CLAUSES CONTRACTUELLES TYPES

Annexe n° 2 - Clauses contractuelles types

CLAUSES CONTRACTUELLES TYPES

SECTION I

Article 1
Objectif et champ d'application

(a) Les présentes clauses contractuelles types ont pour objet de garantir le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) pour le transfert de données à caractère personnel vers un pays tiers.

(b) Les parties :
i) la ou les personnes physiques ou morales, l'autorité ou les autorités publiques, l'agence ou les autres organismes (ci-après dénommés "entité(s)") qui transfèrent les données à caractère personnel, telles qu'énumérées à l'annexe I.A (ci-après dénommées "exportateur de données"), et

ii) l'entité/les entités d'un pays tiers recevant les données à caractère personnel de l'exportateur de données, directement ou indirectement par l'intermédiaire d'une autre entité également partie aux présentes clauses, telle qu'énumérée à l'annexe I.A (ci-après dénommée "importateur de données"), ont accepté les présentes clauses contractuelles types (ci-après dénommées "clauses").

(c) Les présentes clauses s'appliquent au transfert de données à caractère personnel tel que spécifié à l'annexe I.B.

(d) L'appendice des présentes clauses contenant les annexes qui y sont mentionnées fait partie intégrante des présentes clauses.

Article 2
Effet et invariabilité des Clauses

a) Les présentes Clauses établissent des garanties appropriées, y compris des droits exécutoires des personnes concernées et des recours juridiques efficaces, conformément à l'article 46, paragraphe 1, et à l'article 46, paragraphe 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données des responsables du traitement aux sous-traitants et/ou des sous-traitants aux sous-traitants, des clauses contractuelles types conformément à l'article 28, paragraphe 7, du règlement (UE) 2016/679, à condition qu'elles ne soient pas modifiées, sauf pour sélectionner le ou les modules appropriés ou pour ajouter ou mettre à jour des informations dans l'annexe. Cela n'empêche pas les Parties d'inclure les clauses contractuelles types établies dans les présentes Clauses dans un contrat plus large et/ou d'ajouter d'autres clauses ou des garanties supplémentaires, à condition qu'elles ne contredisent pas, directement ou indirectement, les présentes Clauses ou ne portent pas atteinte aux droits ou libertés fondamentaux des personnes concernées.

(b) Les présentes clauses sont sans préjudice des obligations auxquelles l'exportateur de données est soumis en vertu du règlement (UE) 2016/679.

Article 3
Tiers bénéficiaires

(a) Les personnes concernées peuvent invoquer et faire appliquer les présentes clauses, en tant que tiers bénéficiaires, à l'encontre de l'exportateur de données et/ou de l'importateur de données, avec les exceptions suivantes :
(i) Clause 1, Clause 2, Clause 3, Clause 6, Clause 7 ;

(ii) Clause 8 - Module un : Clause 8.5 (e) et Clause 8.9(b) ; Module deux : Clause 8.1(b), 8.9(a), (c), (d) et (e) ; Module trois : Clause 8.1(a), (c) et (d) et Clause 8.9(a), (c), (d), (e), (f) et (g) ; Module quatre : Clause 8.1 (b) et Clause 8.3(b) ;

(iii) Clause 9 - Module deux : Clause 9(a), (c), (d) et (e) ; Module trois : Clause 9(a), (c), (d) et (e) ;

(iv) Clause 12 - Module un : Clause 12(a) et (d) ; Modules deux et trois : Clause 12(a), (d) et (f) ;

(v) Clause 13 ;

(vi) Clause 15.1(c), (d) et (e) ;

(vii) Clause 16(e) ;

(viii) Clause 18 - Modules un, deux et trois : Clause 18(a) et (b) ; Module quatre : Clause 18.

(b) Le paragraphe (a) est sans préjudice des droits des personnes concernées en vertu du règlement (UE) 2016/679.

Article 4
Interprétation

(a) Lorsque les présentes clauses utilisent des termes qui sont définis dans le règlement (UE) 2016/679, ces termes ont la même signification que dans ledit règlement.

(b) Les présentes clauses doivent être lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679.

(c) Les présentes clauses ne doivent pas être interprétées de manière à entrer en conflit avec les droits et obligations prévus par le règlement (UE) 2016/679.

Article 5
Hiérarchie

En cas de contradiction entre les présentes clauses et les dispositions des accords connexes entre les parties, existant au moment où les présentes clauses sont convenues ou conclues par la suite, les présentes clauses prévaudront.

Article 6
Description du ou des transferts

Les détails du ou des transferts, et notamment les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles sont transférées, sont précisés à l'annexe I.B.

Article 7
Clause d'amarrage

(a) Une entité qui n'est pas Partie aux présentes Clauses peut, avec l'accord des Parties, adhérer à tout moment aux présentes Clauses, soit en tant qu'exportateur de données, soit en tant qu'importateur de données, en remplissant l'appendice et en signant l'annexe I.A.

