propres activités de traitement conformément à ces clauses.

4. Les Parties ne s'opposent pas à ce que la personne concernée soit représentée par une association ou autre organisme si elle le souhaite et si la loi nationale le permet.

Clause 4

Obligations de l'Exportateur de Données

L'Exportateur de Données accepte et garantit ce qui suit :

a) le traitement, y compris le transfert effectif des données personnelles, a été et sera effectué conformément aux dispositions pertinentes de la législation applicable en matière de protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l'État membre dans lequel l'Exportateur de Données est établi) et ne viole pas les dispositions pertinentes de cet État ;

b) ils ont donné instruction, et donneront instruction pendant toute la durée des services de traitement des données personnelles, à l'Importateur de Données de traiter les données transférées uniquement pour le compte de l'Exportateur de Données et conformément à la législation applicable en matière de protection des données et à ces clauses ;

c) l'Importateur de Données fournira des garanties suffisantes concernant les mesures de sécurité techniques et organisationnelles spécifiées dans l'Annexe 2 du présent contrat ;

d) après évaluation des exigences de la législation applicable en matière de protection des données, les mesures de sécurité sont adéquates pour protéger les données personnelles contre la destruction accidentelle ou illicite ou la perte accidentelle, l'altération, la divulgation ou l'accès non autorisé, notamment lorsque le traitement implique la transmission de données sur un réseau, et contre toutes autres formes illicites de traitement, et garantissent un niveau de sécurité approprié aux risques liés au traitement et à la nature des données à protéger, en tenant compte du niveau de technologie et du coût de mise en œuvre ;

e) ils assureront la conformité aux mesures de sécurité ;

f) si le transfert concerne des catégories particulières de données, la personne concernée a été informée ou sera informée avant le transfert que ses données peuvent être transférées vers un pays tiers n'offrant pas un niveau de protection adéquat au sens de la Directive 95/46/CE ;

g) ils transmettront toute notification reçue de l'Importateur de Données ou de tout sous-traitant en vertu des Clauses 5 (b) et 8 (3) à l'autorité de contrôle de la protection des données si elle décide de continuer le transfert ou de lever sa suspension ;

h) ils mettront à disposition des personnes concernées, si elles en font la demande, une copie de ces Clauses, sauf l'Annexe 2, et une description synthétique des mesures de sécurité, ainsi qu'une copie de tout accord de sous-traitance supplémentaire conclu en vertu de ces Clauses, sauf si ces clauses ou cet accord contiennent des informations commerciales, auquel cas ils peuvent en retirer ces informations ;

i) en cas de sous-traitance du traitement des données, l'activité de traitement doit être effectuée conformément à la Clause 11 par un sous-traitant offrant au moins le même niveau de protection des données personnelles et des droits des personnes concernées que l'Importateur de Données en vertu de ces Clauses ; et

j) ils assureront la conformité avec la Clause 4 (a) à (i).

Clause 5

Obligations de l'Importateur de Données

L'Importateur de Données accepte et garantit ce qui suit :

a) ils traiteront les données personnelles uniquement pour le compte de l'Exportateur de Données et selon ses instructions, et ces clauses ; s'ils ne peuvent pas respecter ces obligations pour quelque raison que ce soit, ils doivent en informer l'Exportateur dès que possible, auquel cas celui-ci pourra suspendre le transfert ou résilier le contrat ;

b) ils n'ont aucune raison de croire que la loi applicable leur interdit de respecter les instructions de l'Exportateur de Données ou les obligations qui leur incombent en vertu du contrat, et si cette loi est modifiée de manière à avoir un effet négatif important, ils doivent en informer l'Exportateur sans délai. L'Exportateur peut alors suspendre le transfert ou résilier le contrat ; (c) ils ont mis en œuvre les mesures techniques et organisationnelles de sécurité spécifiées dans l'Annexe 2 avant de traiter les données personnelles transférées ;

d) ils doivent notifier sans délai :

