ISSN 1977-0693
Journal officiel
de l’Union européenne
L 199
Édition de langue française
Législation
64e année
7 juin 2021
|
ISSN 1977-0693 |
||
|
Journal officiel de l’Union européenne |
L 199 |
|
|
|
||
|
Édition de langue française |
Législation |
64e année |
|
|
|
|
|
(1) Texte présentant de l’intérêt pour l’EEE. |
|
FR |
Les actes dont les titres sont imprimés en caractères maigres sont des actes de gestion courante pris dans le cadre de la politique agricole et ayant généralement une durée de validité limitée. Les actes dont les titres sont imprimés en caractères gras et précédés d'un astérisque sont tous les autres actes. |
II Actes non législatifs
RÈGLEMENTS
|
7.6.2021 |
FR |
Journal officiel de l’Union européenne |
L 199/1 |
RÈGLEMENT D’EXÉCUTION (UE) 2021/909 DE LA COMMISSION
du 31 mai 2021
relatif au classement de certaines marchandises dans la nomenclature combinée
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) no 952/2013 du Parlement européen et du Conseil du 9 octobre 2013 établissant le code des douanes de l’Union (1), et notamment son article 57, paragraphe 4, et son article 58, paragraphe 2,
considérant ce qui suit:
|
(1) |
Afin d’assurer l’application uniforme de la nomenclature combinée annexée au règlement (CEE) no 2658/87 (2), il y a lieu d’arrêter des dispositions concernant le classement des marchandises figurant à l’annexe du présent règlement. |
|
(2) |
Le règlement (CEE) no 2658/87 fixe les règles générales pour l’interprétation de la nomenclature combinée. Ces règles s’appliquent également à toute autre nomenclature qui reprend celle-ci, même en partie ou en y ajoutant éventuellement des subdivisions, et qui est établie par des dispositions spécifiques de l’Union européenne en vue de l’application de mesures tarifaires ou d’autre nature dans le cadre des échanges de marchandises. |
|
(3) |
En application desdites règles générales, il convient de classer les marchandises désignées dans la colonne 1 du tableau figurant à l’annexe du présent règlement sous le code NC correspondant mentionné dans la colonne 2, conformément aux motivations indiquées dans la colonne 3 dudit tableau. |
|
(4) |
Il est opportun que les renseignements tarifaires contraignants qui ont été délivrés pour les marchandises concernées par le présent règlement et qui ne sont pas conformes à ce dernier puissent continuer à être invoqués par leur titulaire pendant une certaine période, conformément aux dispositions de l’article 34, paragraphe 9, du règlement (UE) no 952/2013. Il convient de fixer cette période à trois mois. |
|
(5) |
Les mesures prévues au présent règlement sont conformes à l’avis du comité du code des douanes, |
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
Article premier
Les marchandises désignées dans la colonne 1 du tableau figurant à l’annexe sont classées dans la nomenclature combinée sous le code NC correspondant indiqué dans la colonne 2 dudit tableau.
Article 2
Les renseignements tarifaires contraignants qui ne sont pas conformes au présent règlement peuvent continuer à être invoqués, conformément aux dispositions de l’article 34, paragraphe 9, du règlement (UE) no 952/2013, pendant une période de trois mois à compter de la date d’entrée en vigueur du présent règlement.
Article 3
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 31 mai 2021.
Par la Commission,
au nom de la présidente,
Gerassimos THOMAS
Directeur général
Direction générale de la fiscalité et de l’union douanière
(1) JO L 269 du 10.10.2013, p. 1.
(2) Règlement (CEE) no 2658/87 du Conseil du 23 juillet 1987 relatif à la nomenclature tarifaire et statistique et au tarif douanier commun (JO L 256 du 7.9.1987, p. 1).
ANNEXE
|
Désignation des marchandises |
Classement (code NC) |
Motifs |
|
(1) |
(2) |
(3) |
|
Article flexible («frite de piscine») en matière plastique alvéolaire (mousse plastique), ayant la forme d’un tube creux d’une longueur d’environ 1 m et d’un diamètre d’environ 8 cm. L’article flotte sur l’eau et est présenté comme une aide à la flottaison, conforme à une norme européenne pour les aides à la flottabilité pour l’apprentissage de la natation (EN 13138-2: 2014). L’article absorbe également les chocs et est un isolant thermique. Voir les images (*1). |
3926 90 97 |
Le classement est déterminé par les règles générales 1 et 6 pour l’interprétation de la nomenclature combinée et par le libellé des codes NC 3926 , 3926 90 et 3926 90 97 . Le classement dans la position 9506 en tant qu’article et matériel pour la culture physique, la gymnastique, l’athlétisme, les autres sports ou les jeux de plein air est exclu car, en raison de sa forme simple et courante, l’article ne peut être identifié comme un article destiné à la culture physique ou sportive de la position 9506 , bien que, en raison de ses caractéristiques de flottabilité, l’article soit conforme à la norme relative aux aides à la flottabilité pour l’apprentissage de la natation. En outre, en raison de sa forme simple et de son matériau commun, l’article pourrait être utilisé à diverses fins (par exemple, comme des produits de protection absorbant les chocs en entourant des poteaux, des produits d’isolation thermique enveloppant des tuyaux ou des articles pour l’amusement des enfants). De même, le classement dans la position 9503 en tant qu’autre jouet est exclu, car l’article ne peut être clairement identifié comme un article destiné à l’amusement des enfants ou des adultes, compte tenu de sa conception. Par conséquent, l’article doit être classé en fonction du matériau qui le compose (plastique). Il convient donc de classer l’article sous le code NC 3926 90 97 en tant qu’autre ouvrage en matières plastiques. |
(*1) Les images ont une valeur purement indicative.
|
7.6.2021 |
FR |
Journal officiel de l’Union européenne |
L 199/4 |
RÈGLEMENT D’EXÉCUTION (UE) 2021/910 DE LA COMMISSION
du 31 mai 2021
relatif au classement de certaines marchandises dans la nomenclature combinée
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) no 952/2013 du Parlement européen et du Conseil du 9 octobre 2013 établissant le code des douanes de l’Union (1), et notamment son article 57, paragraphe 4, et son article 58, paragraphe 2,
considérant ce qui suit:
|
(1) |
Afin d’assurer l’application uniforme de la nomenclature combinée annexée au règlement (CEE) no 2658/87 (2), il y a lieu d’arrêter des dispositions concernant le classement des marchandises figurant à l’annexe du présent règlement. |
|
(2) |
Le règlement (CEE) no 2658/87 fixe les règles générales pour l’interprétation de la nomenclature combinée. Ces règles s’appliquent également à toute autre nomenclature qui reprend celle-ci, même en partie ou en y ajoutant éventuellement des subdivisions, et qui est établie par des dispositions spécifiques de l’Union européenne en vue de l’application de mesures tarifaires ou d’autre nature dans le cadre des échanges de marchandises. |
|
(3) |
En application desdites règles générales, il convient de classer les marchandises désignées dans la colonne 1 du tableau figurant à l’annexe du présent règlement sous le code NC correspondant mentionné dans la colonne 2, conformément aux motivations indiquées dans la colonne 3 dudit tableau. |
|
(4) |
Il est opportun que les renseignements tarifaires contraignants qui ont été délivrés pour les marchandises concernées par le présent règlement et qui ne sont pas conformes à ce dernier puissent continuer à être invoqués par leur titulaire pendant une certaine période, conformément aux dispositions de l’article 34, paragraphe 9, du règlement (UE) no 952/2013. Il convient de fixer cette période à trois mois. |
|
(5) |
Les mesures prévues au présent règlement sont conformes à l’avis du comité du code des douanes, |
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
Article premier
Les marchandises désignées dans la colonne 1 du tableau figurant à l’annexe sont classées dans la nomenclature combinée sous le code NC correspondant indiqué dans la colonne 2 dudit tableau.
