ENTRE :
(1) LE CLIENT (le « Responsable de traitement des données ») ; et
(2) Alchemy Systems (le « Sous-traitant des données »),
(individuellement une « Partie », et collectivement les « Parties »).
ATTENDU QUE :
(A) Le Sous-traitant des données doit fournir des Services au Responsable de traitement des données en vertu du présent Contrat.
(B) Le présent Contrat est conclu afin d’assurer des garanties adéquates concernant la protection de la confidentialité et de la sécurité des Données à caractère personnel transmises du Responsable de traitement des données au Sous-traitant des données pour traitement, ou auxquelles le Sous-traitant des données peut accéder pour traitement sous l’autorité du Responsable de traitement des données, ou que le Sous-traitant des données reçoit par ailleurs pour traitement pour le compte du Responsable de traitement des données.
(C) Le présent Contrat définit en outre certains niveaux de service devant être appliqués à tous les Services liés aux Données à caractère personnel (tels que définis ci-dessous) fournis par le Sous-traitant des données au Responsable de traitement des données.
IL EST CONVENU QUE :
1. DÉFINITIONS
1.1 Dans le présent Contrat, les expressions suivantes auront la signification suivante, sauf si le contexte en exige autrement :
« Responsable de traitement des données »
désigne l’entité qui détermine les finalités et les moyens du Traitement des Données à caractère personnel ;
« Sous-traitant des données »
désigne l’entité qui Traite les Données à caractère personnel pour le compte du Responsable de traitement des données ;
« Personne concernée »
désigne une personne physique identifiée ou identifiable à laquelle les Données à caractère personnel se réfèrent ;
« Instruction »
désigne l’instruction écrite, soumise par le Responsable de traitement des données au Sous-traitant des données, et chargeant celui-ci d’effectuer une action spécifique concernant les Données à caractère personnel (y compris la dépersonnalisation, le blocage, l’effacement, la mise à disposition, etc.) ;
« Données à caractère personnel »
désigne toute information relative à une personne physique identifiée ou identifiable ; une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, en particulier par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs facteurs spécifiques à son identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale ;
« Violation des données à caractère personnel »
désigne une violation de sécurité, que ce soit de manière accidentelle ou illégale, entraînant la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé(e) à des Données à caractère personnel transmises, conservées ou traitées autrement ;
« Traiter »/« Traitement »
désigne toute opération ou ensemble d’opérations qui est effectué(e) sur les Données à caractère personnel, que ce soit par des moyens automatiques ou non, tels que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la divulgation par transmission, diffusion ou autre mise à disposition, le rapprochement ou l’interconnexion, le blocage, l’effacement ou la destruction ;
« Annexe »
désigne l’annexe jointe et faisant partie du présent Contrat ;
« Services »
désigne le Traitement des Données à caractère personnel par le Sous-traitant des données en relation avec et aux fins de la fourniture des services devant être fournis par le Sous-traitant des données au Responsable de traitement des données relatifs au Contrat-cadre de services entre Alchemy Systems et le CLIENT daté du 10 janvier 2018, y compris tel que décrit en Annexe 1 au présent Contrat ;
« Clauses contractuelles types »
désigne le contrat signé par et entre le Responsable de traitement des données et le Sous-traitant des données, joint aux présentes en Annexe 3 en vertu de la décision de la Commission européenne [C(2010)593] du 05 février 2010 concernant les Clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers qui ne garantissent pas un niveau adéquat de protection des données ;
« Sous-traitant ultérieur »
désigne tout sous-traitant engagé par le Sous-traitant des données (ou par tout autre Sous-traitant ultérieur du Sous-traitant des données) qui accepte de recevoir du Sous-traitant des données (ou de tout autre Sous-traitant ultérieur du Sous-traitant des données) des Données à caractère personnel exclusivement afin de Traiter lesdites Données à caractère personnel pour le compte du Responsable de traitement des données après leur transfert conformément à ses Instructions et aux conditions du contrat écrit de sous-traitance ;
« Durée »
désigne la Durée de l’EDT telle que définie dans l’Énoncé des travaux conformément au Contrat-cadre de services conclu entre Alchemy Systems et le CLIENT en date du 20 avril 2018.
2. PORTÉE ET APPLICATION DU PRÉSENT CONTRAT
2.1 La portée, la manière et la finalité ainsi que les catégories de Données à caractère personnel et les Personnes concernées sont énoncés dans l’Annexe 1 au présent Contrat.
2.2 Le présent Contrat s’appliquera, en relation avec les Services, à :
2.2.1 toutes les Données à caractère personnel envoyées par ou pour le compte du Responsable de traitement des données au Sous-traitant des données pour Traitement ;
2.2.2 toutes les Données à caractère personnel consultées par le Sous-traitant des données sur l’autorité du Responsable de traitement des données ; et
2.2.3 toutes les Données à caractère personnel reçues autrement par le Sous-traitant des données pour Traitement pour le compte du Responsable de traitement des données.