(b) Une fois qu'elle a rempli l'appendice et signé l'annexe I.A, l'entité adhérente devient Partie aux présentes clauses et a les droits et obligations d'un exportateur de données ou d'un importateur de données conformément à sa désignation à l'annexe I.A.

(c) L'entité adhérente n'a aucun droit ou obligation découlant des présentes clauses pour la période précédant son adhésion.

SECTION II - OBLIGATIONS DES PARTIES

Article 8
Garanties de protection des données

L'exportateur de données garantit qu'il a déployé des efforts raisonnables pour déterminer que l'importateur de données est en mesure, par la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire à ses obligations en vertu des présentes clauses.

8.1 Instructions
a) L'importateur de données traite les données à caractère personnel uniquement sur instructions documentées de l'exportateur de données. L'exportateur de données peut donner de telles instructions pendant toute la durée du contrat.

b) L'importateur de données informe immédiatement l'exportateur de données s'il n'est pas en mesure de suivre ces instructions.

8.2 Limitation de l'objet
L'importateur de données traite les données à caractère personnel uniquement aux fins spécifiques du transfert, telles que définies à l'annexe I.B, sauf instructions supplémentaires de l'exportateur de données.

8.3 Transparence
Sur demande, l'exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes clauses, y compris l'appendice tel que complété par les parties. Dans la mesure où cela est nécessaire pour protéger les secrets d'affaires ou d'autres informations confidentielles, y compris les mesures décrites à l'annexe II, ainsi que les données à caractère personnel, l'exportateur de données peut expurger une partie du texte de l'appendice des présentes clauses avant d'en partager une copie, mais il doit fournir un résumé significatif lorsque la personne concernée ne serait pas en mesure de comprendre le contenu ou d'exercer ses droits. Sur demande, les parties fournissent à la personne concernée les raisons des expurgations, dans la mesure du possible sans révéler les informations expurgées. La présente clause est sans préjudice des obligations de l'exportateur de données en vertu des articles 13 et 14 du règlement (UE) 2016/679.

8.4 Précision
Si l'importateur de données se rend compte que les données à caractère personnel qu'il a reçues sont inexactes ou périmées, il en informe l'exportateur de données dans les meilleurs délais. Dans ce cas, l'importateur de données coopère avec l'exportateur de données pour effacer ou rectifier les données.

8.5 Durée du traitement et effacement ou restitution des données
Le traitement par l'importateur de données n'a lieu que pour la durée spécifiée à l'annexe I.B. Après la fin de la prestation des services de traitement, l'importateur de données, au choix de l'exportateur de données, supprime toutes les données à caractère personnel traitées pour le compte de ce dernier et certifie à l'exportateur de données qu'il l'a fait, ou renvoie à l'exportateur de données toutes les données à caractère personnel traitées pour son compte et supprime les copies existantes. Jusqu'à ce que les données soient supprimées ou renvoyées, l'importateur de données doit continuer à assurer le respect des présentes clauses. En cas de lois locales applicables à l'importateur de données qui interdisent le retour ou la suppression des données à caractère personnel, l'importateur de données garantit qu'il continuera à assurer le respect des présentes clauses et ne les traitera que dans la mesure et pour la durée requises par cette loi locale. Ceci est sans préjudice de la clause 14, en particulier de l'obligation pour l'importateur de données, en vertu de la clause 14(e), d'informer l'exportateur de données pendant toute la durée du contrat s'il a des raisons de croire qu'il est ou est devenu soumis à des lois ou des pratiques non conformes aux exigences de la clause 14(a).

8.6 Sécurité du traitement
a) L'importateur de données et, lors de la transmission, également l'exportateur de données, mettent en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données, y compris la protection contre une violation de la sécurité entraînant accidentellement ou illégalement la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à ces données (ci-après "violation des données à caractère personnel"). Pour évaluer le niveau de sécurité approprié, les parties tiennent dûment compte de l'état de l'art, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement, ainsi que des risques que présente le traitement pour les personnes concernées. Les parties envisagent notamment de recourir au cryptage ou à la pseudonymisation, y compris pendant la transmission, lorsque la finalité du traitement peut être réalisée de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d'attribuer les données personnelles à une personne spécifique restent, dans la mesure du possible, sous le contrôle exclusif de l'exportateur de données. Pour se conformer aux obligations qui lui incombent en vertu du présent paragraphe, l'importateur de données met au moins en œuvre les mesures techniques et organisationnelles spécifiées à l'annexe II. L'importateur de données effectue des contrôles réguliers pour s'assurer que ces mesures continuent à fournir un niveau de sécurité approprié.