Article 2
Les renseignements tarifaires contraignants qui ne sont pas conformes au présent règlement peuvent continuer à être invoqués, conformément aux dispositions de l’article 34, paragraphe 9, du règlement (UE) no 952/2013, pendant une période de trois mois à compter de la date d’entrée en vigueur du présent règlement.
Article 3
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 31 mai 2021.
Par la Commission,
au nom de la présidente,
Gerassimos THOMAS
Directeur général
Directin générale de la fiscalité et de l’union douanière
(1) JO L 269 du 10.10.2013, p. 1.
(2) Règlement (CEE) no 2658/87 du Conseil du 23 juillet 1987 relatif à la nomenclature tarifaire et statistique et au tarif douanier commun (JO L 256 du 7.9.1987, p. 1).
ANNEXE
|
Désignation des marchandises |
Classement (code NC) |
Motifs |
|
(1) |
(2) |
(3) |
|
Baguettes de cermet à section transversale ronde uniforme. Les articles de longueur et de diamètres variables peuvent être solides ou perforés et dotés de canaux de refroidissement, avec des extrémités émoussées. Certains articles peuvent également avoir été chanfreinés. Les articles sont en cermet, à savoir en carbures métalliques frittés à base de carbure de tungstène, avec du cobalt comme liant. Compte tenu de leur faible degré de transformation, de leur forme et de leur conformation simples, les articles peuvent être destinés à un large éventail d’utilisations, par exemple en tant qu’éléments de renforcement. En cas de transformation ultérieure, les articles peuvent être utilisés pour des outils et en tant qu’outils. |
8113 00 90 |
Le classement est déterminé par les règles générales 1 et 6 pour l’interprétation de la nomenclature combinée, par la note 4 de la section XV ainsi que par le libellé des codes NC 8113 00 et 8113 00 90 . Le classement sous le code NC 8209 00 80 en tant que baguettes et objets similaires pour outils, non montés, constitués par des cermets est exclu, étant donné que les articles ne peuvent être utilisés pour des outils et en tant qu’outils que s’ils subissent une transformation ultérieure, et qu’ils peuvent également être utilisés à d’autres fins. Les articles relèvent de la position 8113 , qui couvre les cermets, sous forme brute ou sous forme d’articles non spécifiés ailleurs dans la nomenclature combinée (voir également les notes explicatives du système harmonisé relatives à la position 8113 , sixième alinéa). Il convient donc de classer les articles sous le code NC 8113 00 90 en tant que cermets et autres ouvrages en cermets. |
|
7.6.2021 |
FR |
Journal officiel de l’Union européenne |
L 199/7 |
RÈGLEMENT D’EXÉCUTION (UE) 2021/911 DE LA COMMISSION
du 31 mai 2021
relatif au classement de certaines marchandises dans la nomenclature combinée
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) no 952/2013 du Parlement européen et du Conseil du 9 octobre 2013 établissant le code des douanes de l’Union (1), et notamment son article 57, paragraphe 4, et son article 58, paragraphe 2,
considérant ce qui suit:
|
(1) |
Afin d’assurer l’application uniforme de la nomenclature combinée annexée au règlement (CEE) no 2658/87 (2), il y a lieu d’arrêter des dispositions concernant le classement des marchandises figurant à l’annexe du présent règlement. |
|
(2) |
Le règlement (CEE) no 2658/87 fixe les règles générales pour l’interprétation de la nomenclature combinée. Ces règles s’appliquent également à toute autre nomenclature qui reprend celle-ci, même en partie ou en y ajoutant éventuellement des subdivisions, et qui est établie par des dispositions spécifiques de l’Union européenne en vue de l’application de mesures tarifaires ou d’autre nature dans le cadre des échanges de marchandises. |
|
(3) |
En application desdites règles générales, il convient de classer les marchandises désignées dans la colonne 1 du tableau figurant à l’annexe du présent règlement sous le code NC correspondant mentionné dans la colonne 2, conformément aux motivations indiquées dans la colonne 3 dudit tableau. |
|
(4) |
Il est opportun que les renseignements tarifaires contraignants qui ont été délivrés pour les marchandises concernées par le présent règlement et qui ne sont pas conformes à ce dernier puissent continuer à être invoqués par leur titulaire pendant une certaine période, conformément aux dispositions de l’article 34, paragraphe 9, du règlement (UE) no 952/2013. Il convient de fixer cette période à trois mois. |
|
(5) |
Les mesures prévues au présent règlement sont conformes à l’avis du comité du code des douanes, |
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
Article premier
Les marchandises désignées dans la colonne 1 du tableau figurant à l’annexe sont classées dans la nomenclature combinée sous le code NC correspondant indiqué dans la colonne 2 dudit tableau.
Article 2
Les renseignements tarifaires contraignants qui ne sont pas conformes au présent règlement peuvent continuer à être invoqués, conformément aux dispositions de l’article 34, paragraphe 9, du règlement (UE) no 952/2013, pendant une période de trois mois à compter de la date d’entrée en vigueur du présent règlement.
Article 3
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 31 mai 2021.
Par la Commission
au nom de la présidente,
Gerassimos THOMAS
Directeur général
Direction générale de la fiscalité et de l’union douanière
(1) JO L 269 du 10.10.2013, p. 1.
(2) Règlement (CEE) no 2658/87 du Conseil du 23 juillet 1987 relatif à la nomenclature tarifaire et statistique et au tarif douanier commun (JO L 256 du 7.9.1987, p. 1).
ANNEXE
|
Désignation des marchandises |
Classement (code NC) |
Motivations |
||||||||
|
(1) |
(2) |
(3) |
||||||||
|
Support à roulettes pour meubles composé des éléments suivants:
L’article comporte une poignée intégrée permettant de porter l’article, par exemple, à la main ou de le suspendre à un mur. L’article est destiné à être utilisé pour le transport de divers objets, notamment des meubles et tout autre objet lourd. (Voir l’illustration) (*1) |
4421 99 10 |
Le classement est déterminé par les dispositions des règles générales 1, 3 b) et 6 pour l’interprétation de la nomenclature combinée, par la note 3 du chapitre 44 et par le libellé des codes 4421 , 4421 99 et 4421 99 10 de la NC. Un classement sous le code NC 8716 80 00 en tant qu’autres véhicules non automobiles est exclu car les caractéristiques et propriétés objectives de l’article ne correspondent pas entièrement au libellé de la position 8716 et du code NC 8716 80 00 . Compte tenu de ses caractéristiques et propriétés objectives, et notamment la présence d’une poignée intégrée qui ne sert pas à pousser l’article à l’aide du pied ou de la main, et du fait qu’il est destiné au transport d’objets lourds tels que des meubles en poussant les objets, l’article n’est pas conçu pour être remorqué par d’autres véhicules, pour être poussé ou tiré à la main, pour être poussé à l’aide du pied ni pour être traîné par des animaux (voir également les notes explicatives du système harmonisé relatives à la position 8716 , second alinéa). L’article ne peut être considéré comme un véhicule étant donné qu’il ne présente pas certaines des caractéristiques et propriétés des véhicules dirigés à la main ou poussés à l’aide du pied de la position 8716 du fait qu’il ne s’agit pas d’un chariot de manutention, d’un diable, d’une brouette ou d’un buffet roulant ou qu’il n’est pas composé d’une partie spécifique de véhicule telle qu’un châssis. Par conséquent, il convient de classer l’article en fonction de sa matière constitutive. L’article est un produit composite constitué de différents matériaux (bois, matière plastique et métal). Le composant qui donne à l’article son caractère essentiel est le bois, puisque le panneau en bois constitue la partie principale du produit composite et est l’élément le plus important pour l’utilisation prévue de l’article. Il convient donc de classer l’article sous le code NC 4421 99 10 en tant qu’autre ouvrage en panneaux de fibres. |
(*1) Illustration fournie uniquement à titre informatif.
