Clauses Contractuelles Types Responsable du Traitement Des Données au Sous-Traitant

SECTION I

Clause 1
Objectif et champ d'application

  1. Les présentes causes contractuelles types ont pour objet de garantir le respect des exigences du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données) 1 pour le transfert de données à caractère personnel vers un pays tiers.
  2. Les Parties :
    1. la ou les personnes physiques ou morales, la ou les autorités publiques, le ou les organes ou tout autre organisme (ci-après dénommées « entités ») transférant les données à caractère personnel, telles qu'énumérées à l'Annexe I.A (ci-après chacun dénommé un « exportateur de données »), et
    2. la ou les entités d'un pays tiers recevant les données à caractère personnel de l'exportateur de données, directement ou indirectement par l'intermédiaire d'une autre entité également Partie aux présentes Clauses, telles qu'énumérées à l'Annexe I.A (ci-après, chacun, un « importateur de données ») ont accepté les présentes clauses contractuelles types (ci-après, les « Clauses »).
  3. Les présentes Clauses s'appliquent au transfert des données à caractère personnel spécifiées à l'Annexe I.B.
  4. L'Appendice aux présentes Clauses contenant les Annexes qui y sont mentionnées fait partie intégrante des présentes Clauses.

Clause 2
Effet et invariabilité des Clauses

  1. Les présentes Clauses établissent des garanties appropriées, y compris des droits opposables et des voies de droit effectives pour les personnes concernées, conformément à l'article 46(1) et à l'article 46(2)(c) du Règlement (UE) 2016/679 et, en ce qui concerne les transferts de données de responsables du traitement à des sous-traitants ou de sous-traitants à des sous-traitants, des clauses contractuelles types conformément à l'article 28(7) du Règlement (UE) 2016/679, à condition qu'elles ne soient pas modifiées, sauf pour sélectionner le ou les Modules appropriés ou pour ajouter ou mettre à jour des informations dans l'Appendice. Cela n'empêche pas les Parties d'inclure les clauses contractuelles types énoncées dans les présentes Clauses dans un contrat plus large ou d'ajouter d'autres clauses ou des garanties supplémentaires, à condition qu'elles ne contredisent pas, directement ou indirectement, les présentes Clauses et qu’elles ne compromettent pas les droits ou libertés fondamentaux des personnes concernées.
  2. Les présentes Clauses sont sans préjudice des obligations auxquelles l'exportateur de données est soumis en vertu du Règlement (UE) 2016/679.

Clause 3
Tiers bénéficiaires

  1. Les personnes concernées peuvent invoquer les présentes Clauses et les faire appliquer, en tant que tiers bénéficiaires, à l'encontre de l'exportateur de données ou de l'importateur de données, avec les exceptions suivantes :
    1. Clause 1, Clause 2, Clause 3, Clause 6, Clause 7;
    2. Clause 8 – Clauses 8.1(b), 8.9(a), (c), (d) et (e);
    3. Clause 9 – Clauses 9(a), (c), (d) et (e);
    4. Clause 12 – Clauses 12(a), (d) et (f);
    5. Clause 13;
    6. Clauses 15.1(c), (d) et (e);
    7. CClause 16(e); and
    8. Clause 18 – Clauses 18(a) et (b).
  2. (b) Le paragraphe (a) est sans préjudice des droits des personnes concernées en vertu du Règlement (UE) 2016/679.

Clause 4
Interprétation

  1. Lorsque les présentes Clauses utilisent des termes qui sont définis dans le Règlement (UE) 2016/679, ces termes ont la même signification que dans ledit Règlement.
  2. Les présentes Clauses doivent être lues et interprétées à la lumière des dispositions du Règlement (UE) 2016/679.
  3. Les présentes Clauses ne doivent pas être interprétées de manière à entrer en conflit avec les droits et obligations prévus par le Règlement (UE) 2016/679.

Clause 5
Hiérarchie

En cas de contradiction entre les présentes Clauses et les dispositions des contrats connexes entre les Parties, qu’ils existent au moment où les présentes Clauses sont convenues ou qu’ils soient conclus par la suite, les présentes Clauses prévaudront.

Clause 6
Description du ou des transferts

Les détails du ou des transferts, et en particulier les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles sont transférées, sont précisés à l'Annexe I.B.

Clause 7

  1. Une entité qui n'est pas Partie aux présentes Clauses peut, avec l’accord des Parties, adhérer aux présentes Clauses à tout moment, soit en tant qu'exportateur de données, soit en tant qu'importateur de données, en remplissant l'Appendice et en signant l'Annexe I.A.
  2. Une fois qu'elle aura rempli l'Appendice et signé l'Annexe I.A, l'entité adhérente deviendra Partie aux présentes Clauses et aura les droits et obligations d'un exportateur de données ou d'un importateur de données conformément à sa désignation à l'Annexe I.A.
  3. L'entité adhérente n'a aucun droit ou obligation découlant des présentes Clauses pour la période antérieure à son adhésion.