b) L'importateur de données n'accorde l'accès aux données à caractère personnel aux membres de son personnel que dans la mesure strictement nécessaire à l'exécution, à la gestion et au suivi du contrat. Il s'assure que les personnes autorisées à traiter les données à caractère personnel se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée.

c) En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l'importateur de données en vertu des présentes clauses, l'importateur de données prend les mesures appropriées pour remédier à la violation, y compris des mesures visant à atténuer ses effets négatifs. L'importateur de données notifie également l'exportateur de données sans délai indu après avoir pris connaissance de la violation. Cette notification contient les coordonnées d'un point de contact où des informations supplémentaires peuvent être obtenues, une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d'enregistrements de données à caractère personnel concernés), ses conséquences probables et les mesures prises ou proposées pour remédier à la violation, y compris, le cas échéant, les mesures visant à atténuer ses éventuels effets négatifs. Lorsque, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations alors disponibles et d'autres informations sont fournies par la suite, à mesure qu'elles deviennent disponibles, sans retard excessif.

d) L'importateur de données coopère avec l'exportateur de données et l'assiste pour lui permettre de se conformer aux obligations qui lui incombent en vertu du règlement (UE) 2016/679, en particulier pour notifier l'autorité de contrôle compétente et les personnes concernées affectées, en tenant compte de la nature du traitement et des informations dont dispose l'importateur de données.

8.7 Données sensibles
Lorsque le transfert concerne des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, des données génétiques ou des données biométriques permettant d'identifier une personne physique de manière unique, des données relatives à la santé, à la vie sexuelle ou à l'orientation sexuelle d'une personne, ou des données relatives aux condamnations pénales et aux infractions (ci-après dénommées "données sensibles"), l'importateur de données applique les restrictions spécifiques et/ou les garanties supplémentaires décrites à l'annexe I.B.

8.8 Transferts ultérieurs
L'importateur de données ne divulgue les données personnelles à un tiers que sur instructions documentées de l'exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l'Union européenne (4) (dans le même pays que l'importateur de données ou dans un autre pays tiers, ci-après " transfert ultérieur ") que si le tiers est ou accepte d'être lié par les présentes Clauses, dans le cadre du Module approprié, ou si :
(i) le transfert ultérieur est destiné à un pays bénéficiant d'une décision d'adéquation en vertu de l'article 45 du règlement (UE) 2016/679 qui couvre le transfert ultérieur ;

(ii) le tiers assure par ailleurs des garanties appropriées conformément aux articles 46 ou 47 du règlement (UE) 2016/679 en ce qui concerne le traitement en question ;

(iii) le transfert ultérieur est nécessaire pour la constatation, l'exercice ou la défense de droits dans le cadre de procédures administratives, réglementaires ou judiciaires spécifiques ; ou

(iv) le transfert ultérieur est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique.

Tout transfert ultérieur est soumis au respect par l'importateur de données de toutes les autres garanties prévues par les présentes clauses, en particulier la limitation de la finalité.

8.9 Documentation et conformité
(a) L'importateur de données doit traiter rapidement et de manière adéquate les demandes de renseignements de l'exportateur de données concernant le traitement en vertu des présentes clauses.

b) Les parties doivent être en mesure de démontrer le respect des présentes clauses. En particulier, l'importateur de données conserve une documentation appropriée sur les activités de traitement effectuées pour le compte de l'exportateur de données.

c) L'importateur de données met à la disposition de l'exportateur de données toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans les présentes clauses et, à la demande de l'exportateur de données, permet et contribue à des audits des activités de traitement couvertes par les présentes clauses, à intervalles raisonnables ou s'il existe des indications de non-conformité. En décidant d'un examen ou d'un audit, l'exportateur de données peut prendre en compte les certifications pertinentes détenues par l'importateur de données.

d) L'exportateur de données peut choisir de réaliser l'audit lui-même ou de mandater un auditeur indépendant. Les audits peuvent comprendre des inspections dans les locaux ou les installations physiques de l'importateur de données et sont, le cas échéant, effectués avec un préavis raisonnable.

(e) Les Parties mettent les informations visées aux paragraphes (b) et (c), y compris les résultats de tout audit, à la disposition de l'autorité de contrôle compétente, sur demande.