|
7.6.2021 |
FR |
Journal officiel de l’Union européenne |
L 199/10 |
RÈGLEMENT D’EXÉCUTION (UE) 2021/912 DE LA COMMISSION
du 4 juin 2021
autorisant des modifications des spécifications du nouvel aliment lacto-N-néotétraose (de source microbienne) et modifiant le règlement d’exécution (UE) 2017/2470
(Texte présentant de l’intérêt pour l’EEE)
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) 2015/2283 du Parlement européen et du Conseil du 25 novembre 2015 relatif aux nouveaux aliments, modifiant le règlement (UE) no 1169/2011 du Parlement européen et du Conseil et abrogeant le règlement (CE) no 258/97 du Parlement européen et du Conseil et le règlement (CE) no 1852/2001 de la Commission (1), et notamment son article 12,
considérant ce qui suit:
|
(1) |
Le règlement (UE) 2015/2283 dispose que seuls les nouveaux aliments autorisés et inscrits sur la liste de l’Union peuvent être mis sur le marché dans l’Union. |
|
(2) |
Le règlement d’exécution (UE) 2017/2470 de la Commission (2) établissant la liste de l’Union des nouveaux aliments autorisés a été adopté en application de l’article 8 du règlement (UE) 2015/2283. |
|
(3) |
En application de l’article 12 du règlement (UE) 2015/2283, la Commission doit présenter un projet d’acte d’exécution autorisant la mise sur le marché dans l’Union d’un nouvel aliment et mettant à jour la liste de l’Union. |
|
(4) |
La décision d’exécution (UE) 2016/375 de la Commission (3) a autorisé, conformément au règlement (CE) no 258/97 du Parlement européen et du Conseil (4), la mise sur le marché du lacto-N-néotétraose synthétisé chimiquement en tant que nouvel ingrédient alimentaire. |
|
(5) |
Le 1er septembre 2016, conformément à l’article 5 du règlement (CE) no 258/97, la société Glycom A/S a informé la Commission de son intention de mettre sur le marché du lacto-N-néotétraose de source microbienne produit avec la souche d’Escherichia coli K-12 en tant que nouvel ingrédient alimentaire. |
|
(6) |
Dans la notification à la Commission, Glycom A/S a également soumis, conformément à l’article 3, paragraphe 4, du règlement (CE) no 258/97, un rapport établi par l’autorité compétente irlandaise qui, sur la base des données scientifiques présentées par cette entreprise, avait conclu que le lacto-N-néotétraose produit avec la souche d’Escherichia coli K-12 est substantiellement équivalent au lacto-N-néotétraose de synthèse autorisé par la décision d’exécution (UE) 2016/375. Le lacto-N-néotétraose d’origine microbienne a donc été inscrit sur la liste de l’Union des nouveaux aliments. |
|
(7) |
Le 23 juin 2019, la société Chr. Hansen A/S (ci-après le «demandeur») a introduit auprès de la Commission, conformément à l’article 10, paragraphe 1, du règlement (UE) 2015/2283, une demande d’autorisation pour le lacto-N-néotétraose (de source microbienne) produit par l’action combinée des souches dérivées PS-LNnT-JBT et DS-LNnT-JBT de la souche d’Escherichia coli BL21(DE3) en tant que nouvel ingrédient alimentaire dans les mêmes conditions d’utilisation que celles actuellement autorisées pour le lacto-N-néotétraose synthétique et de source microbienne. Le demandeur a sollicité une mise à jour de la liste de l’Union, eu égard à la nouvelle source de ce nouvel aliment. |
|
(8) |
En outre, le demandeur a proposé de mettre à jour certaines spécifications du lacto-N-néotétraose (de source microbienne) produit à partir de cette nouvelle source, car elles se distinguent des spécifications concernant le lacto-N-néotétraose produit microbiologiquement avec la souche d’Escherichia coli K-12 autorisé en cela qu’elles prévoient une augmentation de la teneur en cendres de ≤ 0,4 % à ≤ 1,0 %, une présence plus importante de levures et de moisissures, passant du taux actuel de ≤ 10 unités formant colonie (UFC)/g de nouvel aliment pour chaque type de micro-organisme à ≤ 50 UFC/g pour l’association des deux, et l’absence de méthanol (actuellement ≤ 100 mg/kg) et d’isomère de lacto-N-néotétraose fructose (actuellement ≤ 1,0 %). |
|
(9) |
Le 17 janvier 2020, la Commission a demandé à l’Autorité européenne de sécurité des aliments (ci-après l’«Autorité») de réaliser une évaluation du lacto-N-néotétraose produit par l’action combinée des souches dérivées PS-LNnT-JBT et DS-LNnT-JBT de la souche d’Escherichia coli BL21(DE3), conformément aux exigences de l’article 11 du règlement (UE) 2015/2283. |
|
(10) |
Le 22 octobre 2020, l’Autorité a adopté son avis scientifique intitulé «Safety of lacto-N-neotetraose (LNnT) produced by derivative strains of E. coli BL21 as a novel food pursuant to Regulation (EU) 2015/2283» (5). |
|
(11) |
Dans son avis scientifique, l’Autorité a conclu que le lacto-N-néotétraose (LNnT) produit par l’action combinée des souches dérivées PS-LNnT-JBT et DS-LNnT-JBT de la souche d’Escherichia coli BL21(DE3) en tant que nouvel aliment au sens du règlement (UE) 2015/2283 est sûr dans les conditions d’utilisation actuellement autorisées. Cet avis scientifique fournit donc des motifs suffisants pour établir que le lacto-N-néotétraose (LNnT) produit par l’action combinée des souches dérivées PS-LNnT-JBT et DS-LNnT-JBT de la souche d’Escherichia coli BL21(DE3) répond aux conditions fixées par l’article 12, paragraphe 1, du règlement (UE) 2015/2283. |
|
(12) |
Il convient dès lors de modifier les spécifications du lacto-N-néotétraose produit microbiologiquement afin d’inscrire les souches dérivées PS-LNnT-JBT et DS-LNnT-JBT de la souche d’Escherichia coli BL21(DE3) comme source du nouvel aliment, en plus de la souche d’Escherichia coli K-12 autorisée, et de modifier les teneurs proposées en cendres, moisissures et levures. |
|
(13) |
Il y a donc lieu de modifier l’annexe du règlement (UE) 2017/2470 en conséquence. |
|
(14) |
Les mesures prévues dans le présent règlement sont conformes à l’avis du comité permanent des végétaux, des animaux, des denrées alimentaires et des aliments pour animaux, |
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
Article premier
L’inscription relative à la substance «lacto-N-néotétraose (de source microbienne)» dans la liste de l’Union des nouveaux aliments autorisés prévue à l’article 6 du règlement (UE) 2015/2283 est modifiée comme indiqué en annexe du présent règlement.
Article 2
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 4 juin 2021.
Par la Commission
La présidente
Ursula VON DER LEYEN
(1) JO L 327 du 11.12.2015, p. 1.
(2) Règlement d’exécution (UE) 2017/2470 de la Commission du 20 décembre 2017 établissant la liste de l’Union des nouveaux aliments conformément au règlement (UE) 2015/2283 du Parlement européen et du Conseil relatif aux nouveaux aliments (JO L 351 du 30.12.2017, p. 72).