3. TRAITEMENT DES DONNÉES
Le Sous-traitant des données accepte de Traiter les Données à caractère personnel auxquelles le présent Contrat s’applique au titre de la clause 2, conformément aux conditions générales énoncées dans le présent Contrat et, en particulier, le Sous-traitant des données accepte :
3.1 de traiter les Données à caractère personnel uniquement pour le compte du Responsable de traitement des données et à tout moment conformément aux Instructions du Responsable de traitement des données, sur la base du présent Contrat, et à toutes les lois applicables en matière de protection des données, et uniquement pour les finalités (liées à la fourniture des Services par le Sous-traitant des données) et de la manière spécifiées par écrit le cas échéant par le Responsable de traitement des données et pour aucune autre finalité, sauf avec le consentement préalable écrit et exprès du Responsable de traitement des données. Les instructions fournies oralement doivent être rapidement confirmées par écrit. Si le Sous-traitant des données ne peut pas assurer ladite conformité pour quelque raison que ce soit, il convient d’informer promptement le Responsable de traitement des données de son incapacité à se conformer, auquel cas le Responsable de traitement des données a le droit de suspendre le transfert des Données et/ou de résilier le présent Contrat. Lorsque le Sous-traitant des données estime que la conformité avec toute instruction du Responsable de traitement des données entraînerait une violation de toute loi en matière de protection des données en vigueur, le Sous-traitant des données informera le Responsable de traitement des données par écrit dans un délai raisonnable ;
3.2 qu’il n’a aucune raison de croire que toute loi en vigueur l’empêche d‘exécuter les Instructions provenant du Responsable de traitement des données et de satisfaire à ses obligations en vertu du présent Contrat et, qu’en cas de modification de toute loi en vigueur susceptible d’avoir un effet préjudiciable important sur les obligations prévues en vertu du présent Contrat, il avertira rapidement le Responsable de traitement des données de la modification dès qu’il en aura connaissance, auquel cas le Responsable de traitement des données pourra suspendre le transfert des Données à caractère personnel et/ou résilier le présent Contrat ;
3.3 que, dans les limites de la responsabilité du Sous-traitant des données, ce dernier se chargera de structurer son organisation d’entreprise interne afin de garantir la conformité aux exigences spécifiques de la protection des Données à caractère personnel. Le Sous-traitant des données doit prendre des mesures techniques et organisationnelles pour protéger de manière adéquate les Données à caractère personnel du Responsable de traitement des données à l’encontre de toute utilisation abusive et de toute perte. Un aperçu des mesures techniques et organisationnelles a été joint en Annexe 2 (Description des mesures techniques et organisationnelles) au présent Contrat. Le Sous-traitant des données surveille régulièrement la conformité avec ces mesures ;
3.4 pour s’assurer que chacun de ses employés, agents et Sous-traitants ultérieurs soit informé de ses obligations en vertu du présent Contrat concernant la sécurité et la protection des Données à caractère personnel et qu’il exige qu’ils concluent des obligations contraignantes avec le Sous-traitant des données afin de maintenir les niveaux de sécurité et de protection prévus dans le présent Contrat ;
3.5 pour s’assurer que tout personnel chargé du Traitement des Données à caractère personnel du Responsable de traitement des Données se soit engagé à respecter la confidentialité ou soit soumis à une obligation légale de confidentialité appropriée. L’obligation de conserver le secret des données survivra à la résiliation de leur relation de travail respective ;
3.6 pour ne pas divulguer les Données à caractère personnel, que ce soit directement ou indirectement, à toute personne, entreprise ou société, ou autrement sans l’accord écrit préalable du Responsable de traitement des données, sauf à ses employés, agents et Sous-traitants ultérieurs qui sont impliqués dans le Traitement des Données à caractère personnel et sont soumis aux obligations contraignantes visées aux clauses 3.4 ou 3.5 ou sauf tel que toute loi ou réglementation peut l’exiger ;
3.7 qu’il avertira rapidement le Responsable de traitement des données de :
3.7.1 toute demande juridiquement contraignante de divulgation des Données à caractère personnel émise par une autorité chargée de l’application de la loi, sauf interdiction contraire, telle qu’une interdiction en vertu du droit pénal visant à préserver la confidentialité d’une enquête judiciaire ;
3.7.2 toute perturbation substantielle des Services ou interruptions graves des opérations, toute violation par le Sous-traitant des données ou ses employés des lois applicables en matière de protection des données ou du présent Contrat, ou toute irrégularité matérielle liée au Traitement des Données à caractère personnel appartenant au Responsable de traitement des données ;
