Back to EUR-Lex homepage

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search
You are here

Document 32010D0087

Transfert de données à caractère personnel vers des pays tiers: clauses contractuelles types

Statut juridique du document Cette synthèse a été archivée et ne sera pas mise à jour, car le document correspondant n’est plus applicable ou ne reflète pas la situation actuelle.

Date de la dernière révision:
07/10/2020
Date de création initiale:
04/11/2020
Document(s) résumé(s):
Auteur:
Office des publications de l’Union européenne
Organisme(s) responsable(s):
Conseil de l’Union européenne
  • Archivé: true

    • Transfert de données à caractère personnel vers des pays tiers: clauses contractuelles types

     

    SYNTHÈSE DU DOCUMENT:

    Décision 2010/87/UE relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE

    QUEL EST L’OBJET DE CETTE DÉCISION?

    Elle établit des clauses contractuelles types pouvant être utilisées par les responsables du traitement des données* (exportateurs) dans l’Union européenne (UE) qui transfèrent des données à caractère personnel* à des sous-traitants* (importateurs) établis en dehors de l’UE ou de l’Espace économique européen (EEE), afin de fournir des garanties appropriées en matière de protection des données et de se conformer ainsi aux exigences de la législation de l’UE qui couvre ces questions [le règlement général sur la protection des données, ou règlement (UE) 2016/679; voir la synthèse].

    POINTS CLÉS

    Les clauses contractuelles types figurent en annexe de la décision. Elles couvrent uniquement la protection des données et peuvent ainsi être incluses par les parties dans un contrat plus large ou être complétées par d’autres clauses ou garanties, à condition que celles-ci ne les contredisent pas, directement ou indirectement. Les clauses contractuelles types se présentent comme suit :

    Clause 1: Définitions

    Cette clause définit les notions clés utilisées dans les clauses contractuelles types.

    Clause 2: Détails du transfert

    Les parties doivent énumérer, dans un appendice aux clauses contractuelles, les détails des transferts, notamment les activités pertinentes de l’importateur et de l’exportateur de données, les catégories de données à caractère personnel transférées et les traitements auxquels les données à caractère personnel seront soumises une fois transférées.

    Clause 3: Clause du tiers bénéficiaire

    Cette clause permet aux personnes concernées de faire valoir plusieurs des clauses à l’encontre de l’exportateur, de l’importateur ou du sous-traitant ultérieur en tant que tiers bénéficiaire. Elle prévoit en outre que les parties ne s’opposent pas à ce qu’une personne concernée soit représentée par une association ou un autre organisme, si le droit national le permet.

    Clause 4: Obligations de l’exportateur de données

    Cette clause définit les obligations contractuelles de l’exportateur de données, qui accepte et garantit:

    • de traiter les données à caractère personnel conformément au droit applicable à la protection des données;
    • de charger l’importateur de données de traiter les données pour le compte exclusif de l’exportateur de données et conformément au droit applicable à la protection des données et aux clauses;
    • de fournir des garanties suffisantes (et de les respecter) en ce qui concerne les mesures techniques et d’organisation liées à la sécurité visant à protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte, une altération, une divulgation ou un accès non autorisés, notamment lorsque le traitement suppose la transmission de données par réseau;
    • d’informer la personne concernée si des catégories particulières de données sont susceptibles d’être transmises à un pays tiers n’offrant pas un niveau de protection adéquat;
    • de transmettre à l’autorité de contrôle compétente toute notification reçue de l’importateur de données concernant l’incapacité de ce dernier à respecter les clauses, si l’exportateur décide de poursuivre le transfert;
    • de mettre à la disposition des personnes concernées, si elles le demandent, une copie des clauses et une description sommaire des mesures de sécurité;
    • en cas de sous-traitance ultérieure, que le sous-traitant ultérieur offre au moins le même niveau de protection des données à caractère personnel que l’importateur.