(3) Décision d’exécution (UE) 2016/375 de la Commission du 11 mars 2016 autorisant la mise sur le marché du lacto-N-néotétraose en tant que nouvel ingrédient alimentaire en application du règlement (CE) no 258/97 du Parlement européen et du Conseil (JO L 70 du 16.3.2016, p. 22).
(4) Règlement (CE) no 258/97 du Parlement européen et du Conseil du 27 janvier 1997 relatif aux nouveaux aliments et aux nouveaux ingrédients alimentaires (JO L 43 du 14.2.1997, p. 1).
(5) The EFSA Journal, vol. 18, no 11, 2020, p. 6305.
ANNEXE
Dans le tableau 2 (Spécifications) de l’annexe du règlement d’exécution (UE) 2017/2470, l’inscription relative au «Lacto-N-néotétraose (de source microbienne)» est remplacée par le texte suivant:
|
«Lacto-N-néotétraose (de source microbienne) |
Définition: Dénomination chimique: β-D-galactopyranosyl-(1→4)-2-acétamido-2-désoxy-β-D-glucopyranosyl-(1→3)-β-D-galactopyranosyl-(1→4)-D-glucopyranose Formule chimique: C26H45NO21 No CAS: 13007-32-4 Masse moléculaire: 707,63 g/mol Source:
Description: Le lacto-N-néotétraose est une poudre de couleur blanche à blanc cassé qui est produite par un procédé microbiologique. Pureté: Dosage (sans eau): ≥ 80 % D-lactose: ≤ 10,0 % Lacto-N-triose II: ≤ 3,0 % para-lacto-N-néohexaose: ≤ 5,0 % Isomère de lacto-N-néotétraose fructose: ≤ 1,0 % Somme des saccharides (lacto-N-néotétraose, D-lactose, lacto-N-triose II, para-lacto-N-néohexaose et isomère de lacto-N-néotétraose fructose): ≥ 92 % (% de m/m de la matière sèche) pH (solution à 5 %, 20 °C): 4,0-7,0 Eau: ≤ 9,0 % Cendres sulfatées: ≤ 1,0 % Solvants résiduels (méthanol): ≤ 100 mg/kg Protéines résiduelles: ≤ 0,01 % Critères microbiologiques: Nombre total de bactéries mésophiles aérobies: ≤ 500 UFC/g Levures et moisissures: ≤ 50 UFC/g Endotoxines résiduelles: ≤ 10 UE/mg UFC: unités formant colonie; UE: unités d’endotoxines» |
DÉCISIONS
|
7.6.2021 |
FR |
Journal officiel de l’Union européenne |
L 199/13 |
DÉCISION D’EXÉCUTION (UE) 2021/913 DE LA COMMISSION
du 3 juin 2021
concernant les normes harmonisées relatives aux lave-vaisselle ménagers élaborées à l’appui du règlement (UE) 2019/2022 et du règlement délégué (UE) 2019/2017
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) no 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil (1), et notamment son article 10, paragraphe 6,
considérant ce qui suit:
|
(1) |
Conformément à l’article 9, paragraphe 2, de la directive 2009/125/CE (2), les États membres doivent considérer qu’un produit auquel s’appliquent des normes harmonisées dont les numéros de référence ont été publiés au Journal officiel de l’Union européenne est conforme à toutes les exigences pertinentes de la mesure d’exécution applicable à laquelle se rapportent ces normes. L’article 4 du règlement (UE) 2019/2022 de la Commission (3) et son annexe III établissent les exigences de mesure et de calcul pertinentes applicables aux lave-vaisselle ménagers. |
|
(2) |
Conformément à l’article 13 du règlement (UE) 2017/1369 du Parlement européen et du Conseil (4), après l’adoption d’un acte délégué en vertu de l’article 16 dudit règlement fixant des exigences spécifiques en matière d’étiquetage, la Commission doit publier au Journal officiel de l’Union européenne les références aux normes harmonisées qui satisfont aux exigences de mesure et de calcul pertinentes de l’acte délégué. Quand de telles normes harmonisées sont appliquées au cours de l’évaluation de la conformité d’un produit, le modèle doit bénéficier d’une présomption de conformité aux exigences de mesure et de calcul pertinentes de l’acte délégué. L’article 3 du règlement délégué (UE) 2019/2017 de la Commission (5) et son annexe IV établissent les exigences de mesure et de calcul applicables aux lave-vaisselle ménagers. |
|
(3) |
Par la décision d’exécution C(2020) 4329 (6), la Commission a demandé au Comité européen de normalisation (CEN), au Comité européen de normalisation électrotechnique (Cenelec) et à l’Institut européen de normalisation des télécommunications (ETSI) de réviser les normes harmonisées existantes relatives aux lave-vaisselle ménagers, aux lave-linge ménagers et aux lave-linge séchants ménagers à l’appui des règlements (UE) 2019/2022 et (UE) 2019/2023 et des règlements délégués (UE) 2019/2017 et (UE) 2019/2014. |
|
(4) |
Sur la base de la demande formulée dans la décision d’exécution C(2020) 4329, le Cenelec a élaboré la norme harmonisée EN 60436:2020 afin de tenir compte des progrès techniques et scientifiques. Le Cenelec a en outre adopté la modification EN 60436:2020/A11:2020 et le corrigendum EN 60436:2020/AC:2020-6 à cette norme. |
|
(5) |
La Commission, en collaboration avec le Cenelec, a évalué la pertinence de la norme harmonisée EN 60436:2020, telle que modifiée par la norme EN 60436:2020/A11:2020 et rectifiée par la norme EN 60436:2020/AC:2020-6, au regard de la demande formulée dans la décision d’exécution C(2020) 4329. |
|
(6) |
La norme harmonisée EN 60436:2020, telle que modifiée par la norme EN 60436:2020/A11:2020 et rectifiée par la norme EN 60436:2020/AC:2020-6, satisfait aux exigences qu’elle vise à couvrir et qui sont énoncées dans le règlement (UE) 2019/2022 et dans le règlement délégué (UE) 2019/2017. |
|
(7) |
Il est nécessaire de préciser quelles versions des normes mentionnées dans l’article 3 «Modification de l’Article 2 “Références normatives”» de la norme EN 60436:2020 doivent être appliquées aux fins de la présomption de conformité. |
|
(8) |
La colonne «Remarques/Notes*» du tableau ZZA.1 de la norme harmonisée EN 60436:2020 aux fins du règlement délégué (UE) 2019/2017 ainsi que la colonne «Remarques/Notes*» du tableau ZZB.1 de cette même norme aux fins du règlement (UE) 2019/2022 devraient être exclues de la publication en raison de leur incompatibilité avec les exigences définies dans le dispositif normatif principal de la norme, ainsi que de l’insécurité juridique qui résulte de l’interprétation de l’effet juridique de la présomption de conformité mentionnée dans la note de bas de page de ces colonnes. |
|
(9) |
Il y a donc lieu de publier la référence de la norme harmonisée EN 60436:2020, telle que modifiée par la norme EN 60436:2020/A11:2020 et rectifiée par la norme EN 60436:2020/AC:2020-6, au Journal officiel de l’Union européenne avec une restriction. |
|
(10) |
La norme harmonisée EN 60436:2020 remplace la norme harmonisée EN 50242:2016, publiée par la communication 2016/C 416/05 de la Commission (7). Il convient donc d’abroger la communication susmentionnée. |
|
(11) |
La conformité à une norme harmonisée confère une présomption de conformité aux exigences correspondantes énoncées dans la législation d’harmonisation de l’Union à partir de la date de publication de la référence de cette norme au Journal officiel de l’Union européenne. La présente décision devrait donc entrer en vigueur le jour de sa publication, |
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article premier
La référence de la norme harmonisée relative aux lave-vaisselle ménagers élaborée, en ce qui concerne l’étiquetage énergétique, à l’appui du règlement délégué (UE) 2019/2017 et figurant à l’annexe I de la présente décision est publiée au Journal officiel de l’Union européenne avec une restriction.