3.7.3 toute Violation de données à caractère personnel dont il prend connaissance. Cette notification comprendra, en tenant compte de la nature du Traitement et des informations à la disposition du Sous-traitant des données, toute information pertinente pour aider le Responsable de traitement des données dans ses propres obligations de notification en vertu du droit applicable :
3.7.4 toute demande directement en provenance des Personnes concernées sans répondre à cette demande, sauf si le Responsable de traitement des données l’a autorisé autrement par écrit ;
3.8 si des Personnes concernées exercent l’un quelconque de leurs droits en vertu du droit applicable relativement aux Données à caractère personnel (y compris leurs droits d’accès, de rectification, d’effacement, de blocage, d’opposition, de limitation, de portabilité des données, et le droit de ne pas être soumis à une décision basée uniquement sur un Traitement automatisé, y compris le profilage), d’informer le Responsable de traitement des données dès que possible, et le Sous-traitant des données accepte en outre d’aider le Responsable de traitement des données à répondre à toutes les demandes des Personnes concernées qu’il pourrait recevoir provenant de toute Personne concernée relativement à toute Donnée à caractère personnel ;
3.9 en tenant compte de la nature du Traitement, d’aider le Responsable de traitement des données, par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à satisfaire à l’obligation du Responsable de traitement des données de répondre aux demandes d’exercice des droits des Personnes concernées établis par le droit en vigueur ;
3.10 de traiter rapidement et correctement toutes les demandes du Responsable de traitement des données concernant son Traitement des Données à caractère personnel, y compris en mettant à la disposition du Responsable de traitement des données toutes les informations nécessaires pour démontrer la conformité aux obligations établies dans le présent Contrat ou les informations nécessaires pour que le Responsable de traitement des données applique les lois applicables ;
3.11 que tous les services de Traitement effectués par un Sous-traitant ultérieur soient effectués conformément à la clause 6 ;
3.12 que le Sous-traitant des données ait nommé un délégué à la protection des données dans la mesure où cela est requis par le droit en vigueur. Le Sous-traitant des données fournira les coordonnées de la personne désignée ; et
3.13 d’aider le Responsable de traitement des données à assurer la conformité avec le droit en vigueur, y compris l’obligation de mener des analyses d’impact relatives à la protection des données et des consultations préalables auprès des autorités de contrôle, en tenant compte de la nature du Traitement et des informations à la disposition du Sous-traitant des données.
4. OBLIGATIONS DU RESPONSABLE DE TRAITEMENT DES DONNÉES
Dans le cadre du présent Contrat uniquement, le Responsable de traitement des données s’engage à veiller à ce que toute divulgation des Données à caractère personnel qu’il fait au Sous-traitant des données soit effectuée avec le consentement de la Personne concernée ou qu’elle soit autrement licite.
5. RÉSILIATION
5.1 Le présent Contrat prendra fin automatiquement à la date la plus tardive entre (a) la résiliation ou l’expiration des obligations du Sous-traitant des données en relation avec les Services et (b) le choix du Responsable de traitement des données de résilier le Contrat. À la résiliation du présent Contrat, le Sous-traitant des données doit immédiatement remettre au Responsable de traitement des données ou détruire, à l’entière discrétion du Responsable de traitement des données, toutes les Données à caractère personnel du Responsable de traitement des données en sa possession ou sous son contrôle. Sur demande du Responsable de traitement des données, le Sous-traitant des données confirmera le respect desdites obligations par écrit et supprimera toutes les copies existantes, sauf si le droit en vigueur exige la conservation des Données à caractère personnel.
5.2 Le Responsable de traitement des données sera en droit de résilier le présent Contrat immédiatement, sur avis écrit envoyé au Sous-traitant des données, si le Responsable de traitement des données reçoit un avis du Sous-traitant des données conformément aux clauses 3.1 ou 3.2 du présent Contrat.
6. NOMINATION DE SOUS-TRAITANTS ULTÉRIEURS
6.1 Le Sous-traitant des données ne peut autoriser un Sous-traitant ultérieur à Traiter des Données à caractère personnel qu’avec l’approbation écrite préalable du Responsable de traitement des données. S’il possède une autorisation écrite générale, le Sous-traitant des données informera le Responsable de traitement des données de tous les changements prévus concernant l’ajout ou le remplacement d’autres Sous-traitants ultérieurs, donnant ainsi au Responsable de traitement des données la possibilité de s’opposer auxdits changements.
6.2 Un tel Traitement par un Sous-traitant ultérieur sera effectué conformément à un contrat signé qui ne sera pas moins restrictif que le présent Contrat.
6.3 Aucun Traitement par un Sous-traitant ultérieur ne déchargera le Sous-traitant des données de sa responsabilité eu égard à ses obligations en vertu du présent Contrat, et le Sous-traitant des données sera entièrement responsable du travail et des activités de chacun de ses Sous-traitants ultérieurs.