Article 9
Utilisation de sous-traitants secondaires

a) L'importateur de données dispose de l'autorisation générale de l'exportateur de données pour engager un ou plusieurs sous-traitants ultérieurs figurant sur une liste convenue. L'importateur de données informe spécifiquement l'exportateur de données par écrit de toute modification prévue de cette liste par l'ajout ou le remplacement de sous-traitants secondaires au moins [préciser le délai] à l'avance, ce qui donne à l'exportateur de données suffisamment de temps pour pouvoir s'opposer à ces modifications avant l'engagement du ou des sous-traitants secondaires. L'importateur de données fournit à l'exportateur de données les informations nécessaires pour lui permettre d'exercer son droit d'opposition.

b) Lorsque l'importateur de données engage un sous-traitant ultérieur pour effectuer des activités de traitement spécifiques (pour le compte de l'exportateur de données), il le fait par le biais d'un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l'importateur de données en vertu des présentes clauses, y compris en termes de droits des tiers bénéficiaires pour les personnes concernées. (8) Les parties conviennent qu'en se conformant à la présente clause, l'importateur de données remplit ses obligations en vertu de la clause 8.8. L'importateur de données veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles l'importateur de données est soumis en vertu des présentes clauses.

c) L'importateur de données fournit, à la demande de l'exportateur de données, une copie d'un tel accord de sous-traitance secondaire et de toute modification ultérieure à l'exportateur de données. Dans la mesure où cela est nécessaire pour protéger des secrets d'affaires ou d'autres informations confidentielles, y compris des données à caractère personnel, l'importateur de données peut expurger le texte de l'accord avant d'en partager une copie.

d) L'importateur de données reste pleinement responsable vis-à-vis de l'exportateur de données de l'exécution des obligations du sous-traitant ultérieur en vertu de son contrat avec l'importateur de données. L'importateur de données notifie à l'exportateur de données tout manquement du sous-traitant ultérieur à ses obligations au titre de ce contrat.

e) L'importateur de données convient avec le sous-traitant ultérieur d'une clause de tiers bénéficiaire en vertu de laquelle - dans le cas où l'importateur de données a disparu dans les faits, a cessé d'exister en droit ou est devenu insolvable - l'exportateur de données a le droit de résilier le contrat du sous-traitant ultérieur et de demander au sous-traitant ultérieur d'effacer ou de restituer les données à caractère personnel.

Article 10
Droits des personnes concernées

a) L'importateur de données notifie rapidement à l'exportateur de données toute demande qu'il a reçue d'une personne concernée. Il ne répond pas lui-même à cette demande, sauf s'il a été autorisé à le faire par l'exportateur de données.

b) L'importateur de données aide l'exportateur de données à remplir ses obligations de réponse aux demandes des personnes concernées pour l'exercice de leurs droits en vertu du règlement (UE) 2016/679. À cet égard, les parties définissent à l'annexe II les mesures techniques et organisationnelles appropriées, compte tenu de la nature du traitement, par lesquelles l'assistance est fournie, ainsi que la portée et l'étendue de l'assistance requise.

c) En remplissant les obligations qui lui incombent en vertu des paragraphes a) et b), l'importateur de données se conforme aux instructions de l'exportateur de données.

Article 11
Réparation

a) L'importateur de données informe les personnes concernées dans un format transparent et facilement accessible, par le biais d'une notification individuelle ou sur son site web, d'un point de contact autorisé à traiter les réclamations. Il traite rapidement toute plainte qu'il reçoit d'une personne concernée. L'importateur de données convient que les personnes concernées peuvent également déposer une plainte auprès d'un organe indépendant de règlement des litiges, sans frais pour la personne concernée. Il informe les personnes concernées, de la manière prévue au point a), de l'existence de ce mécanisme de recours et du fait qu'elles ne sont pas tenues de l'utiliser, ni de suivre une séquence particulière pour demander réparation.

(b) En cas de litige entre une personne concernée et l'une des Parties en ce qui concerne le respect des présentes Clauses, cette Partie fera ses meilleurs efforts pour résoudre le problème à l'amiable en temps utile. Les Parties se tiennent mutuellement informées de ces litiges et, le cas échéant, coopèrent à leur résolution.

c) Lorsque la personne concernée invoque un droit de tiers bénéficiaire conformément à la clause 3, l'importateur de données accepte la décision de la personne concernée de :
(i) déposer une plainte auprès de l'autorité de surveillance de l'État membre de sa résidence habituelle ou de son lieu de travail, ou auprès de l'autorité de surveillance compétente conformément à la clause 13 ;

(ii) soumettre le litige aux tribunaux compétents au sens de la clause 18.

d) Les parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions prévues à l'article 80, paragraphe 1, du règlement (UE) 2016/679.

(e) L'importateur de données doit se conformer à une décision contraignante en vertu du droit applicable de l'UE ou des États membres.

f) L'importateur de données convient que le choix effectué par la personne concernée ne portera pas atteinte à ses droits substantiels et procéduraux de demander réparation conformément aux lois applicables.

Article 12
Responsabilité civile

(a) Chaque partie est responsable envers l'autre partie des dommages qu'elle lui cause par toute violation des présentes clauses.

b) L'importateur de données est responsable envers la personne concernée, et la personne concernée a le droit d'être indemnisée, pour tout dommage matériel ou immatériel que l'importateur de données ou son sous-traitant ultérieur cause à la personne concernée en violant les droits du tiers bénéficiaire en vertu des présentes clauses.