La référence de la norme harmonisée relative aux lave-vaisselle ménagers élaborée, en ce qui concerne l’écoconception, à l’appui du règlement (UE) 2019/2022 et figurant à l’annexe II de la présente décision est publiée au Journal officiel de l’Union européenne avec une restriction.
Article 2
La communication 2016/C 416/05 est abrogée.
Article 3
La présente décision entre en vigueur le jour de sa publication au Journal officiel de l’Union européenne.
Fait à Bruxelles, le 3 juin 2021.
Par la Commission
La présidente
Ursula VON DER LEYEN
(1) JO L 316 du 14.11.2012, p. 12.
(2) Directive 2009/125/CE du Parlement européen et du Conseil du 21 octobre 2009 établissant un cadre pour la fixation d’exigences en matière d’écoconception applicables aux produits liés à l’énergie (JO L 285 du 31.10.2009, p. 10).
(3) Règlement (UE) 2019/2022 de la Commission du 1er octobre 2019 définissant des exigences d’écoconception applicables aux lave-vaisselle ménagers conformément à la directive 2009/125/CE du Parlement européen et du Conseil modifiant le règlement (CE) no 1275/2008 de la Commission et abrogeant le règlement (UE) no 1016/2010 de la Commission (JO L 315 du 5.12.2019, p. 267).
(4) Règlement (UE) 2017/1369 du Parlement européen et du Conseil du 4 juillet 2017 établissant un cadre pour l’étiquetage énergétique et abrogeant la directive 2010/30/UE (JO L 198 du 28.7.2017, p. 1).
(5) Règlement délégué (UE) 2019/2017 de la Commission du 11 mars 2019 complétant le règlement (UE) 2017/1369 du Parlement européen et du Conseil en ce qui concerne l’étiquetage énergétique des lave-vaisselle ménagers et abrogeant le règlement délégué (UE) no 1059/2010 de la Commission (JO L 315 du 5.12.2019, p. 134).
(6) Décision d’exécution de la Commission C(2020) 4329 du 1er juillet 2020 portant sur une demande de normalisation adressée au Comité européen de normalisation, au Comité européen de normalisation électrotechnique et à l’Institut européen de normalisation des télécommunications en ce qui concerne les exigences en matière d’écoconception et d’étiquetage énergétique applicables aux lave-vaisselle ménagers, aux lave-linge ménagers et aux lave-linge séchants ménagers à l’appui des règlements (UE) 2019/2022 et (UE) 2019/2023 de la Commission et des règlements délégués (UE) 2019/2017 et (UE) 2019/2014 de la Commission.
(7) Communication de la Commission dans le cadre de la mise en œuvre du règlement (UE) no 1016/2010 de la Commission portant application de la directive 2009/125/CE du Parlement européen et du Conseil en ce qui concerne les exigences d’écoconception applicables aux lave-vaisselle ménagers et du règlement délégué (UE) no 1059/2010 de la Commission complétant la directive 2010/30/UE du Parlement européen et du Conseil en ce qui concerne l’indication, par voie d’étiquetage, de la consommation d’énergie des lave-vaisselle ménagers (Publication des titres et des références des normes harmonisées au titre de la législation d’harmonisation de l’Union) (JO C 416 du 11.11.2016, p. 14).
ANNEXE I
Référence de la norme harmonisée élaborée à l’appui du règlement délégué (UE) 2019/2017
|
EN 60436:2020 Lave-vaisselle électriques à usage domestique — Méthodes de mesure de l’aptitude à la fonction EN 60436:2020/A11:2020 EN 60436:2020/AC:2020-6 Restrictions:
|
ANNEXE II
Référence de la norme harmonisée élaborée à l’appui du règlement (UE) 2019/2022
|
EN 60436:2020 Lave-vaisselle électriques à usage domestique — Méthodes de mesure de l’aptitude à la fonction EN 60436:2020/A11:2020 EN 60436:2020/AC:2020-6 Restrictions:
|
|
7.6.2021 |
FR |
Journal officiel de l’Union européenne |
L 199/18 |
DÉCISION D’EXÉCUTION (UE) 2021/915 DE LA COMMISSION
du 4 juin 2021
relative aux clauses contractuelles types entre les responsables du traitement et les sous-traitants au titre de l’article 28, paragraphe 7, du règlement (UE) 2016/679 du Parlement européen et du Conseil et de l’article 29, paragraphe 7, du règlement (UE) 2018/1725 du Parlement européen et du Conseil
(Texte présentant de l’intérêt pour l’EEE)
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (RGPD) (1), et notamment son article 28, paragraphe 7,
vu le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (RPDUE) (2), et notamment son article 29, paragraphe 7,
considérant ce qui suit:
|
(1) |
Les notions de responsable du traitement et de sous-traitant jouent un rôle fondamental dans l’application du règlement (UE) 2016/679 et du règlement (UE) 2018/1725. Le «responsable du traitement» est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel. Aux fins du règlement (UE) 2018/1725, on entend par «responsable du traitement» l’institution ou l’organe de l’Union, la direction générale ou toute autre entité organisationnelle qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel. Lorsque les finalités et les moyens dudit traitement sont déterminés par un acte spécifique de l’Union, le responsable du traitement ou les critères spécifiques applicables pour le désigner peuvent être prévus par le droit de l’Union. Le «sous-traitant» est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. |
|
(2) |
Le même ensemble de clauses contractuelles types devrait s’appliquer à l’égard de la relation entre les responsables du traitement et les sous-traitants relevant du règlement (UE) 2016/679, de même que lorsqu’ils sont soumis au règlement (UE) 2018/1725. En effet, afin de disposer d’une approche cohérente en matière de protection et de libre circulation des données à caractère personnel au sein de l’Union, les règles en matière de protection des données prévues par le règlement (UE) 2016/679, applicables au secteur public dans les États membres, et les règles en matière de protection des données énoncées dans le règlement (UE) 2018/1725, applicables aux institutions, organes et organismes de l’Union, ont été alignées les unes sur les autres dans toute la mesure du possible. |
|
(3) |
Afin de garantir le respect des exigences des règlements (UE) 2016/679 et (UE) 2018/1725, lorsque qu’il confie des activités de traitement à un sous-traitant, le responsable du traitement ne devrait faire appel qu’à des sous-traitants présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre de mesures techniques et organisationnelles qui satisfont aux exigences du règlement (UE) 2016/679 et du règlement (UE) 2018/1725, y compris en matière de sécurité du traitement. |
|
(4) |
Le traitement effectué par un sous-traitant doit être régi par un contrat ou un autre acte juridique en vertu du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement et qui énonce les éléments énumérés à l’article 28, paragraphes 3 et 4, du règlement (UE) 2016/679 ou à l’article 29, paragraphes 3 et 4, du règlement (UE) 2018/1725. Ce contrat ou cet acte se présente sous forme écrite, y compris sous forme électronique. |
|
(5) |
Conformément à l’article 28, paragraphe 6, du règlement (UE) 2016/679 et à l’article 29, paragraphe 6, du règlement (UE) 2018/1725, le responsable du traitement et le sous-traitant peuvent choisir soit de négocier un contrat particulier contenant les éléments obligatoires prévus respectivement à l’article 28, paragraphes 3 et 4, du règlement (UE) 2016/679, ou à l’article 29, paragraphes 3 et 4, du règlement (UE) 2018/1725, soit de se fonder, en tout ou en partie, sur les clauses contractuelles types adoptées par la Commission conformément à l’article 28, paragraphe 7, du règlement (UE) 2016/679 et à l’article 29, paragraphe 7, du règlement (UE) 2018/1725. |
|
(6) |
Le responsable du traitement et le sous-traitant ne devraient pas être empêchés d’inclure les clauses contractuelles types de la présente décision dans un contrat plus large, ni d’y ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les clauses contractuelles types et qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées. Il est fait appel aux clauses contractuelles types sans préjudice de toute obligation contractuelle incombant au responsable du traitement et/ou au sous-traitant d’assurer le respect des privilèges et immunités applicables. |