7. CLAUSES CONTRACTUELLES TYPES
7.1 Dans le cadre de la fourniture des Services par le Sous-traitant des données au Responsable de traitement des données, il pourrait être nécessaire de transférer des Données à caractère personnel du Responsable de traitement des données au Sous-traitant des données situé aux États-Unis.
7.2 En ce qui concerne les transferts de données visés à la clause 7.1, les Clauses contractuelles types sont signées par le Responsable de traitement des données en tant qu’exportateur des données et par le Sous-traitant des données en tant qu’importateur des données tel qu’énoncé en Annexe 3.
7.3 Les Sous-traitants ultérieurs seront désignés conformément à la Clause 5(h) des Clauses contractuelles types comme spécifié plus en détails à la clause 6 du présent Contrat.
7.4 En cas de conflit entre le corps du présent Contrat, l’une quelconque de ses Annexes (sans y inclure les Clauses contractuelles types) et les Clauses contractuelles types en Annexe 3, la stipulation protégeant plus largement les droits et libertés des Personnes concernées prévaudra.
8. STIPULATIONS DIVERSES
8.1 Les avenants ou ajouts au présent Contrat doivent être conclus par écrit pour entrer en vigueur. Cela s’appliquera également aux avenants relatifs à la présente exigence d’un écrit. L’exigence de la forme écrite de la présente clause n’inclut pas les fax ou toute forme non éphémère de reproduction visible de mots (comme les courriels).
8.2 Si une stipulation du présent Contrat est ou devient nulle, cela n’affectera pas la validité des autres conditions. Dans un tel cas, les Parties seront tenues de coopérer à l’élaboration de conditions parvenant au résultat juridiquement valable le plus proche possible d’un point de vue commercial de la stipulation nulle. Les stipulations ci-dessus s’appliqueront en conséquence pour pallier à toute lacune du Contrat.
8.3 Toutes les obligations du Responsable de traitement des données découlant de dispositions légales ou conformément à une décision judiciaire ou réglementaire ne seront pas affectées par le présent Contrat.
8.4 Le présent Contrat sera régi par le même droit que celui régissant l’Énoncé des travaux, conformément au Contrat-cadre de services daté du 10 janvier 2018 conclu entre Alchemy Systems et le Client.
ANNEXE 1
DESCRIPTION DU TRAITEMENT
Objet
La fourniture par Alchemy Systems des Services tels que définis dans la Clause 1.1 du Contrat de traitement des données.
Durée du Traitement
Les données ne seront pas conservées plus longtemps que la durée nécessaire pour atteindre les finalités pour lesquelles elles ont été collectées, traitées ou utilisées, ou tel que les lois applicables aux délais de conservation des données l’établissent.
La Durée, assortie de la période allant de l’expiration de la Durée à l’effacement de toutes les Données à caractère personnel par Alchemy Systems conformément aux Conditions, en vertu de la Clause 5.1 du Contrat de traitement des données.
Étendue, type et finalité du Traitement
Alchemy Systems traitera les Données à caractère personnel aux fins de la fourniture des Services.
Personnes concernées
Le Sous-traitant des données peut traiter les Données à caractère personnel des clients de la filiale du Responsable de traitement des données, le CLIENT. Le Sous-traitant des données peut également traiter les Données à caractère personnel fournies par les utilisateurs finaux des Services, qui peuvent inclure les Données à caractère personnel des employés actuels, anciens employés et utilisateurs finaux.
Catégories de données
Données relatives aux personnes physiques fournies par Alchemy Systems via les Services, par le Client (ou sur son instruction) ou par les Utilisateurs finaux du Client.
• Coordonnées, telles que le prénom, le nom, le téléphone et l’adresse e-mail.
• Situation d’emploi, comme le service, le poste, le lieu de travail et le supérieur hiérarchique.
Annexe 2
Description des mesures techniques et organisationnelles
Alchemy mettra en œuvre et maintiendra les Mesures de sécurité afin de garantir un niveau de sécurité approprié à ce risque, y compris, le cas échéant, les mesures visées à l’Article 32(1) du RGPD. Pour évaluer le niveau de sécurité approprié, Alchemy prendra en particulier en compte les risques qui sont présentés du fait de la nature desdites activités de Traitement, et notamment ceux liés aux éventuelles Violations des données à caractère personnel.
Alchemy peut mettre à jour ou modifier lesdites Mesures de sécurité à tout moment, à condition que ces mises à jour et modifications n’entraînent pas la dégradation de la sécurité globale des Services.
Annexe 3
Clauses contractuelles types (Sous-traitants)
Aux fins de l’Article 26(2) de la Directive 95/46/CE pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers n’assurant pas un niveau de protection des données adéquat
Autres informations nécessaires pour identifier l’organisation : s.o.
(l’exportateur des données)
Et
Autres informations nécessaires pour identifier l’organisation : s.o.