SECTION II – OBLIGATIONS DES PARTIES

Clause 8
Garanties de protection des données

8.1 Instructions

  1. L'importateur de données traite les données à caractère personnel uniquement sur instructions documentées de l'exportateur de données. L'exportateur de données peut donner de telles instructions pendant toute la durée du contrat.
  2. L'importateur de données informe immédiatement l'exportateur de données s'il n'est pas en mesure de suivre ces instructions.

8.2 Limitation de la finalité

L'importateur de données traite les données à caractère personnel uniquement aux fins spécifiques du transfert énoncées à l'Annexe I.B, sauf instructions supplémentaires de l'exportateur de données.

8.3 Transparence

Sur demande, l'exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes Clauses, y compris l'Appendice telle que complétée par les Parties. Dans la mesure où cela est nécessaire pour protéger les secrets d'affaires ou d'autres informations confidentielles, y compris les mesures décrites à l'Annexe II et les données à caractère personnel, l'exportateur de données peut retirer une partie du texte de l'Appendice aux présentes Clauses avant d'en partager une copie, mais il doit fournir un résumé explicatif dans le cas où la personne concernée ne serait pas autrement en mesure d'en comprendre le contenu ou d'exercer ses droits. Sur demande, les Parties expliquent à la personne concernée pourquoi des parties ont été retirées, dans la mesure du possible sans révéler les informations en question. La présente Clause est sans préjudice des obligations de l'exportateur de données en vertu des articles 13 et 14 du Règlement (UE) 2016/679.

8.4 Exactitude

Si l'importateur de données se rend compte que les données à caractère personnel qu'il a reçues sont inexactes ou obsolètes, il en informe l'exportateur de données dans les meilleurs délais. Dans ce cas, l'importateur de données coopère avec l'exportateur de données pour effacer ou rectifier ces données.

8.5 Durée du traitement et effacement ou restitution des données

Le traitement par l'importateur de données n'a lieu que pour la durée spécifiée à l'Annexe I.B. Après la fin de la prestation des services de traitement, l'importateur de données efface, au choix de l'exportateur de données, toutes les données à caractère personnel traitées pour le compte de ce dernier et lui certifie qu'il l'a fait, ou lui restitue toutes les données à caractère personnel traitées pour son compte et supprime les copies existantes. Jusqu'à ce que les données soient supprimées ou restituées, l'importateur de données doit continuer à assurer le respect des présentes Clauses. En cas de loi locale applicable à l'importateur de données et interdisant la restitution ou la suppression des données à caractère personnel, celui-ci garantit qu'il continuera à assurer le respect des présentes Clauses et qu’il ne les traitera que dans la mesure et pour la durée requises par cette loi locale. Cette disposition est sans préjudice de la Clause 14, en particulier l'obligation imposée à l'importateur de données, en vertu de la Clause 14(e), d'informer l'exportateur de données pendant toute la durée du contrat s'il a des raisons de croire qu'il est soumis, ou le devient, à des lois ou à des pratiques non conformes aux exigences de la Clause 14 (a).

8.6 Sécurité du traitement

  1. L'importateur de données ainsi que, pendant la transmission, l'exportateur de données mettent en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données, y compris la protection contre une violation de la sécurité entraînant la destruction de ces données, leur perte, leur altération, leur divulgation ou l'accès non autorisés à ces dernières de manière accidentelle ou illégale (ci-après « violation de données à caractère personnel »). Pour évaluer le niveau de sécurité approprié, les Parties tiennent dûment compte de la modernité, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement, ainsi que des risques qu’il présente pour les personnes concernées. Les Parties étudient notamment le recours au cryptage ou à l’anonymisation, y compris pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. En cas d’anonymisation, les informations supplémentaires permettant d'attribuer les données à caractère personnel à une personne concernée spécifique restent, dans la mesure du possible, sous le contrôle exclusif de l'exportateur de données. Dans le cadre du respect des obligations qui lui incombent en vertu du présent paragraphe, l'importateur de données met au moins en œuvre les mesures techniques et organisationnelles spécifiées à l'Annexe II. L'importateur de données effectue des contrôles réguliers pour s'assurer que ces mesures continuent à garantir un niveau de sécurité approprié.
  2. L'importateur de données n'accorde l'accès aux données à caractère personnel aux membres de son personnel que dans la mesure strictement nécessaire à l'exécution, la gestion et le suivi du contrat. Il veille à ce que les personnes autorisées à traiter les données à caractère personnel se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité appropriée.
  3. En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l'importateur de données en vertu des présentes Clauses, l'importateur de données prend les mesures appropriées pour faire face à la violation, y compris les mesures visant à atténuer ses effets négatifs. L'importateur de données notifie également l'exportateur de données sans délai indu après avoir pris connaissance d’une telle violation. Cette notification contient les coordonnées d'un interlocuteur pouvant apporter de plus amples informations, une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d'enregistrements de données à caractère personnel concernés), ses conséquences probables et les mesures prises ou proposées pour y remédier, y compris, le cas échéant, les mesures visant à atténuer ses éventuels effets négatifs. Lorsque, et dans la mesure où, il n'est pas possible de fournir toutes ces informations en même temps, la notification initiale contient les informations alors existantes et d'autres informations sont fournies ultérieurement, sans délai excessif, dès qu'elles sont connues.
  4. L'importateur de données coopère avec l'exportateur de données et l'aide pour lui permettre de se conformer à ses obligations au titre du Règlement (UE) 2016/679, en particulier pour notifier l'autorité de contrôle compétente et les personnes concernées affectées, en tenant compte de la nature du traitement et des informations dont il dispose.