(c) Nonobstant le paragraphe (b), l'exportateur de données est responsable envers la personne concernée, et la personne concernée est en droit de recevoir une indemnisation, pour tout dommage matériel ou immatériel que l'exportateur de données ou l'importateur de données (ou son sous-traitant ultérieur) cause à la personne concernée en violant les droits du tiers bénéficiaire en vertu des présentes clauses. Ceci est sans préjudice de la responsabilité de l'exportateur de données et, lorsque l'exportateur de données est un sous-traitant agissant pour le compte d'un responsable du traitement, de la responsabilité du responsable du traitement en vertu du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas.

d) Les parties conviennent que si l'exportateur de données est tenu responsable, en vertu du paragraphe c), des dommages causés par l'importateur de données (ou son sous-traitant ultérieur), il a le droit de réclamer à l'importateur de données la partie de l'indemnisation correspondant à la responsabilité de l'importateur de données dans les dommages.

(e) Lorsque plus d'une partie est responsable de tout dommage causé à la personne concernée à la suite d'une violation des présentes clauses, toutes les parties responsables sont conjointement et solidairement responsables et la personne concernée a le droit d'intenter une action en justice contre l'une de ces parties.

(f) Les parties conviennent que si une partie est tenue pour responsable en vertu du paragraphe (e), elle est en droit de réclamer à l'autre ou aux autres parties la partie de l'indemnité correspondant à sa ou leur responsabilité dans le dommage.

g) L'importateur de données ne peut pas invoquer le comportement d'un sous-traitant ultérieur pour éviter sa propre responsabilité.

Article 13
Supervision

a) [Lorsque l'exportateur de données est établi dans un État membre de l'UE :] L'autorité de contrôle chargée de garantir le respect par l'exportateur de données du règlement (UE) 2016/679 en ce qui concerne le transfert de données, comme indiqué à l'annexe I.C, agit en tant qu'autorité de contrôle compétente.
[Lorsque l'exportateur de données n'est pas établi dans un État membre de l'UE, mais relève du champ d'application territorial du règlement (UE) 2016/679 conformément à son article 3, paragraphe 2, et a désigné un représentant au sens de l'article 27, paragraphe 1, du règlement (UE) 2016/679 :] L'autorité de contrôle de l'État membre dans lequel le représentant au sens de l'article 27, paragraphe 1, du règlement (UE) 2016/679 est établi, comme indiqué à l'annexe I.C, agit en tant qu'autorité de contrôle compétente.
[Lorsque l'exportateur de données n'est pas établi dans un État membre de l'UE, mais relève du champ d'application territorial du règlement (UE) 2016/679 conformément à son article 3, paragraphe 2, sans toutefois devoir désigner un représentant conformément à l'article 27, paragraphe 2, du règlement (UE) 2016/679 :] L'autorité de contrôle de l'un des États membres dans lesquels se trouvent les personnes concernées dont les données à caractère personnel sont transférées en vertu des présentes clauses en relation avec l'offre de biens ou de services qui leur est faite, ou dont le comportement est surveillé, comme indiqué à l'annexe I.C, agit en tant qu'autorité de contrôle compétente.

b) L'importateur de données accepte de se soumettre à la juridiction de l'autorité de contrôle compétente et de coopérer avec elle dans le cadre de toute procédure visant à assurer le respect des présentes clauses. En particulier, l'importateur de données accepte de répondre aux demandes de renseignements, de se soumettre à des audits et de se conformer aux mesures adoptées par l'autorité de contrôle, y compris les mesures correctives et compensatoires. Il fournit à l'autorité de contrôle une confirmation écrite que les mesures nécessaires ont été prises.

SECTION III - LOIS ET OBLIGATIONS LOCALES EN CAS D'ACCÈS PAR LES AUTORITÉS PUBLIQUES

Article 14
Lois et pratiques locales affectant le respect des Clauses

a) Les parties garantissent qu'elles n'ont aucune raison de croire que les lois et pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l'importateur de données, y compris les exigences de divulgation des données à caractère personnel ou les mesures autorisant l'accès par les autorités publiques, empêchent l'importateur de données de remplir ses obligations en vertu des présentes clauses. Il est entendu que les lois et pratiques qui respectent l'essence des droits et libertés fondamentaux et n'excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour sauvegarder l'un des objectifs énumérés à l'article 23, paragraphe 1, du règlement (UE) 2016/679, ne sont pas en contradiction avec les présentes Clauses.