(l’importateur des données)
individuellement, une « partie », collectivement « les parties »,
ONT CONVENU des Clauses contractuelles suivantes (les Clauses) afin de fournir des mesures de protection adéquates concernant la protection de la vie privée et des droits et libertés fondamentaux des personnes physiques pour le transfert des données à caractère personnel spécifiées en Annexe 1 par l’exportateur des données à l’importateur des données.
Clause 1
Définitions
Aux fins des Clauses :
(a) « données à caractère personnel », « catégories particulières de données », « traiter/traitement », « responsable de traitement », « sous-traitant », « personne concernée » et « autorité de contrôle » auront la même signification que dans la Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
(b) « l’exportateur des données » désigne le Responsable de traitement qui transfère les données à caractère personnel ;
(c) « l’importateur des données » désigne le sous-traitant qui accepte de recevoir des données à caractère personnel en provenance de l’exportateur des données en vue de leur traitement pour son compte après le transfert, conformément à ses instructions et aux conditions des Clauses et qui n’est pas assujetti au système d’un pays tiers assurant une protection adéquate au sens de l’Article 25(1) de la Directive 95/46/CE ;
(d) « le sous-traitant ultérieur » désigne tout sous-traitant engagé par l’importateur des données, ou par tout autre sous-traitant ultérieur de l’importateur des données, qui accepte de recevoir de l’importateur des données, ou de tout autre sous-traitant ultérieur, des données à caractère personnel en provenance de l’importateur des données, exclusivement aux fins des activités de traitement à effectuer pour le compte de l’exportateur des données après le transfert, conformément à ses instructions, aux conditions des Clauses et aux conditions du contrat de sous-traitance écrit ;
(e) « le droit en vigueur en matière de protection des données » désigne la législation protégeant les droits et libertés fondamentaux des personnes physiques et, notamment, leur droit à la confidentialité eu égard au traitement des données à caractère personnel applicable à un Responsable de traitement des données dans l’État membre dans lequel l’exportateur des données est établi ;
(f) « mesures techniques et organisationnelles liées à la sécurité » désigne les mesures visant à protéger les données à caractère personnel contre la destruction fortuite ou illégale, la perte fortuite, la modification, la divulgation ou l’accès non autorisé(e), notamment lorsque le traitement implique la transmission de données sur un réseau, et à l’encontre de toute autre forme illégale de traitement.
Clause 2
Détails du transfert
Les détails du transfert et, en particulier, les catégories particulières de données à caractère personnel, le cas échéant, sont précisés en Annexe 1 qui fait partie intégrante des Clauses.
Clause 3
Clause du tiers bénéficiaire
1. En tant que tiers bénéficiaire, la personne concernée peut faire valoir à l’encontre de l’exportateur des données la présente Clause, la Clause 4(b) à (i), la Clause 5(a) à (e), et (g) à (j), la Clause 6(1) et (2), la Clause 7, la Clause 8(2) et les Clauses 9 à 12.
2. La personne concernée peut faire valoir à l’encontre de l’importateur des données la présente Clause, la Clause 5(a) à (e) et (g), la Clause 6, la Clause 7, la Clause 8(2), et les Clauses 9 à 12, dans les cas où l’exportateur des données a disparu de fait ou a cessé d’exister juridiquement, à moins que toute entité lui ayant succédé n’ait repris la totalité des droits et obligations de l’exportateur des données, auquel cas la personne concernée peut les faire valoir à l’encontre de ladite entité.
3. La personne concernée peut faire valoir à l’encontre du sous-traitant ultérieur la présente Clause, la Clause 5(a) à (e) et (g), la Clause 6, la Clause 7, la Clause 8(2), et les Clauses 9 à 12, dans les cas où l’exportateur des données et l’importateur des données auraient tous deux disparu de fait, auraient cessé d’exister juridiquement ou seraient devenus insolvables, à moins que toute entité remplaçante n’ait repris la totalité des droits et obligations de l’exportateur des données par contrat ou par application de la loi, en conséquence de quoi elle reprend les droits et obligations de l’exportateur des données, auquel cas la personne concernée peut les faire valoir à l’encontre de ladite entité. Cette responsabilité civile du sous-traitant ultérieur vis-à-vis des tiers sera limitée à ses propres opérations de traitement en vertu des Clauses.
4. Les parties ne s’opposent pas à ce qu’une personne concernée soit représentée par une association ou un autre organisme si la personne concernée le souhaite expressément et si le droit national l’autorise.