8.7 Données sensibles

Lorsque le transfert porte sur des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, des données génétiques ou des données biométriques permettant d'identifier une personne physique de manière unique, des données relatives à la santé, à la vie sexuelle ou à l'orientation sexuelle d'une personne, ou des données relatives aux condamnations pénales et aux infractions (ci-après les « données sensibles »), l'importateur de données applique les restrictions spécifiques ou les garanties supplémentaires décrites à l'Annexe I.B.

8.8 Transferts ultérieurs

L'importateur de données ne divulgue les données à caractère personnel à un tiers que sur instruction documentée de l'exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l'Union européenne (4) (dans le même pays que l'importateur de données ou dans un autre pays tiers, ci-après « transfert ultérieur ») que si le tiers est lié par les présentes Clauses ou accepte de l'être, dans le cadre du Module approprié, ou si :

  1. le transfert ultérieur est vers un pays bénéficiant d'une décision constatant son adéquation en vertu de l'article 45 du Règlement (UE) 2016/679 couvrant le transfert ultérieur ;
  2. le tiers assure par ailleurs des garanties appropriées conformément aux articles 46 ou 47 du Règlement (UE) 2016/679 en ce qui concerne le traitement en question ;
  3. le transfert ultérieur est nécessaire pour la constatation, l'exercice ou la défense face à des demandes dans le cadre de procédures administratives, réglementaires ou judiciaires spécifiques ; ou
  4. le transfert ultérieur est nécessaire pour protéger les intérêts vitaux de la personne concernée ou ceux d'une autre personne physique.

Tout transfert ultérieur est soumis au respect par l'importateur de données de toutes les autres garanties prévues par les présentes Clauses, en particulier la limitation de la finalité.

8.9 Documents et conformité

  1. L'importateur de données doit traiter rapidement et de manière adéquate les demandes de l'exportateur de données relatives au traitement prévu par les présentes Clauses.
  2. Les Parties doivent être en mesure de démontrer le respect des présentes Clauses. En particulier, l'importateur de données conserve les documents portant sur les activités de traitement effectuées pour le compte de l'exportateur de données.
  3. L'importateur de données met à la disposition de l'exportateur de données toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans les présentes Clauses et, à la demande de l'exportateur de données, autorise les audits des activités de traitement couvertes par les présentes Clauses et y participe, à intervalles raisonnables ou s'il existe des signes de non-conformité. Pour prendre une décision sur un examen ou un audit, l'exportateur de données peut prendre en compte les certifications pertinentes détenues par l'importateur de données.
  4. L'exportateur de données peut choisir de mener l'audit lui-même ou de mandater un auditeur indépendant. Les audits peuvent inclure des inspections dans les locaux ou les installations physiques de l'importateur de données et sont effectués, le cas échéant, après avoir donné un préavis raisonnable.
  5. Les Parties mettent les informations visées aux paragraphes (b) et (c), y compris les résultats de tout audit, à la disposition de l'autorité de contrôle compétente, sur demande.

Clause 9
Recours à des sous-traitants ultérieurs

  1. L'importateur de données dispose de l'autorisation générale de l'exportateur de données pour recruter un ou plusieurs sous-traitants ultérieurs figurant sur une liste établie d'un commun accord. L'importateur de données informe spécifiquement l'exportateur de données, par écrit, de toute modification prévue de cette liste par l'ajout ou le remplacement de sous-traitants ultérieurs au moins trente (30) jours à l'avance, lui donnant ainsi suffisamment de temps pour pouvoir s'opposer à ces modifications avant que le ou les sous-traitants ultérieurs ne soient recrutés. L'importateur de données fournit à l'exportateur de données les informations nécessaires pour lui permettre d'exercer son droit d'opposition.
  2. Lorsque l'importateur de données recrute un sous-traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte de l'exportateur de données), il doit le faire par le biais d'un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l'importateur de données en vertu des présentes Clauses, y compris en termes de droits des tiers bénéficiaires pour les personnes concernées2. Les Parties conviennent que, en se conformant à la présente Clause, l'importateur de données remplit ses obligations en vertu de la Clause 8.8. L'importateur de données veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles l'importateur de données est soumis en vertu des présentes Clauses.
  3. L'importateur de données fournit, à la demande de l'exportateur de données, une copie d'un tel contrat de sous-traitance ultérieure et de toute modification ultérieure à l'exportateur de données. Dans la mesure où cela est nécessaire pour protéger les secrets d'affaires ou d'autres informations confidentielles, y compris les données à caractère personnel, l'importateur de données peut retirer le texte du contrat avant d'en partager une copie.
  4. L'importateur de données reste entièrement responsable envers l'exportateur de données de l'exécution des obligations du sous-traitant ultérieur en vertu de son contrat avec l'importateur de données. L'importateur de données notifie à l'exportateur de données tout manquement du sous-traitant ultérieur à ses obligations au titre de ce contrat.
  5. L'importateur de données convient avec le sous-traitant ultérieur d'une clause de tiers bénéficiaire en vertu de laquelle (dans le cas où l'importateur de données a disparu, a cessé d'exister en droit ou devient insolvable) l'exportateur de données a le droit de résilier le contrat du sous-traitant ultérieur et de demander à ce dernier d'effacer ou de restituer les données à caractère personnel.