(b) Les parties déclarent qu'en fournissant la garantie prévue au paragraphe (a), elles ont dûment tenu compte, en particulier, des éléments suivants :
(i) les circonstances spécifiques du transfert, y compris la longueur de la chaîne de traitement, le nombre d'acteurs impliqués et les canaux de transmission utilisés ; les transferts ultérieurs prévus ; le type de destinataire ; la finalité du traitement ; les catégories et le format des données à caractère personnel transférées ; le secteur économique dans lequel le transfert a lieu ; le lieu de stockage des données transférées ;

ii) les lois et pratiques du pays tiers de destination - y compris celles qui exigent la divulgation des données aux autorités publiques ou qui autorisent l'accès par ces autorités - pertinentes au vu des circonstances spécifiques du transfert, ainsi que les limitations et garanties applicables (12) ;

(iii) toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les garanties prévues par les présentes clauses, y compris les mesures appliquées pendant la transmission et au traitement des données à caractère personnel dans le pays de destination.

(c) L'importateur de données garantit que, dans le cadre de l'évaluation prévue au paragraphe (b), il a fait de son mieux pour fournir à l'exportateur de données les informations pertinentes et accepte de continuer à coopérer avec l'exportateur de données pour assurer le respect des présentes clauses.

(d) Les parties conviennent de documenter l'évaluation visée au paragraphe (b) et de la mettre à la disposition de l'autorité de surveillance compétente sur demande.

e) L'importateur de données accepte d'informer rapidement l'exportateur de données si, après avoir accepté les présentes clauses et pendant la durée du contrat, il a des raisons de croire qu'il est ou est devenu soumis à des lois ou à des pratiques non conformes aux exigences du paragraphe a), y compris à la suite d'un changement dans les lois du pays tiers ou d'une mesure (telle qu'une demande de divulgation) indiquant une application de ces lois dans la pratique qui n'est pas conforme aux exigences du paragraphe a). Pour le module 3 : L'exportateur de données transmet la notification au responsable du traitement].

f) À la suite d'une notification en vertu du paragraphe e), ou si l'exportateur de données a d'autres raisons de croire que l'importateur de données ne peut plus remplir ses obligations en vertu des présentes clauses, l'exportateur de données identifie rapidement les mesures appropriées (par exemple, les mesures techniques ou organisationnelles visant à garantir la sécurité et la confidentialité) à adopter par l'exportateur de données et/ou l'importateur de données pour remédier à la situation [pour le module trois :, le cas échéant en consultation avec le responsable du traitement]. L'exportateur de données suspend le transfert de données s'il considère qu'aucune garantie appropriée pour ce transfert ne peut être assurée, ou s'il reçoit des instructions en ce sens de [pour le Module trois : le responsable du traitement ou] l'autorité de contrôle compétente. Dans ce cas, l'exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement des données à caractère personnel en vertu des présentes clauses. Si le contrat implique plus de deux parties, l'exportateur de données ne peut exercer ce droit de résiliation qu'à l'égard de la partie concernée, sauf si les parties en ont convenu autrement. Lorsque le contrat est résilié en vertu de la présente clause, la clause 16, points d) et e), s'applique.

Article 15
Obligations de l'importateur de données en cas d'accès par les autorités publiques

15.1 Notification
a) L'importateur de données accepte d'informer rapidement (si nécessaire avec l'aide de l'exportateur de données) l'exportateur de données et, si possible, la personne concernée, s'il :
(i) reçoit une demande juridiquement contraignante d'une autorité publique, y compris les autorités judiciaires, en vertu des lois du pays de destination pour la divulgation de données à caractère personnel transférées conformément aux présentes clauses ; cette notification comprendra des informations sur les données à caractère personnel demandées, l'autorité requérante, la base juridique de la demande et la réponse fournie ; ou

(ii) prend connaissance de tout accès direct des autorités publiques aux données à caractère personnel transférées en vertu des présentes clauses conformément aux lois du pays de destination ; cette notification comprendra toutes les informations dont dispose l'importateur.

[Pour le module 3 : L'exportateur de données transmet la notification au responsable du traitement].

b) S'il est interdit à l'importateur de données d'informer l'exportateur de données et/ou la personne concernée en vertu des lois du pays de destination, l'importateur de données accepte de faire ses meilleurs efforts pour obtenir une dérogation à l'interdiction, en vue de communiquer autant d'informations que possible, dans les meilleurs délais. L'importateur de données accepte de documenter ses meilleurs efforts afin d'être en mesure de les démontrer sur demande de l'exportateur de données.

c) Lorsque les lois du pays de destination le permettent, l'importateur de données accepte de fournir à l'exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d'informations pertinentes que possible sur les demandes reçues (en particulier, le nombre de demandes, le type de données demandées, la ou les autorités requérantes, si les demandes ont été contestées et le résultat de ces contestations, etc. Pour le module 3 : L'exportateur de données transmet les informations au responsable du traitement].

d) L'importateur de données accepte de conserver les informations visées aux points a) à c) pendant la durée du contrat et de les mettre à la disposition de l'autorité de contrôle compétente sur demande.