Clause 4
Obligations de l’exportateur des données
L’exportateur des données accepte et garantit :
(a) que le traitement, y compris le transfert lui-même, des données à caractère personnel, a été, et continuera à être, effectué conformément aux dispositions pertinentes du droit applicable en matière de protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l’État membre où l’exportateur des données est établi) et n’enfreint pas les dispositions pertinentes de cet État ;
(b) qu’il a donné pour instruction et, pendant toute la durée des services de traitement des données à caractère personnel, donnera pour instruction à l’importateur des données de ne traiter les données à caractère personnel transférées que pour le compte de l’exportateur des données et conformément au droit applicable en matière de protection des données et aux Clauses ;
(c) que l’importateur des données fournira des garanties suffisantes concernant les mesures techniques et organisationnelles liées à la sécurité spécifiées en Annexe 2 du présent contrat ;
(d) qu’après analyse des exigences du droit applicable en matière de protection des données, les mesures de sécurité sont appropriées pour protéger les données à caractère personnel contre la destruction fortuite ou illégale ou la perte fortuite, la modification, la divulgation ou l’accès non autorisé(e), en particulier lorsque le traitement implique la transmission de données sur un réseau, et contre toute autre forme illégale de traitement, et que ces mesures garantissent un niveau de sécurité approprié aux risques présentés par le traitement et la nature des données à protéger au vu du niveau technologique et du coût de mise en œuvre ;
(e) qu’il garantira le respect des mesures de sécurité ;
(f) que, si le transfert implique des catégories particulières de données, la personne concernée a été informée ou sera informée avant, ou dès que possible après le transfert, que ses données pourraient être transmises à un tiers ne fournissant pas une protection adéquate au sens de la Directive 95/46/CE ;
(g) de transférer toute notification reçue de l’importateur des données ou de tout sous-traitant ultérieur conformément à la Clause 5(b) et la Clause 8(3) à l’autorité de contrôle de la protection des données, si l’exportateur des données décide de poursuivre le transfert ou de lever la suspension ;
(h) de mettre à la disposition des personnes concernées, sur demande, une copie des Clauses, à l’exception de l’Annexe 2, et une description sommaire des mesures de sécurité, ainsi qu’une copie de tout contrat de sous-traitance des services qui doit être rédigé conformément aux Clauses, à moins que les Clauses ou le contrat ne contiennent des informations commerciales, auquel cas il pourra retirer lesdites informations commerciales ;
(i) que, en cas de sous-traitance, l’activité de traitement est effectuée conformément à la Clause 11 par un sous-traitant ultérieur offrant au moins le même niveau de protection pour les données à caractère personnel et les droits de la personne concernée que l’importateur des données en vertu des Clauses ; et
(j) qu’il garantira le respect de la Clause 4(a) à (i).
Clause 5
Obligations de l’importateur des données
L’importateur des données accepte et garantit :
(a) de traiter les données à caractère personnel uniquement pour le compte de l’exportateur des données et conformément à ses instructions et aux Clauses ; s’il ne peut assurer ladite conformité pour quelque raison que ce soit, il accepte d’informer rapidement l’exportateur des données de son incapacité à se conformer, auquel cas l’exportateur des données aura le droit de suspendre le transfert des données et/ou de résilier le contrat ;
(b) qu’il n’a aucune raison de croire que la législation lui étant applicable l’empêche d‘exécuter les instructions reçues de l’exportateur des données et de satisfaire à ses obligations en vertu du contrat et qu’en cas de modification de cette législation susceptible d’avoir un effet préjudiciable important sur les garanties et obligations prévues par les Clauses, il avertira rapidement l’exportateur des données de la modification dès qu’il en aura connaissance, auquel cas l’exportateur des données aura le droit de suspendre le transfert des données et/ou de résilier le contrat ;
(c) qu’il a mis en œuvre les mesures techniques et organisationnelles liées à la sécurité spécifiées en Annexe 2 avant de traiter les données à caractère personnel transférées ;
(d) qu’il avertira rapidement l’exportateur des données à propos de :
(i) toute demande juridiquement contraignante de divulgation des données à caractère personnel émise par un organisme chargé de l’application de la loi, sauf interdiction contraire, telle qu’une interdiction en vertu du droit pénal visant à préserver la confidentialité d’une enquête judiciaire,
(ii) tout accès fortuit ou non autorisé, et
(iii) toute demande reçue directement en provenance des personnes concernées sans répondre à cette demande, sauf s’il en a été autrement autorisé par écrit à le faire ;
(e) à traiter rapidement et correctement toutes les demandes de l’exportateur des données relatives au traitement des données à caractère personnel soumises au transfert et à respecter les conseils de l’autorité de contrôle concernant le traitement des données transférées ;
(f) à la demande de l’exportateur des données, de soumettre ses installations de traitement de données à l’audit des activités de traitement couvertes par les Clauses qui sera effectué par l’exportateur des données ou un organisme d’inspection composé de membres indépendants possédant les qualifications professionnelles requises et liés par un devoir de confidentialité, sélectionné par l’exportateur des données, le cas échéant, en accord avec l’autorité de contrôle ;
(g) de mettre à la disposition de la personne concernée, sur demande, une copie des Clauses, ou de tout contrat existant pour la sous-traitance, à moins que les Clauses ou le contrat ne contiennent des informations commerciales, auquel cas il pourra retirer lesdites informations commerciales, à l’exception de l’Annexe 2, qui sera remplacée par une description sommaire des mesures de sécurité dans les cas où la personne concernée ne serait pas en mesure d’obtenir une copie auprès de l’exportateur des données ;
(h) que, en cas de sous-traitance, il a préalablement informé l’exportateur des données et obtenu son consentement écrit préalable ;
(i) que les services de traitement effectués par le sous-traitant ultérieur seront effectués conformément à la Clause 11 ;
(j) d’envoyer rapidement à l’exportateur des données une copie de tout contrat avec un sous-traitant ultérieur qu’il conclut en vertu des Clauses.