Clause 10
Droits des personnes concernées

  1. L'importateur de données informe rapidement l'exportateur de données de toute demande qu'il a reçue d'une personne concernée. Il ne répond pas lui-même à cette demande, sauf si l'exportateur de données l’y a autorisé.
  2. L'importateur de données aide l'exportateur de données à remplir ses obligations de réponse aux demandes des personnes concernées concernant l'exercice de leurs droits en vertu du Règlement (UE) 2016/679. À cet égard, les Parties définissent à l'Annexe II les mesures techniques et organisationnelles appropriées, compte tenu de la nature du traitement, par lesquelles l'assistance doit être fournie, ainsi que la portée et l'étendue de l'assistance requise.
  3. En remplissant ses obligations en vertu des paragraphes (a) et (b), l'importateur de données se conforme aux instructions de l'exportateur de données.

Clause 11
Réparation

  1. L'importateur de données informe les personnes concernées dans un format transparent et facilement accessible, par le biais d'un avis individuel ou sur son site web, d'un interlocuteur autorisé à traiter les plaintes. Il traite rapidement toute plainte qu'il reçoit d'une personne concernée.
  2. En cas de litige entre une personne concernée et l'une des Parties en ce qui concerne le respect des présentes Clauses, cette Partie fera tout son possible pour résoudre le problème à l'amiable et rapidement. Les Parties se tiennent mutuellement informées de ces litiges et, le cas échéant, coopèrent pour les résoudre.
  3. Lorsque la personne concernée invoque un droit de tiers bénéficiaire conformément à la Clause 3, l'importateur de données admet la décision de la personne concernée de :
    1. déposer une plainte auprès de l'autorité de contrôle de l'État membre de sa résidence habituelle ou de son lieu de travail, ou auprès de l'autorité de contrôle compétente conformément à la Clause 13 ; ou
    2. soumettre le litige aux tribunaux compétents au sens de la Clause 18.
  4. Les Parties admettent que la personne concernée peut être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions prévues à l'article 80(1) du Règlement (UE) 2016/679.
  5. L'importateur de données doit se conformer à une décision qui est contraignante en vertu du droit applicable de l'UE ou des États membres.
  6. L'importateur de données convient que le choix effectué par la personne concernée ne compromettra pas ses droits substantiels et procéduraux d’obtenir réparation conformément aux lois applicables.

Clause 12
Responsabilité

  1. Chaque Partie est responsable envers l'autre Partie des dommages qu'elle lui cause par toute violation des présentes Clauses.
  2. L'importateur de données est responsable envers la personne concernée, et la personne concernée est en droit de recevoir une indemnisation, en cas de préjudice matériel et moral que l'importateur de données ou son sous-traitant ultérieur cause à la personne concernée en violant les droits des tiers bénéficiaires en vertu des présentes Clauses.
  3. Nonobstant le paragraphe (b), l'exportateur de données est responsable envers la personne concernée, et la personne concernée a le droit d'être indemnisée en cas de préjudice matériel et moral que l'exportateur de données ou l'importateur de données (ou son sous-traitant ultérieur) lui cause en violant les droits des tiers bénéficiaires en vertu des présentes Clauses. Ceci est sans sans préjudice de la responsabilité de l'exportateur de données et, lorsqu’il est un sous-traitant agissant pour le compte d'un responsable du traitement, de celle du responsable du traitement en vertu du Règlement (UE) 2016/679 ou du Règlement (UE) 2018/1725, selon le cas.
  4. Les Parties conviennent que si l'exportateur de données est tenu responsable, en vertu du paragraphe (c), des dommages causés par l'importateur de données (ou par son sous-traitant ultérieur), il sera en droit de demander à l'importateur de données de lui restituer la partie de l'indemnisation correspondant à la responsabilité de l'importateur de données dans le dommage.
  5. Lorsque plus d'une Partie est responsable de tout dommage causé à la personne concernée à la suite d'une violation des présentes Clauses, toutes les Parties responsables sont conjointement et solidairement responsables et la personne concernée a le droit d'intenter une action en justice contre l'une de ces Parties.
  6. Les Parties conviennent que si l'une des Parties est tenue pour responsable en vertu du paragraphe (e), elle aura le droit de demander à l'autre ou aux autres Parties la part de l'indemnisation correspondant à leur part de responsabilité dans le dommage.
  7. L'importateur de données ne peut pas invoquer le comportement d'un sous-traitant ultérieur pour se soustraire à sa propre responsabilité.