(e) Les paragraphes (a) à (c) sont sans préjudice de l'obligation de l'importateur de données, conformément à la clause 14(e) et à la clause 16, d'informer rapidement l'exportateur de données lorsqu'il n'est pas en mesure de se conformer aux présentes clauses.

15.2 Examen de la légalité et de la minimisation des données
a) L'importateur de données accepte d'examiner la légalité de la demande de divulgation, en particulier si elle reste dans les limites des pouvoirs accordés à l'autorité publique requérante, et de contester la demande si, après une évaluation minutieuse, il conclut qu'il existe des motifs raisonnables de considérer que la demande est illégale au regard des lois du pays de destination, des obligations applicables en vertu du droit international et des principes de la courtoisie internationale. L'importateur de données doit, dans les mêmes conditions, exercer des voies de recours. Lorsqu'il conteste une demande, l'importateur de données demande des mesures provisoires en vue de suspendre les effets de la demande jusqu'à ce que l'autorité judiciaire compétente ait statué sur son bien-fondé. Il ne divulgue pas les données à caractère personnel demandées tant qu'il n'est pas tenu de le faire en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations de l'importateur de données en vertu de la clause 14, point e).

b) L'importateur de données accepte de documenter son évaluation juridique et toute contestation de la demande de divulgation et, dans la mesure où les lois du pays de destination le permettent, de mettre cette documentation à la disposition de l'exportateur de données. Il la met également à la disposition de l'autorité de contrôle compétente sur demande. Pour le module 3 : L'exportateur de données met l'évaluation à la disposition du responsable du traitement].

(c) L'importateur de données accepte de fournir la quantité minimale d'informations autorisée lorsqu'il répond à une demande de divulgation, sur la base d'une interprétation raisonnable de la demande.

SECTION IV - DISPOSITIONS FINALES

Article 16
Non-respect des Clauses et résiliation

a) L'importateur de données doit informer rapidement l'exportateur de données s'il n'est pas en mesure de se conformer aux présentes clauses, pour quelque raison que ce soit.

b) Si l'importateur de données ne respecte pas les présentes clauses ou n'est pas en mesure de les respecter, l'exportateur de données suspend le transfert de données à caractère personnel à l'importateur de données jusqu'à ce que la conformité soit à nouveau assurée ou que le contrat soit résilié. Cette disposition est sans préjudice de la clause 14, point f).

(c) L'exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement des données personnelles en vertu des présentes clauses, lorsque :
i) l'exportateur de données a suspendu le transfert de données à caractère personnel à l'importateur de données conformément au paragraphe b) et le respect des présentes clauses n'est pas rétabli dans un délai raisonnable et, en tout état de cause, dans le mois qui suit la suspension ;

(ii) l'importateur de données est en violation substantielle ou persistante des présentes clauses ; ou

(iii) l'importateur de données ne se conforme pas à une décision contraignante d'un tribunal ou d'une autorité de contrôle compétente concernant ses obligations en vertu des présentes clauses.

Dans ces cas, il informe l'autorité de contrôle compétente [pour le module trois : et le responsable du traitement] de ce non-respect. Lorsque le contrat implique plus de deux parties, l'exportateur de données ne peut exercer ce droit de résiliation qu'à l'égard de la partie concernée, sauf si les parties en ont convenu autrement.

d) [Pour les modules un, deux et trois : Les données à caractère personnel qui ont été transférées avant la résiliation du contrat conformément au paragraphe (c) sont, au choix de l'exportateur de données, immédiatement restituées à l'exportateur de données ou supprimées dans leur intégralité. Il en va de même pour toute copie de ces données]. [Pour le module 4 : Les données à caractère personnel collectées par l'exportateur de données dans l'UE qui ont été transférées avant la résiliation du contrat conformément au paragraphe (c) sont immédiatement supprimées dans leur intégralité, y compris toute copie de ces données]. L'importateur de données certifie la suppression des données à l'exportateur de données. Jusqu'à ce que les données soient supprimées ou renvoyées, l'importateur de données doit continuer à assurer le respect des présentes clauses. En cas de lois locales applicables à l'importateur de données qui interdisent la restitution ou la suppression des données personnelles transférées, l'importateur de données garantit qu'il continuera à assurer le respect des présentes clauses et ne traitera les données que dans la mesure et pour la durée requises par cette loi locale.

(e) Chaque partie peut révoquer son accord d'être liée par les présentes clauses lorsque (i) la Commission européenne adopte une décision conformément à l'article 45, paragraphe 3, du règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auquel les présentes clauses s'appliquent ; ou (ii) le règlement (UE) 2016/679 devient partie intégrante du cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Ceci est sans préjudice des autres obligations s'appliquant au traitement en question en vertu du Règlement (UE) 2016/679.