|
(7) |
Les clauses contractuelles types devraient inclure des règles tant de fond que de procédure. En outre, conformément à l’article 28, paragraphe 3, du règlement (UE) 2016/679 et à l’article 29, paragraphe 3, du règlement (UE) 2018/1725, les clauses contractuelles types devraient également exiger du responsable du traitement et du sous-traitant qu’ils définissent l’objet et la durée du traitement, sa nature et sa finalité, le type de données à caractère personnel et les catégories de personnes concernées, ainsi que les obligations et les droits du responsable du traitement. |
|
(8) |
Conformément à l’article 28, paragraphe 3, du règlement (UE) 2016/679 et à l’article 29, paragraphe 3, du règlement (UE) 2018/1725, le sous-traitant doit informer immédiatement le responsable du traitement si, selon lui, une instruction du responsable du traitement constitue une violation du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données. |
|
(9) |
Si un sous-traitant a recours aux services d’un autre sous-traitant pour mener des activités de traitement spécifiques, les exigences spécifiques énoncées à l’article 28, paragraphes 2 et 4, du règlement (UE) 2016/679 ou à l’article 29, paragraphes 2 et 4, du règlement (UE) 2018/1725 doivent s’appliquer. Une autorisation écrite préalable, spécifique ou générale, est notamment requise. Indépendamment de la nature spécifique ou générale de cette autorisation préalable, le premier sous-traitant doit tenir à jour une liste des autres sous-traitants. |
|
(10) |
Afin de satisfaire aux exigences de l’article 46, paragraphe 1, du règlement (UE) 2016/679, la Commission a adopté des clauses contractuelles types conformément à l’article 46, paragraphe 2, point c), du règlement (UE) 2016/679. Ces clauses satisfont également aux exigences de l’article 28, paragraphes 3 et 4, du règlement (UE) 2016/679 pour les transferts de données effectués par des responsables du traitement relevant du règlement (UE) 2016/679 vers des sous-traitants ne relevant pas du champ d’application territorial dudit règlement ou par des sous-traitants relevant du règlement (UE) 2016/679 vers des sous-traitants ultérieurs ne relevant pas du champ d’application territorial dudit règlement. Ces clauses contractuelles types ne peuvent servir de clauses contractuelles types aux fins du chapitre V du règlement (UE) 2016/679. |
|
(11) |
Les tiers devraient pouvoir devenir parties aux clauses contractuelles types tout au long du cycle de vie du contrat. |
|
(12) |
Le fonctionnement des clauses contractuelles types devrait être évalué dans le cadre de l’évaluation périodique du règlement (UE) 2016/679, prévue à l’article 97 de celui-ci. |
|
(13) |
Le Contrôleur européen de la protection des données et le comité européen de la protection des données ont été consultés conformément à l’article 42, paragraphes 1 et 2, du règlement (UE) 2018/1725 et ont rendu un avis conjoint le 14 janvier 2021 (3), qui a été pris en considération lors de l’élaboration de la présente décision. |
|
(14) |
Les mesures prévues par la présente décision sont conformes à l’avis du comité institué en vertu de l’article 93 du règlement (UE) 2016/679 et de l’article 96, paragraphe 2, du règlement (UE) 2018/1725, |
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article premier
Les clauses contractuelles types figurant en annexe satisfont aux exigences applicables aux contrats conclus entre les responsables du traitement et les sous-traitants énoncées à l’article 28, paragraphes 3 et 4, du règlement (UE) 2016/679 et à l’article 29, paragraphes 3 et 4, du règlement (UE) 2018/1725.
Article 2
Les clauses contractuelles types figurant en annexe peuvent être utilisées dans les contrats conclus entre un responsable du traitement et un sous-traitant qui traite des données à caractère personnel pour le compte du responsable du traitement.
Article 3
La Commission évalue l’application pratique des clauses contractuelles types figurant en annexe sur la base de toutes les informations disponibles dans le cadre de l’évaluation périodique prévue à l’article 97 du règlement (UE) 2016/679.
Article 4
La présente décision entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Fait à Bruxelles, le 4 juin 2021.
Par la Commission
La présidente
Ursula VON DER LEYEN
(1) JO L 119 du 4.5.2016, p. 1.
(2) JO L 295 du 21.11.2018, p. 39.
(3) Avis conjoint 1/2021 du comité européen de la protection des données et du Contrôleur européen de la protection des données sur la décision d’exécution de la Commission européenne relative aux clauses contractuelles types entre les responsables du traitement et les sous-traitants au titre de l’article 28, paragraphe 7, du règlement (UE) 2016/679 du Parlement européen et du Conseil et de l’article 29, paragraphe 7, du règlement (UE) 2018/1725 du Parlement européen et du Conseil.
ANNEXE
Clauses contractuelles types
SECTION I
Clause 1
Objet et champ d’application
|
a) |
Les présentes clauses contractuelles types (ci-après les «clauses») ont pour objet de garantir la conformité avec [choisir l’option qui convient: OPTION 1: l’article 28, paragraphes 3 et 4, du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données]/[OPTION 2: l’article 29, paragraphes 3 et 4, du règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE]. |
|
b) |
Les responsables du traitement et les sous-traitants énumérés à l’annexe I ont accepté ces clauses afin de garantir le respect des dispositions de l’article 28, paragraphes 3 et 4, du règlement (UE) 2016/679 et/ou des dispositions de l’article 29, paragraphes 3 et 4, du règlement (UE) 2018/1725. |
|
c) |
Les présentes clauses s’appliquent au traitement des données à caractère personnel tel que décrit à l’annexe II. |
|
d) |
Les annexes I à IV font partie intégrante des clauses. |
|
e) |
Les présentes clauses sont sans préjudice des obligations auxquelles le responsable du traitement est soumis en vertu du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725. |
|
f) |
Les clauses ne suffisent pas à elles seules pour assurer le respect des obligations relatives aux transferts internationaux conformément au chapitre V du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725. |
Clause 2
Invariabilité des clauses
|
a) |
Les parties s’engagent à ne pas modifier les clauses, sauf en ce qui concerne l’ajout d’informations aux annexes ou la mise à jour des informations qui y figurent. |
|
b) |
Les parties ne sont pour autant pas empêchées d’inclure les clauses contractuelles types définies dans les présentes clauses dans un contrat plus large, ni d’ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les clauses ou qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées. |
Clause 3
Interprétation
|
a) |
Lorsque des termes définis respectivement dans le règlement (UE) 2016/679 ou dans le règlement (UE) 2018/1725 figurent dans les clauses, ils s’entendent comme dans le règlement en question. |
|
b) |
Les présentes clauses doivent être lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679 et du règlement (UE) 2018/1725 respectivement. |
|
c) |
Les présentes clauses ne doivent pas être interprétées d’une manière contraire aux droits et obligations prévus par le règlement (UE) 2016/679 / le règlement (UE) 2018/1725 ou d’une manière qui porte atteinte aux libertés ou droits fondamentaux des personnes concernées. |
Clause 4
Hiérarchie
En cas de contradiction entre les présentes clauses et les dispositions des accords connexes qui existent entre les parties au moment où les présentes clauses sont convenues ou qui sont conclus ultérieurement, les présentes clauses prévaudront.