Clause 13
Contrôle

  1. L'autorité de contrôle chargée de veiller au respect par l'exportateur de données du Règlement (UE) 2016/679 en ce qui concerne le transfert de données, comme indiqué à l'Annexe I.C, agit en tant qu'autorité de contrôle compétente.
  2. L'importateur de données accepte de se soumettre à la juridiction de l'autorité de contrôle compétente et de coopérer avec elle dans le cadre de toute procédure visant à assurer le respect des présentes Clauses. En particulier, l'importateur de données accepte de répondre aux demandes de renseignements, de se soumettre à des audits et de respecter les mesures adoptées par l'autorité de contrôle, y compris les mesures correctives et compensatoires. Il confirme par écrit à l'autorité de contrôle que les mesures nécessaires ont été prises.

SECTION III – LOIS ET OBLIGATIONS LOCALES EN CAS D'ACCÈS PAR LES AUTORITÉS PUBLIQUES

Clause 14
Lois et pratiques locales affectant le respect des Clauses

  1. Les Parties garantissent qu'elles n'ont aucune raison de croire que les lois et pratiques du pays tiers de destination régissant le traitement des données à caractère personnel par l'importateur de données, y compris les exigences de divulgation des données à caractère personnel ou les mesures autorisant l'accès par les autorités publiques, empêchent l'importateur de données de remplir ses obligations en vertu des présentes Clauses. Elles donnent cette garantie étant entendu que les lois et pratiques qui respectent l'essence des droits et libertés fondamentaux et qui n'excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour sauvegarder l'un des objectifs énumérés à l'article 23(1) du Règlement (UE) 2016/679 ne sont pas en contradiction avec les présentes Clauses.
  2. Les Parties déclarent qu'en donnant la garantie énoncée au paragraphe (a), elles ont dûment tenu compte, en particulier, des éléments suivants :
    1. les circonstances spécifiques du transfert, y compris la longueur de la chaîne de traitement, le nombre d'acteurs impliqués et les voies de transmission utilisées ; les transferts ultérieurs prévus ; le type de destinataire ; la finalité du traitement ; les catégories et le format des données à caractère personnel transférées ; le secteur économique dans lequel le transfert a lieu ; le lieu de stockage des données transférées ;
    2. les lois et pratiques du pays tiers de destination, y compris celles qui exigent la divulgation des données aux autorités publiques ou qui autorisent l'accès à ces autorités, pertinentes à la lumière des circonstances spécifiques du transfert, et les limitations et garanties applicables3
    3. toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les garanties prévues par les présentes Clauses, y compris les mesures appliquées pendant la transmission et au traitement des données à caractère personnel dans le pays de destination.
  3. L'importateur de données garantit que, dans le cadre de l'évaluation prévue au paragraphe (b), il a fait de son mieux pour fournir à l'exportateur de données les informations pertinentes et accepte de continuer à coopérer avec l'exportateur de données pour assurer le respect des présentes Clauses.
  4. Les Parties conviennent de documenter l'évaluation visée au paragraphe (b) et de la mettre à la disposition de l'autorité de contrôle compétente sur demande.
  5. L'importateur de données accepte d'informer rapidement l'exportateur de données si, après avoir accepté les présentes Clauses et pendant la durée du contrat, il a des raisons de croire qu'il est ou devient soumis à des lois ou des pratiques non conformes aux exigences du paragraphe (a), y compris à la suite d'un changement dans les lois du pays tiers ou d'une mesure (telle qu'une demande de divulgation) indiquant une application de ces lois dans la pratique non conforme aux exigences du paragraphe (a).
  6. À la suite d'une notification en vertu du paragraphe (e), ou si l'exportateur de données a d'autres raisons de croire que l'importateur de données ne peut plus remplir ses obligations découlant des présentes Clauses, l'exportateur de données identifie rapidement les mesures appropriées (par exemple, des mesures techniques ou organisationnelles pour garantir la sécurité et la confidentialité) que lui-même ou l'importateur de données doit adopter pour faire face à la situation. L'exportateur de données suspend le transfert de données s'il considère qu'aucune garantie appropriée pour ce transfert ne peut être assurée, ou si l'autorité de contrôle compétente lui en donne l'instruction. Dans ce cas, l'exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement des données à caractère personnel en vertu des présentes Clauses. Si le contrat implique plus de deux Parties, l'exportateur de données ne peut exercer ce droit de résiliation qu'à l'égard de la Partie concernée, sauf si les Parties en ont convenu autrement. Lorsque le contrat est résilié en vertu de la présente Clause, la Clause 16(d) et (e) s'applique.