Article 17
Droit applicable

Les présentes Clauses sont régies par le droit de l'un des États membres de l'UE, à condition que ce droit permette le recours à des tiers bénéficiaires. Les parties conviennent que ce sera le droit de la Pologne.

Article 18
Choix du forum et de la juridiction

(a) Tout litige découlant des présentes clauses sera résolu par les tribunaux d'un État membre de l'UE.

(b) Les parties conviennent que ce seront les tribunaux de Pologne.

c) Une personne concernée peut également intenter une action en justice contre l'exportateur de données et/ou l'importateur de données devant les tribunaux de l'État membre dans lequel elle a sa résidence habituelle.

(d) Les parties acceptent de se soumettre à la juridiction de ces tribunaux.

APPENDICE
NOTE EXPLICATIVE :

Il doit être possible de distinguer clairement les informations applicables à chaque transfert ou catégorie de transferts et, à cet égard, de déterminer le ou les rôles respectifs des parties en tant qu'exportateur(s) de données et/ou importateur(s) de données. Cela ne nécessite pas nécessairement de remplir et de signer des annexes distinctes pour chaque transfert/catégorie de transferts et/ou relation contractuelle, lorsque cette transparence peut être obtenue au moyen d'une seule annexe. Toutefois, lorsque cela est nécessaire pour garantir une clarté suffisante, il convient d'utiliser des annexes distinctes.

ANNEXE I

A. LISTE DES PARTIES

  1. Exportateur(s) de données :

Nom : ...
Adresse : ...
Nom, fonction et coordonnées de la personne de contact : ...
Activités relatives aux données transférées en vertu des présentes clauses : traitement des données pour l'exécution du contrat-cadre.
Signature et date : ...
Rôle : contrôleur

  1. Importateur(s) de données :

Nom : Devskiller sp. z o.o.
Adresse : Al. Lindleya 16, 02-013 Varsovie
Nom, fonction et coordonnées de la personne de contact : ...
Activités relatives aux données transférées en vertu des présentes clauses : traitement des données pour l'exécution du contrat-cadre.
Signature et date : ...
Rôle : processeur

B. DESCRIPTION DU TRANSFERT
Catégories de personnes concernées dont les données personnelles sont transférées : Les personnes autorisées à représenter le contrôleur, les candidats aux tests.
Catégories de données personnelles transférées : prénom, nom, numéro d'identification fiscale, e-mail, adresse, numéro de téléphone, raison sociale, fonction occupée dans l'entreprise, numéro IP, image.
Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, telles que, par exemple, une stricte limitation de la finalité, des restrictions d'accès (y compris l'accès réservé au personnel ayant suivi une formation spécialisée), la tenue d'un registre d'accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires : sans objet.
La fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue) : continue

Nature du traitement :
Finalité(s) du transfert et du traitement ultérieur des données : exécution de l'accord principal.
La période pendant laquelle les données à caractère personnel seront conservées ou, si cela n'est pas possible, les critères utilisés pour déterminer cette période : durée de l'accord principal, délai de prescription des demandes d'indemnisation.
Pour les transferts à des (sous-)sous-traitants, préciser également l'objet, la nature et la durée du traitement : durée de l'accord principal, délai de prescription des réclamations.

C. AUTORITÉ DE SURVEILLANCE COMPÉTENTE
Identifier la ou les autorités de surveillance compétentes conformément à la clause 13 :
Le délégué polonais à la protection des données personnelles.

ANNEXE II
LES MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES

Mesures de pseudonymisation et de cryptage des données personnelles.
Mesures visant à garantir en permanence la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement.
Mesures visant à garantir la capacité de restaurer la disponibilité et l'accès aux données personnelles en temps utile en cas d'incident physique ou technique.
Processus permettant de tester, d'apprécier et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles afin de garantir la sécurité du traitement.
Mesures d'identification et d'autorisation des utilisateurs.
Mesures de protection des données pendant la transmission.
Mesures de protection des données pendant le stockage.
Mesures visant à assurer la sécurité physique des lieux où sont traitées les données à caractère personnel.
Mesures pour assurer l'enregistrement des événements.
Mesures visant à assurer la configuration du système, y compris la configuration par défaut.
Mesures pour la gouvernance et la gestion de l'informatique interne et de la sécurité informatique.
Mesures de certification/assurance des processus et des produits.
Mesures pour assurer la minimisation des données.
Mesures visant à garantir la qualité des données.
Mesures visant à garantir une conservation limitée des données.
Mesures visant à garantir la responsabilité.
Mesures visant à permettre la portabilité des données et à garantir leur effacement.

ANNEXE III
LISTE DES SOUS-TRAITANTS SECONDAIRES

Selon l'annexe n° 1 du DPA.

Certifications de sécurité et conformité. Nous veillons à ce que vos données soient sûres et sécurisées.

Logo DevSkiller Logo TalentBoost Logo TalentScore