Clause 5 — Facultative
Clause d’amarrage
|
a) |
Toute entité qui n’est pas partie aux présentes clauses peut, avec l’accord de toutes les parties, y adhérer à tout moment, en qualité soit de responsable du traitement soit de sous-traitant, en complétant les annexes et en signant l’annexe I. |
|
b) |
Une fois que les annexes mentionnées au point a) sont complétées et signées, l’entité adhérente est considérée comme une partie aux présentes clauses et jouit des droits et est soumise aux obligations d’un responsable du traitement ou d’un sous-traitant, conformément à sa désignation à l’annexe I. |
|
c) |
Les présentes clauses ne créent pour la partie adhérente aucun droit ni aucune obligation pour la période précédant l’adhésion. |
SECTION II
OBLIGATIONS DES PARTIES
Clause 6
Description du ou des traitements
Les détails des opérations de traitement, et notamment les catégories de données à caractère personnel et les finalités du traitement pour lesquelles les données à caractère personnel sont traitées pour le compte du responsable du traitement, sont précisés à l’annexe II.
Clause 7
Obligations des parties
7.1. Instructions
|
a) |
Le sous-traitant ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis. Dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si la loi le lui interdit pour des motifs importants d’intérêt public. Des instructions peuvent également être données ultérieurement par le responsable du traitement pendant toute la durée du traitement des données à caractère personnel. Ces instructions doivent toujours être documentées. |
|
b) |
Le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction donnée par le responsable du traitement constitue une violation du règlement (UE) 2016/679 / du règlement (UE) 2018/1725 ou d'autres dispositions du droit de l'Union ou du droit des États membres relatives à la protection des données. |
7.2. Limitation de la finalité
Le sous-traitant traite les données à caractère personnel uniquement pour la ou les finalités spécifiques du traitement, telles que définies à l’annexe II, sauf instruction complémentaire du responsable du traitement.
7.3. Durée du traitement des données à caractère personnel
Le traitement par le sous-traitant n’a lieu que pendant la durée précisée à l’annexe II.
7.4. Sécurité du traitement
|
a) |
Le sous-traitant met au moins en œuvre les mesures techniques et organisationnelles précisées à l’annexe III pour assurer la sécurité des données à caractère personnel. Figure parmi ces mesures la protection des données contre toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel ou l'accès non autorisé à de telles données (violation de données à caractère personnel). Lors de l’évaluation du niveau de sécurité approprié, les parties tiennent dûment compte de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les personnes concernées. |
|
b) |
Le sous-traitant n’accorde aux membres de son personnel l’accès aux données à caractère personnel faisant l’objet du traitement que dans la mesure strictement nécessaire à l’exécution, à la gestion et au suivi du contrat. Le sous-traitant veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité. |
7.5. Données sensibles
Si le traitement porte sur des données à caractère personnel révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que des données génétiques ou des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique, ou des données relatives aux condamnations pénales et aux infractions («données sensibles»), le sous-traitant applique des limitations spécifiques et/ou des garanties supplémentaires.
7.6. Documentation et conformité
|
a) |
Les parties doivent pouvoir démontrer la conformité avec les présentes clauses. |
|
b) |
Le sous-traitant traite de manière rapide et adéquate les demandes du responsable du traitement concernant le traitement des données conformément aux présentes clauses. |
|
c) |
Le sous-traitant met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans les présentes clauses et découlant directement du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725. À la demande du responsable du traitement, le sous-traitant permet également la réalisation d’audits des activités de traitement couvertes par les présentes clauses et y contribue, à intervalles raisonnables ou en présence d’indices de non-conformité. Lorsqu’il décide d’un examen ou d’un audit, le responsable du traitement peut tenir compte des certifications pertinentes en possession du sous-traitant. |
|
d) |
Le responsable du traitement peut décider de procéder lui-même à l’audit ou de mandater un auditeur indépendant. Les audits peuvent également comprendre des inspections dans les locaux ou les installations physiques du sous-traitant et sont, le cas échéant, effectués moyennant un préavis raisonnable. |
|
e) |
Les parties mettent à la disposition de l’autorité de contrôle compétente/des autorités de contrôle compétentes, dès que celles-ci en font la demande, les informations énoncées dans la présente clause, y compris les résultats de tout audit. |
7.7. Recours à des sous-traitants ultérieurs
|
a) |
OPTION 1: AUTORISATION SPÉCIFIQUE PRÉALABLE: le sous-traitant n’est pas autorisé à sous-traiter à un sous-traitant ultérieur les opérations de traitement qu’il effectue pour le compte du responsable du traitement en vertu des présentes clauses sans l’autorisation écrite spécifique préalable du responsable du traitement. Le sous-traitant soumet la demande d’autorisation spécifique au moins [PRÉCISER LA DURÉE] avant le recrutement du sous-traitant ultérieur en question, ainsi que les informations nécessaires pour permettre au responsable du traitement de prendre une décision au sujet de l’autorisation. La liste des sous-traitants ultérieurs autorisés par le responsable du traitement figure à l’annexe IV, que les parties tiennent à jour. OPTION 2: AUTORISATION ÉCRITE GÉNÉRALE: le sous-traitant dispose de l’autorisation générale du responsable du traitement pour ce qui est du recrutement de sous-traitants ultérieurs sur la base d’une liste convenue. Le sous-traitant informe spécifiquement par écrit le responsable du traitement de tout projet de modification de cette liste par l’ajout ou le remplacement de sous-traitants ultérieurs au moins [PRÉCISER LA DURÉE] à l’avance, donnant ainsi au responsable du traitement suffisamment de temps pour pouvoir s’opposer à ces changements avant le recrutement du ou des sous-traitants ultérieurs concernés. Le sous-traitant fournit au responsable du traitement les informations nécessaires pour lui permettre d’exercer son droit d’opposition. |
|
b) |
Lorsque le sous-traitant recrute un sous-traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte du responsable du traitement), il le fait au moyen d’un contrat qui impose au sous-traitant ultérieur, en substance, les mêmes obligations en matière de protection des données que celles imposées au sous-traitant en vertu des présentes clauses. Le sous-traitant veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu des présentes clauses et du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725. |
|
c) |
À la demande du responsable du traitement, le sous-traitant lui fournit une copie de ce contrat conclu avec le sous-traitant ultérieur et de toute modification qui y est apportée ultérieurement. Dans la mesure nécessaire à la protection des secrets d’affaires ou d’autres informations confidentielles, y compris les données à caractère personnel, le sous-traitant peut expurger le texte du contrat avant d’en diffuser une copie. |
|
d) |
Le sous-traitant demeure pleinement responsable, à l’égard du responsable du traitement, de l’exécution des obligations du sous-traitant ultérieur conformément au contrat conclu avec le sous-traitant ultérieur. Le sous-traitant informe le responsable du traitement de tout manquement du sous-traitant ultérieur à ses obligations contractuelles. |
|
e) |
Le sous-traitant convient avec le sous-traitant ultérieur d’une clause du tiers bénéficiaire selon laquelle — dans le cas où le sous-traitant a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable — le responsable du traitement a le droit de résilier le contrat conclu avec le sous-traitant ultérieur et de donner instruction au sous-traitant ultérieur d’effacer ou de renvoyer les données à caractère personnel. |
7.8. Transferts internationaux
|
a) |