Clause 15
Obligations de l'importateur de données en cas d'accès par les autorités publiques

15.1 Notification

  1. L'importateur de données accepte de notifier rapidement l'exportateur de données et, si possible, la personne concernée (si nécessaire avec l'aide de l'exportateur de données), s'il :
    1. reçoit une demande juridiquement contraignante d'une autorité publique, y compris les autorités judiciaires, en vertu des lois du pays de destination, l’enjoignant à divulguer des données à caractère personnel transférées conformément aux présentes Clauses ; cette notification comprendra des informations sur les données à caractère personnel demandées, l'autorité requérante, la base juridique de la demande et la réponse fournie ; ou
    2. prend connaissance de tout accès direct des autorités publiques aux données à caractère personnel transférées en vertu des présentes Clauses conformément aux lois du pays de destination ; cette notification comprendra toutes les informations dont dispose l'importateur.
  2. S’il est interdit à l'importateur de données de notifier l'exportateur de données ou la personne concernée en vertu des lois du pays de destination, l'importateur de données s’engage à faire tout son possible pour obtenir une levée de l'interdiction, en vue de communiquer autant d'informations que possible, dans les meilleurs délais. L'importateur de données accepte de documenter toutes ses démarches en ce sens afin d'être en mesure de les prouver sur demande de l'exportateur de données.
  3. Lorsque les lois du pays de destination le permettent, l'importateur de données accepte de fournir à l'exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d'informations pertinentes que possible sur les demandes reçues (en particulier, le nombre de demandes, le type de données demandées, la ou les autorités requérantes, si les demandes ont été contestées et l'issue de ces contestations, etc.).
  4. L'importateur de données accepte de conserver les informations visées aux paragraphes (a) à (c) pendant la durée du contrat et de les mettre à la disposition de l'autorité de contrôle compétente sur demande.
  5. Les paragraphes (a) à (c) sont sans préjudice de l'obligation de l'importateur de données, en vertu de la Clause 14(e) et de la Clause 16, d'informer rapidement l'exportateur de données lorsqu'il n'est pas en mesure de se conformer aux présentes Clauses.

15.2 Examen de la légalité et minimisation des données

  1. L'importateur de données accepte d'examiner la légalité de la demande de divulgation, notamment la question de savoir si elle reste dans les limites des pouvoirs accordés à l'autorité publique requérante, et de contester la demande si, après une évaluation minutieuse, il conclut qu'il existe des motifs raisonnables de considérer que la demande est illégale au regard des lois du pays de destination, des obligations applicables en vertu du droit international et des principes de la courtoisie internationale. L'importateur de données doit, dans ces conditions, exercer des voies de recours. Lorsqu'il conteste une demande, l'importateur de données demande des mesures provisoires en vue de suspendre les effets de la demande jusqu'à ce que l'autorité judiciaire compétente ait tranché la question sur le fond. Il ne divulgue pas les données à caractère personnel demandées tant qu'il n'est pas tenu de le faire en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations de l'importateur de données en vertu de la Clause 14(e).
  2. L'importateur de données accepte de documenter son évaluation juridique et toute contestation de la demande de divulgation et, dans la mesure où les lois du pays de destination le permettent, de mettre les documents à la disposition de l'exportateur de données. Il les met également à la disposition de l'autorité de contrôle compétente sur demande.
  3. L'importateur de données accepte de fournir la quantité minimale d'informations autorisée lorsqu'il répond à une demande de divulgation, sur la base d'une interprétation raisonnable de cette demande.

SECTION IV – DISPOSITIONS FINALES

Clause 16
Non-respect des Clauses et résiliation

  1. L'importateur de données doit informer rapidement l'exportateur de données s'il n'est pas en mesure de se conformer aux présentes Clauses pour quelque raison que ce soit.
  2. Si l'importateur de données enfreint les présentes Clauses ou n'est pas en mesure de les respecter, l'exportateur de données suspendra le transfert de données à caractère personnel à l'importateur de données jusqu'à ce que la conformité soit à nouveau assurée ou que le contrat soit résilié. Ceci est sans sans préjudice de la Clause 14(f).
  3. L'exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement des données à caractère personnel en vertu des présentes Clauses, lorsque :
    1. l'exportateur de données a suspendu le transfert de données à caractère personnel à l'importateur de données conformément au paragraphe (b) et que le respect des présentes Clauses n'est pas rétabli dans un délai raisonnable et, en tout état de cause, dans le mois suivant la suspension ;
    2. l'importateur de données est en violation substantielle ou continue des présentes Clauses ; ou
    3. l'importateur de données ne se conforme pas à une décision contraignante d'un tribunal ou d'une autorité de contrôle compétente concernant ses obligations découlant des présentes Clauses.
  4. Dans ces cas, il informe l'autorité de contrôle compétente de ce non-respect. Lorsque le contrat implique plus de deux Parties, l'exportateur de données ne peut exercer ce droit de résiliation qu'à l'égard de la Partie concernée, sauf si les Parties en ont convenu autrement.
  5. Les données à caractère personnel qui ont été transférées avant la résiliation du contrat conformément au paragraphe (c) sont, au choix de l'exportateur de données, immédiatement renvoyées à l'exportateur de données ou supprimées dans leur intégralité. Il en va de même pour toute copie de ces données. L'importateur de données certifie la suppression des données à l'exportateur de données. Jusqu'à ce que les données soient supprimées ou restituées, l'importateur de données doit continuer à assurer le respect des présentes Clauses. En cas de loi locale applicable à l'importateur de données et interdisant la restitution ou la suppression des données à caractère personnel transférées, celui-ci garantit qu'il continuera à assurer le respect des présentes Clauses et qu’il ne les traitera que dans la mesure et pour la durée requises par cette loi locale.
  6. Chaque Partie peut révoquer son consentement à être liée par les présentes Clauses lorsque (i) la Commission européenne adopte une décision en vertu de l'article 45(3) du Règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auquel les présentes Clauses s'appliquent ; ou (ii) le Règlement (UE) 2016/679 devient partie intégrante du cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Ceci est sans préjudice des autres obligations qui s'appliquent au traitement en question en vertu du Règlement (UE) 2016/679.