Clause 6
Responsabilité
1. Les parties conviennent que toute personne concernée, qui a subi des dommages à la suite d’une violation des obligations visées à la Clause 3 ou à la Clause 11 par une partie ou un sous-traitant ultérieur, a le droit de recevoir une indemnisation de la part de l’exportateur des données pour les dommages subis.
2. Si une personne concernée n’est pas en mesure d’intenter une action en indemnisation conformément au paragraphe 1 à l’encontre de l’exportateur des données, suite à une violation par l’importateur des données ou son sous-traitant ultérieur de l’une quelconque de leurs obligations visées à la Clause 3 ou à la Clause 11, parce que l’exportateur des données a disparu de fait, a cessé d’exister juridiquement ou est devenu insolvable, l’importateur des données convient que la personne concernée pourra engager une demande à son encontre comme s’il s’agissait de l’exportateur des données, à moins que toute entité remplaçante n’ait repris la totalité des droits et obligations de l’exportateur des données, par contrat ou par application de la loi, auquel cas la personne concernée pourra faire valoir ses droits à l’encontre de ladite entité.
L’importateur des données ne peut pas se fonder sur une violation par un sous-traitant ultérieur de ses obligations pour se décharger de ses propres responsabilités.
3. Si une personne concernée n’est pas en mesure d’intenter une action à l’encontre de l’exportateur des données ou de l’importateur des données visés aux paragraphes 1 et 2, suite à une violation par le sous-traitant ultérieur de l’une quelconque de ses obligations visées à Clause 3 ou à la Clause 11, parce que l’exportateur des données et l’importateur des données ont tous deux disparu de fait, ont cessé d’exister juridiquement ou sont devenus insolvables, le sous-traitant ultérieur convient que la personne concernée pourra engager une action à son encontre eu égard à ses propres activités de traitement en vertu des Clauses comme s’il s‘agissait de l’exportateur des données ou de l’importateur des données, à moins que toute entité remplaçante n’ait repris la totalité des droits et obligations de l’exportateur des données ou de l’importateur des données, par contrat ou par application de la loi, auquel cas la personne concernée pourra les faire valoir à l’encontre de ladite entité. Cette responsabilité du sous-traitant ultérieur sera limitée à ses propres opérations de traitement en vertu des Clauses.
Clause 7
Médiation et compétence
1. L’importateur des données convient que, si la personne concernée invoque à son encontre les droits de tiers bénéficiaire et/ou demande une indemnisation d’un préjudice en vertu des Clauses, l’importateur des données acceptera la décision de la personne concernée :
(a) de renvoyer le litige en médiation, devant une personne indépendante ou, le cas échéant, devant l’autorité de contrôle ;
(b) de renvoyer le litige devant les juridictions de l’État membre dans lequel l’exportateur des données est établi.
2. Les parties conviennent que le choix effectué par la personne concernée sera sans préjudice de ses droits sur le fond ou sur la forme d’exercer des recours conformément à d’autres dispositions du droit national ou international.
Clause 8
Coopération avec les autorités de contrôle
1. L’exportateur des données accepte de déposer une copie du présent contrat auprès de l’autorité de contrôle, si elle lui en fait la demande ou si ledit dépôt est requis en vertu du droit applicable en matière de protection des données.
2. Les parties conviennent que l’autorité de contrôle a le droit de mener un audit de l’importateur des données, et de tout sous-traitant ultérieur, qui a la même portée et est soumis aux mêmes conditions que celles qui s’appliqueraient à un audit de l’exportateur des données en vertu du droit applicable en matière de protection des données.
3. L’importateur des données informera rapidement l’exportateur des données de l’existence de la législation lui étant applicable ou applicable à tout sous-traitant ultérieur empêchant la conduite d’un audit de l’importateur des données, ou de tout sous-traitant ultérieur, conformément au paragraphe 2. Dans ce cas, l’exportateur des données aura le droit de prendre les mesures prévues à la Clause 5(b).
Clause 9
Droit applicable
Les Clauses seront régies par le droit de l’État membre dans lequel l’exportateur des données est établi.