  • i) toute demande contraignante de divulgation de données personnelles par une autorité de police ou de justice, sauf interdiction, comme une interdiction en droit pénal visant à préserver la confidentialité d'une enquête ;
  • ii) tout accès incident ou non autorisé ; et
  • iii) toute demande reçue directement des personnes concernées sans y répondre, sauf si autorisé ;

e) ils traiteront rapidement et correctement toutes les demandes de l'Exportateur concernant le traitement des données personnelles transférées et agiront conformément à l'avis de l'autorité de contrôle concernant le traitement des données transférées ;

f) à la demande de l'Exportateur, ils soumettront leurs installations de traitement des données à un audit des activités de traitement couvertes par ces clauses, réalisé par l'Exportateur ou un organisme de contrôle indépendant, sous réserve d'une obligation de confidentialité et avec l'accord de l'Exportateur, le cas échéant ;

g) ils mettront à disposition de la personne concernée, si elle le demande, une copie de ces Clauses ou de tout contrat de sous-traitance, sauf si ces clauses ou le contrat contiennent des informations commerciales, auquel cas ils peuvent en retirer ces informations, sauf l'Annexe 2, qui sera remplacée par une description synthétique des mesures de sécurité ;

h) en cas de sous-traitance confidentielle du traitement des données, ils doivent informer l'Exportateur à l'avance et obtenir son consentement écrit ;

i) les services de traitement fournis par le sous-traitant doivent respecter la Clause 11 ;

j) ils envoient rapidement une copie de tout contrat de sous-traitance du traitement des données conclu en vertu de ces Clauses à l'Exportateur.

Clause 6

Responsabilité

1. Les Parties conviennent que toute personne concernée ayant subi un dommage en raison d'une violation des obligations visées à la Clause 3 ou à la Clause 11 par l'une ou l'autre Partie ou par un sous-traitant peut obtenir une indemnisation de la part de l'Exportateur pour le dommage subi.

2. Si une personne concernée est empêchée d'intenter une action en dommages-intérêts conformément au paragraphe 1 contre l'Exportateur en raison du non-respect par l'Importateur ou son sous-traitant de ses obligations en vertu de la Clause 3 ou de la Clause 11 parce que l'Exportateur a disparu physiquement, a cessé d'exister en droit ou est devenu insolvable, l'Importateur accepte que la personne concernée puisse déposer une plainte contre lui comme si c'était l'Exportateur, sauf si toutes ses obligations légales ont été transférées, par contrat ou par opération de la loi, à son successeur, contre lequel la personne concernée peut alors faire valoir ses droits. L'Importateur ne peut pas se prévaloir d'une violation de ses obligations par un sous-traitant pour éviter sa propre responsabilité.

3. Si une personne concernée est empêchée d'intenter l'action mentionnée aux paragraphes 1 et 2 contre l'Exportateur ou l'Importateur pour violation par le sous-traitant de ses obligations en vertu de la Clause 3 ou de la Clause 11 parce que l'Exportateur et l'Importateur ont disparu physiquement, ont cessé d'exister en droit ou sont devenus insolvables, le sous-traitant accepte que la personne concernée puisse déposer une plainte concernant ses propres activités de traitement conformément à ces clauses, comme si c'était l'Exportateur ou l'Importateur, sauf si toutes ses obligations légales ont été transférées, par contrat ou par opération de la loi, à son successeur légal, contre lequel la personne concernée peut alors faire valoir ses droits. La responsabilité du sous-traitant doit être limitée à ses propres activités de traitement conformément à ces clauses.

 

Clause 7

Médiation et juridiction

1. L'Importateur de Données accepte que si, en vertu des clauses, la personne concernée invoque contre lui le droit du bénéficiaire tiers et/ou réclame une indemnisation pour le préjudice subi, il acceptera la décision de la personne concernée :

a) de soumettre le litige à une médiation par une personne indépendante ou, le cas échéant, par l'autorité de contrôle ;

b) de porter le litige devant les tribunaux de l'État membre où l'Exportateur de Données est établi.