    Clause 5: Obligations de l’importateur de données

    Cette clause définit les obligations contractuelles de l’importateur de données, qui accepte et garantit:

    • de traiter les données à caractère personnel pour le compte exclusif de l’exportateur de données et conformément aux instructions de ce dernier et aux clauses;
    • qu’il n’a aucune raison de croire que la législation le concernant l’empêche de remplir les instructions fournies par l’exportateur de données et les obligations qui lui incombent conformément au contrat;
    • de notifier rapidement toute modification de cette législation susceptible d’avoir un effet négatif important sur les garanties et obligations prévues par les clauses, auquel cas l’exportateur de données a le droit de suspendre le transfert de données et/ou de résilier le contrat;
    • de mettre en œuvre certaines mesures techniques et d’organisation liées à la sécurité avant de traiter les données à caractère personnel transférées;
    • de communiquer sans retard à l’exportateur de données toute demande de divulgation des données à caractère personnel émanant d’une autorité de maintien de l’ordre, tout accès fortuit ou non autorisé, et toute demande reçue directement des personnes concernées sans répondre à cette demande, à moins qu’il n’ait été autorisé à le faire;
    • de traiter rapidement toutes les demandes de renseignements émanant de l’exportateur de données et de se ranger à l’avis de l’autorité de contrôle;
    • de soumettre, à la demande de l’exportateur de données, ses moyens de traitement de données à une vérification des activités de traitement couvertes par les clauses;
    • de mettre à la disposition des personnes concernées, si elles en font la demande, une copie des clauses et une description sommaire des mesures de sécurité;
    • de n’engager un sous-traitant ultérieur qu’avec le consentement écrit préalable de l’exportateur de données.

    Clause 6: Responsabilité

    Les clauses exigent que les parties conviennent que toute personne concernée qui a subi des dommages à la suite d’un manquement aux obligations est en droit de recevoir une compensation de l’exportateur de données pour les dommages subis.

    Clause 7: Médiation et juridiction

    Si la personne concernée invoque à son encontre le droit du tiers bénéficiaire et/ou demande réparation du préjudice subi, l’importateur de données doit accepter sa décision de soumettre le litige à la médiation d’une personne indépendante ou de tribunaux du pays de l’UE dans lequel l’exportateur de données est établi (avec le droit d’exercer des recours en vertu d’autres lois nationales ou internationales).

    Clause 8: Coopération avec les autorités de contrôle

    Cette clause régit la coopération avec l’autorité de contrôle compétente, en prévoyant que:

    • l’autorité de contrôle a le droit d’effectuer des vérifications chez l’importateur de données et tout sous-traitant ultérieur;
    • l’importateur de données accepte d’informer l’exportateur de données de toute législation empêchant que des vérifications soient menées chez l’importateur de données. Dans ce cas, l’exportateur de données est autorisé à suspendre le transfert de données ou à résilier le contrat.

    Clause 9: Droit applicable

    Les clauses doivent être régies par le droit national du pays de l’UE dans lequel l’exportateur de données est établi.

    Clause 10: Modification du contrat

    Les parties s’engagent à ne pas modifier les clauses ou à les contredire.

    Clause 11: Sous-traitance ultérieure

    Les dispositions relatives au traitement ultérieur doivent être régies par le droit du pays de l’UE dans lequel l’exportateur de données est établi.

    Clause 12: Obligation après la résiliation des services de traitement des données à caractère personnel

    Cette clause régit les obligations des parties après la fin du traitement des données. En particulier, les parties doivent convenir qu’au terme des services de traitement des données, l’importateur de données et le sous-traitant ultérieur doivent restituer (ou détruire, si demande en est faite) toutes les données à caractère personnel transférées, sauf si la législation les en empêche.

    DEPUIS QUAND CETTE DÉCISION S’APPLIQUE-T-ELLE?

    Elle s’applique depuis le 15 mai 2010.

    CONTEXTE

    TERMES CLÉS

    Responsable du traitement des données: la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui détermine les finalités et les moyens du traitement des données à caractère personnel.
    Données à caractère personnel: toute information se rapportant à une personne (personne concernée) qui peut être identifiée, directement ou indirectement, par un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou par des éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
    Sous-traitant: la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

    DOCUMENT PRINCIPAL

    Décision 2010/87/UE de la Commission du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil (JO L 39 du 12.2.2010, p. 5-18)

    Les modifications successives de la décision 2010/87/UE ont été intégrées au texte original. Cette version consolidée n’a qu’une valeur documentaire.

    DOCUMENTS LIÉS

    Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1-88)

    Voir la version consolidée.

    Décision 2004/915/CE de la Commission du 27 décembre 2004 modifiant la décision 2001/497/CE en ce qui concerne l’introduction d’un ensemble alternatif de clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers (JO L 385 du 29.12.2004, p. 74-84)

    Décision 2001/497/CE de la Commission du 15 juin 2001 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu de la directive 95/46/CE (JO L 181 du 4.7.2001, p. 19-31)

    Voir la version consolidée.

    Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281 du 23.11.1995, p. 31-50)

    Voir la version consolidée.

    dernière modification 07.10.2020

    Haut