Clause 17
Droit applicable

Les présentes Clauses sont régies par le droit de l'État membre de l'UE dans lequel l'exportateur de données est établi. Si celui-ci ne prévoit pas de droits pour les tiers bénéficiaires, elles sont régies par le droit d'un autre État membre de l'UE qui prévoit des droits pour les tiers bénéficiaires. Les Parties conviennent que c'est le droit de l'Irlande qui s'applique.

Clause 18
Compétence

  1. Tout litige découlant des présentes Clauses sera résolu par les tribunaux d'un État membre de l'UE.
  2. Les Parties conviennent qu'il s'agira des tribunaux de Galway, en Irlande.
  3. Une personne concernée peut également intenter une action en justice contre l'exportateur de données ou l'importateur de données devant les tribunaux de l'État membre dans lequel elle a sa résidence habituelle.
  4. Les Parties acceptent de se soumettre à la compétence de ces tribunaux.

Les termes qui ne sont pas définis dans les Annexes ont la signification qui leur est donnée dans les Conditions de traitement des données.

ANNEXE I

A. LISTE DES PARTIES

Exportateur(s) de données :

Nom : Société

Adresse : L'adresse de la Société associée à son compte

Nom, fonction et coordonnées de l’interlocuteur : Les coordonnées associées à la Société
Compte

Activités relatives aux données transférées en vertu des présentes Clauses : Traitement des données à caractère personnel nécessaire pour que l'importateur de données fournisse un service, conformément aux conditions de traitement des données convenues entre les parties.

Signature et date : En utilisant les Services pour transférer les données de la Société à HID, l'exportateur de données sera réputé avoir signé la présente Annexe I.

Rôle : Responsable du traitement

Importateur(s) de données :

Nom : HID Global Corporation et ses entités affiliées

Adresse de HID Global Corporation : 611 Center Ridge Dr, Austin, TX 78753*

*Le lieu des activités de traitement est indiqué dans les Spécifications du traitement des données

Nom, fonction et coordonnées de l’interlocuteur : Responsable de la protection des données par e-mail [email protected]

Activités relatives aux données transférées en vertu des présentes Clauses : Transfert de données à caractère personnel à l'importateur de données nécessaire pour que l'importateur de données fournisse un service, conformément aux conditions de traitement des données convenues entre les parties.

Signature et date : En transférant des données de la Société à des pays tiers sur les instructions de la Société, l'importateur de données sera réputé avoir signé la présente Annexe I.

Rôle : Sous-traitant

B. DESCRIPTION DU TRANSFERT

Catégories de personnes dont les données à caractère personnel sont transférées

Les catégories de personnes concernées sont décrites dans les Spécifications du traitement des données

Catégories de données à caractère personnel transférées

Les données à caractère personnel sont décrites dans les Spécifications du traitement des données

Données sensibles transférées (s’il y a lieu) et restrictions ou garanties appliquées qui tiennent pleinement compte de
la nature des données et des risques, comme par exemple la stricte limitation à la finalité,
les restrictions d'accès (y compris l'accès réservé au personnel ayant suivi une formation spécialisée),
l'enregistrement de l'accès aux données, les restrictions des transferts ultérieurs ou mesures de sécurité
supplémentaires

Les données sensibles transférées, le cas échéant, et tous les détails supplémentaires les concernant sont indiqués dans les Spécifications du traitement des données.

Fréquence du transfert (par exemple, si les données sont transférées de façon ponctuelle ou continue)

Les données à caractère personnel sont transférées conformément aux Spécifications du traitement des données

Nature du traitement

La nature du traitement est décrite dans les Spécifications du traitement des données

Finalité(s) du transfert de données et du traitement ultérieur

Fournir le Service.

Durée pendant laquelle les données à caractère personnel seront conservées ou, si cela n'est pas possible, critères utilisés pour
déterminer cette durée

La durée de conservation des données ou les critères utilisés pour la déterminer sont énoncés dans les Spécifications de traitement des données.

Pour les transferts à des sous-traitants (ultérieurs), préciser également l'objet, la nature et la durée du traitement

L'objet, la nature et la durée du traitement sont précisés dans les Spécifications du traitement des données.