2. Les Parties conviennent que le choix de la personne concernée ne doit pas affecter le droit procédural ou substantiel de cette dernière à obtenir réparation conformément à d'autres dispositions du droit national ou international.

Clause 8

Coopération avec les autorités de contrôle

1. L'Exportateur de Données s'engage à déposer une copie du présent contrat auprès de l'autorité de contrôle si celle-ci l'exige ou si cette obligation est prévue par la législation applicable en matière de protection des données.

2. Les Parties conviennent que l'autorité de contrôle peut effectuer des vérifications auprès de l'Importateur de Données et de tout sous-traitant dans les mêmes conditions que celles des vérifications effectuées auprès de l'Exportateur de Données, conformément à la législation applicable en matière de protection des données.

3. L'Importateur de Données doit informer l'Exportateur de Données dès que possible de l'existence d'une législation concernant l'Importateur ou tout sous-traitant qui empêche la vérification conformément au paragraphe 2. Dans ce cas, l'Exportateur peut prendre les mesures prévues à la Clause 5 (b).

Clause 9

Loi applicable

Les clauses sont régies par la loi de l'État membre où l'Exportateur de Données est établi.

Clause 10

Modification du contrat

Les Parties s'engagent à ne pas modifier ces clauses. Elles restent libres d'inclure d'autres clauses commerciales qu'elles jugent nécessaires, à condition qu'elles ne contredisent pas ces clauses.

Clause 11

Sous-traitance ultérieure

1. L'Importateur ne doit sous-traiter aucune de ses activités de traitement effectuées pour le compte de l'Exportateur dans le cadre de ces clauses sans le consentement écrit préalable de l'Exportateur. Il ne doit sous-traiter ses obligations que par un accord écrit avec le sous-traitant, imposant à celui-ci les mêmes obligations que celles imposées à l'Importateur par ces Clauses. Si le sous-traitant ne peut pas respecter ses obligations en vertu de cet accord écrit, l'Importateur reste entièrement responsable envers l'Exportateur de la réalisation de ces obligations.

2. L'accord écrit préalable entre l'Importateur et le sous-traitant doit également inclure une clause de bénéficiaire tiers comme prévu dans la Clause 3 pour les cas où la personne concernée ne pourrait pas engager une action en dommages-intérêts contre l'Exportateur ou l'Importateur parce qu'ils ont disparu physiquement, ont cessé d'exister en droit ou sont devenus insolvables, sauf si toutes leurs obligations légales ont été transférées, par contrat ou par opération de la loi, à leur successeur légal. La responsabilité du sous-traitant doit être limitée à ses propres activités de traitement conformément à ces clauses.

3. Les dispositions relatives à la protection des données dans le cadre de la sous-traitance du traitement des données, mentionnées au paragraphe 1, seront régies par la loi de l'État membre où l'Exportateur de Données est établi.

4. L'Exportateur de Données doit tenir une liste des contrats de sous-traitance du traitement des données conclus en vertu de ces Clauses et notifiés par l'Importateur conformément à la Clause 5 (j), qui doit être mise à jour au moins une fois par an. Cette liste doit être communiquée à l'autorité de contrôle de la protection des données de l'Exportateur.

Clause 12

Obligation après la fin des services de traitement des données personnelles

1. Les Parties conviennent qu'à l'issue des services de traitement des données, l'Importateur de Données et le sous-traitant doivent, selon la convenance de l'Exportateur de Données, restituer toutes les données personnelles transférées et leurs copies à l'Exportateur de Données, ou détruire toutes ces données et fournir la preuve de cette destruction, sauf si la législation impose à l'Importateur de Données de ne pas restituer ou détruire tout ou partie des données transférées. Dans ce cas, l'Importateur garantit qu'il assurera la confidentialité des données transférées et qu'il ne traitera plus activement ces données.

2. L'Importateur de Données et le sous-traitant doivent s'assurer que, si l'Exportateur de Données ou l'autorité de contrôle le demande, ils soumettront leurs moyens de traitement des données à une vérification des mesures mentionnées au paragraphe 1.