Clause 10
Modification du contrat
Les parties s’engagent à ne pas modifier les Clauses. Cela n’empêche pas les parties d’ajouter des clauses sur des questions liées à l’activité commerciale dans la mesure du nécessaire, tant qu’elles ne contredisent pas la Clause.
Clause 11
Sous-traitance
1. L’importateur des données ne sous-traitera aucune de ses opérations de traitement effectuées pour le compte de l’exportateur des données en vertu des Clauses sans le consentement écrit préalable de l’exportateur des données. Lorsque l’importateur des données sous-traitera ses obligations en vertu des Clauses, avec le consentement de l’exportateur des données, il ne le fera qu’au moyen d’un contrat écrit avec le sous-traitant ultérieur qui impose les mêmes obligations au sous-traitant ultérieur que celles imposées à l’importateur des données en vertu des Clauses. Si le sous-traitant ultérieur manque à remplir ses obligations de protection des données en vertu dudit contrat écrit, l’importateur des données demeurera entièrement responsable envers l’exportateur des données de l’exécution des obligations du sous-traitant ultérieur en vertu dudit contrat.
2. Le contrat écrit préalable entre l’importateur des données et le sous-traitant ultérieur stipulera également une clause de tiers bénéficiaire telle qu’établie à la Clause 3, pour les cas où la personne concernée ne serait pas en mesure d’intenter l’action en indemnisation visée au paragraphe 1 de la Clause 6 à l’encontre de l’exportateur des données ou de l’importateur des données, parce qu’ils ont disparu de fait, ont cessé d’exister juridiquement ou sont devenus insolvables et qu’aucune entité remplaçante n’a repris la totalité des droits et obligations de l’exportateur des données ou de l’importateur des données par contrat ou par application de la loi. Cette responsabilité civile du sous-traitant ultérieur vis-à-vis des tiers sera limitée à ses propres opérations de traitement en vertu des Clauses.
3. Les stipulations relatives aux aspects de protection des données pour la sous-traitance du contrat visé au paragraphe 1 sont régies par le droit de l’État membre dans lequel l’exportateur des données est établi.
4. L’exportateur des données conservera une liste des contrats de sous-traitance conclus en vertu des Clauses et notifiés par l’importateur des données conformément à la Clause 5(j), qui sera mise à jour au moins une fois par an. La liste sera à la disposition de l’autorité de contrôle de la protection des données de l’exportateur des données.
Clause 12
Obligation après la résiliation des services de traitement des données à caractère personnel
1. Les parties conviennent qu’à la résiliation de la fourniture des services de traitement des données, l’importateur des données et le sous-traitant ultérieur, au choix de l’exportateur des données, renverront toutes les données à caractère personnel transférées et les copies de celles-ci à l’exportateur des données, ou détruiront toutes les données à caractère personnel et certifieront à l’exportateur des données qu’ils l’ont fait, sauf si la législation imposée à l’importateur des données l’empêche de renvoyer ou de détruire tout ou partie des données à caractère personnel transférées. Dans ce cas, l’importateur des données assure qu’il garantira la confidentialité des données à caractère personnel transférées et ne les traitera plus activement.
2. L’importateur des données et le sous-traitant ultérieur garantissent que, sur demande de l’exportateur des données et/ou de l’autorité de contrôle, ils soumettront leurs installations de traitement des données à un audit des mesures visées au paragraphe 1.
APPENDICE 1 AUX CLAUSES CONTRACTUELLES TYPES
Le présent Appendice fait partie des Clauses et doit être rempli et signé par les parties.
Les États membres peuvent compléter ou préciser, conformément à leurs procédures nationales, toute information supplémentaire nécessaire devant être incluse dans le présent Appendice.
Pour toutes les parties de l’Appendice 1, voir la description contenue en Annexe 1 du Contrat de traitement des données.
Exportateur des données
L’exportateur des données est (veuillez préciser brièvement vos activités concernant le transfert) :
Importateur des données
L’importateur des données est (veuillez préciser brièvement les activités concernant le transfert) :
Personnes concernées
Les données à caractère personnel transférées concernent les catégories suivantes de personnes concernées (veuillez préciser) :
Catégories de données
Les données à caractère personnel transférées concernent les catégories de données suivantes (veuillez préciser) :
Catégories particulières de données (le cas échéant)
Les données à caractère personnel transférées concernent les catégories particulières de données suivantes (veuillez préciser) :
Opérations de traitement
Les données à caractère personnel transférées seront soumises aux activités de traitement de base suivantes (veuillez préciser) :
APPENDICE 2 AUX CLAUSES CONTRACTUELLES TYPES
Le présent Appendice fait partie des Clauses et doit être rempli et signé par les parties.
Description des mesures techniques et organisationnelles liées à la sécurité mises en œuvre par l’importateur des données conformément aux Clauses 4(d) et 5(c) (ou document/texte de loi joint) :
Voir description contenue en Annexe 2 du Contrat de traitement des données.