C. AUTORITÉ DE CONTRÔLE COMPÉTENTE

L'autorité de contrôle compétente de l'exportateur de données sera déterminée conformément au RGPD.

ANNEXE II

MESURES TECHNIQUES ET ORGANISATIONNELLES, DONT LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES

HID mettra en œuvre et conservera à tout moment des mesures administratives, physiques et techniques appropriées et légalement requises (« Mesures de sécurité ») qui empêchent toute collecte, utilisation ou divulgation non autorisées de Données à caractère personnel, ou tout accès à celles-ci. Ces Mesures de sécurité comprennent : (a) maintenir une protection périmétrique conforme aux normes de l'industrie du réseau de HID et des dispositifs qui y sont connectés (« Système de HID ») ; (b) appliquer, dès que possible, des correctifs ou d'autres contrôles au Système de HID qui traitent efficacement les vulnérabilités de sécurité réelles ou potentielles basées sur le code ; (c) déployer des efforts commercialement raisonnables pour s'assurer que le Système de HID reste sans vulnérabilités de sécurité, virus, logiciels malveillants et autres codes nuisibles ; (d) déployer des efforts commercialement raisonnables pour suivre des normes et des pratiques de codage sûres qui traitent les vulnérabilités de sécurité des applications courantes ; (e) dispenser une formation appropriée aux employés et travailleurs de HID concernant la sécurité et s'assurer que ces personnes sont liées par des obligations de confidentialité ; (f) accéder aux Données à caractère personnel ou les transférer uniquement de manière sécurisée et confidentielle ; et (g) limiter l'accès des employés/agents/sous-traitants de HID à son réseau, ses systèmes, dispositifs et installations à ceux qui ont besoin d'y accéder et qui sont suffisamment compétents en matière de sécurité de l'information, et dont les privilèges d'accès seront révoqués rapidement après leur départ.

HID crypte les Données à caractère personnel lorsque cela est approprié et dans tous les cas : (i) lorsqu'elles sont transférées, communiquées ou autrement transmises par voie électronique en dehors de son système ou de l'UE ou de l'Espace économique européen (EEE) ; (ii) en relation avec la connectivité d'accès à distance impliquant de telles Données à caractère personnel ; (iii) dans la mesure où des dispositifs portables sont utilisés pour traiter des Données à caractère personnel ; et (iv) dans toutes les circonstances requises par les lois applicables sur la protection des données.

ANNEXE III

CLAUSES SUPPLÉMENTAIRES

La section Limitations de responsabilité des Conditions de traitement des données est une clause supplémentaire conformément à la Clause 2 des Clauses contractuelles types.




1Lorsque l'exportateur de données est un sous-traitant soumis au Règlement (UE) 2016/679 agissant pour le compte d'une institution ou d'un organe de l'Union en tant que responsable du traitement, le fait de s'appuyer sur les présentes Clauses lorsqu'il recrute un autre sous-traitant (sous-traitement ultérieur) non soumis au Règlement (UE) 2016/679 garantit également le respect de l'article 29(4) du Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union et à la libre circulation de ces données, et abrogeant le Règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE (JO L 295 du 21/11/2018, p. 39), dans la mesure où les présentes Clauses et les obligations en matière de protection des données telles que définies dans le contrat ou autre acte juridique entre le responsable du traitement et le sous-traitant conformément à l'article 29(3) du Règlement (UE) 2018/1725 sont en accord. Ce sera notamment le cas lorsque le responsable du traitement et le sous-traitant se fondent sur les clauses contractuelles types incluses dans la décision 2021/915.

2 Il est possible de satisfaire à cette exigence en faisant adhérer le sous-traitant aux présentes Clauses dans le cadre du Module approprié, conformément à la Clause 7.

3 En ce qui concerne l'impact de ces lois et pratiques sur le respect des présentes Clauses, différents éléments peuvent être considérés dans le cadre d'une évaluation globale. Ces éléments peuvent inclure des demandes antérieures, pertinentes et documentées, de divulgation émanant d’autorités publiques, ou l'absence de telles demandes, couvrant une période suffisamment représentative. Il peut s'agir en particulier de fichiers internes ou d'autres documents, établis de manière continue conformément au principe de diligence raisonnable et certifiés au niveau de la direction générale, pour autant que ces informations puissent être légalement partagées avec des tiers. Lorsque ces demandes antérieures sont invoquées pour conclure que l'importateur de données ne sera pas empêché de se conformer aux présentes Clauses, elles doivent être étayées par d'autres éléments pertinents et objectifs, et il appartient aux Parties de se demander attentivement si ces éléments pris ensemble ont un poids suffisant, en termes de fiabilité et de représentativité, pour étayer cette conclusion. En particulier, les Parties doivent tenir compte du fait de savoir si les demandes antérieures qu’elles ont reçues sont corroborées et non contredites par des informations fiables, accessibles au public ou accessibles par d'autres moyens quant à l'existence ou l'absence de demandes dans le même secteur ou l'application de la loi dans la pratique, par exemple par une jurisprudence et des rapports d'organes de contrôle indépendants.