Tout transfert de données vers un pays tiers ou une organisation internationale par le sous-traitant n’est effectué que sur la base d’instructions documentées du responsable du traitement ou afin de satisfaire à une exigence spécifique du droit de l’Union ou du droit de l’État membre à laquelle le sous-traitant est soumis et s’effectue conformément au chapitre V du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725. |
|
b) |
Le responsable du traitement convient que lorsque le sous-traitant recrute un sous-traitant ultérieur conformément à la clause 7.7 pour mener des activités de traitement spécifiques (pour le compte du responsable du traitement) et que ces activités de traitement impliquent un transfert de données à caractère personnel au sens du chapitre V du règlement (UE) 2016/679, le sous-traitant et le sous-traitant ultérieur peuvent garantir le respect du chapitre V du règlement (UE) 2016/679 en utilisant les clauses contractuelles types adoptées par la Commission sur la base de l’article 46, paragraphe 2, du règlement (UE) 2016/679, pour autant que les conditions d’utilisation de ces clauses contractuelles types soient remplies. |
Clause 8
Assistance au responsable du traitement
|
a) |
Le sous-traitant informe sans délai le responsable du traitement de toute demande qu’il a reçue de la part de la personne concernée. Il ne donne pas lui-même suite à cette demande, à moins que le responsable du traitement des données ne l’y ait autorisé. |
|
b) |
Le sous-traitant prête assistance au responsable du traitement pour ce qui est de remplir l’obligation qui lui incombe de répondre aux demandes des personnes concernées d’exercer leurs droits, en tenant compte de la nature du traitement. Dans l’exécution de ses obligations conformément aux points a) et b), le sous-traitant se conforme aux instructions du responsable du traitement. |
|
c) |
Outre l’obligation incombant au sous-traitant d’assister le responsable du traitement en vertu de la clause 8, point b), le sous-traitant aide en outre le responsable du traitement à garantir le respect des obligations suivantes, compte tenu de la nature du traitement et des informations dont dispose le sous-traitant:
|
|
d) |
Les parties définissent à l’annexe III les mesures techniques et organisationnelles appropriées par lesquelles le sous-traitant est tenu de prêter assistance au responsable du traitement dans l’application de la présente clause, ainsi que la portée et l’étendue de l’assistance requise. |
Clause 9
Notification de violations de données à caractère personnel
En cas de violation de données à caractère personnel, le sous-traitant coopère avec le responsable du traitement et lui prête assistance aux fins de la mise en conformité avec les obligations qui lui incombent en vertu des articles 33 et 34 du règlement (UE) 2016/679 ou des articles 34 et 35 du règlement (UE) 2018/1725, selon celui qui est applicable, en tenant compte de la nature du traitement et des informations dont dispose le sous-traitant.
9.1. Violation de données en rapport avec des données traitées par le responsable du traitement
En cas de violation de données à caractère personnel en rapport avec des données traitées par le responsable du traitement, le sous-traitant prête assistance au responsable du traitement:
|
a) |
aux fins de la notification de la violation de données à caractère personnel à l’autorité de contrôle compétente/aux autorités de contrôle compétentes, dans les meilleurs délais après que le responsable du traitement en a eu connaissance, le cas échéant (sauf si la violation de données à caractère personnel est peu susceptible d'engendrer un risque pour les droits et libertés des personnes physiques); |
|
b) |
aux fins de l’obtention des informations suivantes qui, conformément à [OPTION 1] l’article 33, paragraphe 3, du règlement (UE) 2016/679 / [OPTION 2] l’article 34, paragraphe 3, du règlement (UE) 2018/1725, doivent figurer dans la notification du responsable du traitement, et inclure, au moins:
|
Lorsque, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et, à mesure qu’elles deviennent disponibles, des informations supplémentaires sont communiquées par la suite dans les meilleurs délais;
|
c) |
aux fins de la satisfaction, conformément à [OPTION 1] l’article 34 du règlement (UE) 2016/679 / [OPTION 2] l’article 35 du règlement (UE) 2018/1725, de l’obligation de communiquer dans les meilleurs délais la violation de données à caractère personnel à la personne concernée, lorsque la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. |
9.2. Violation de données en rapport avec des données traitées par le sous-traitant
En cas de violation de données à caractère personnel en rapport avec des données traitées par le sous-traitant, celui-ci en informe le responsable du traitement dans les meilleurs délais après en avoir pris connaissance. Cette notification contient au moins:
|
a) |
une description de la nature de la violation constatée (y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et d'enregistrements de données à caractère personnel concernés); |
|
b) |
les coordonnées d’un point de contact auprès duquel des informations supplémentaires peuvent être obtenues au sujet de la violation de données à caractère personnel; |
|
c) |
ses conséquences probables et les mesures prises ou les mesures qu’il est proposé de prendre pour remédier à la violation, y compris pour en atténuer les éventuelles conséquences négatives. |
Lorsque, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et, à mesure qu’elles deviennent disponibles, des informations supplémentaires sont communiquées par la suite dans les meilleurs délais.
Les parties définissent à l’annexe III tous les autres éléments que le sous-traitant doit communiquer lorsqu’il prête assistance au responsable du traitement aux fins de la satisfaction des obligations incombant à ce dernier en vertu [OPTION 1] des articles 33 et 34 du règlement (UE) 2016/679/[OPTION 2] des articles 34 et 35 du règlement (UE) 2018/1725.
SECTION III
DISPOSITIONS FINALES
Clause 10
Non-respect des clauses et résiliation
|
a) |
Sans préjudice des dispositions du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725, en cas de manquement du sous-traitant aux obligations qui lui incombent en vertu des présentes clauses, le responsable du traitement peut donner instruction au sous-traitant de suspendre le traitement des données à caractère personnel jusqu’à ce que ce dernier se soit conformé aux présentes clauses ou jusqu’à ce que le contrat soit résilié. Le sous-traitant informe rapidement le responsable du traitement s’il n’est pas en mesure de se conformer aux présentes clauses, pour quelque raison que ce soit. |
|
b) |
Le responsable du traitement est en droit de résilier le contrat dans la mesure où il concerne le traitement de données à caractère personnel conformément aux présentes clauses si:
|
|
c) |
Le sous-traitant est en droit de résilier le contrat dans la mesure où il concerne le traitement de données à caractère personnel en vertu des présentes clauses lorsque, après avoir informé le responsable du traitement que ses instructions enfreignent les exigences juridiques applicables conformément à la clause 7.1, point b), le responsable du traitement insiste pour que ses instructions soient suivies. |
|
d) |
À la suite de la résiliation du contrat, le sous-traitant supprime, selon le choix du responsable du traitement, toutes les données à caractère personnel traitées pour le compte du responsable du traitement et certifie auprès de celui-ci qu’il a procédé à cette suppression, ou renvoie toutes les données à caractère personnel au responsable du traitement et détruit les copies existantes, à moins que le droit de l’Union ou le droit national n’impose de les conserver plus longtemps. Le sous-traitant continue de veiller à la conformité aux présentes clauses jusqu’à la suppression ou à la restitution des données. |
ANNEXE I
Liste des parties
Responsable(s) du traitement: [Identité et coordonnées du ou des responsables du traitement et, le cas échéant, du délégué à la protection des données du responsable du traitement]
|
1. |
Nom: … |
|
|
Adresse: … |
|
|
Nom, fonction et coordonnées de la personne de contact: … |
|
|
Signature et date d’adhésion: … |
|
2. |
|
…
Sous-traitant(s): [Identité et coordonnées du ou des sous-traitants et, le cas échéant, du délégué à la protection des données du sous-traitant]
|
1. |
Nom: … |
|
|
Adresse: … |
|
|
Nom, fonction et coordonnées de la personne de contact: … |
|
|
Signature et date d’adhésion: … |
|
2. |
|
…
ANNEXE II
Description du traitement
Catégories de personnes concernées dont les données à caractère personnel sont traitées
…
Catégories de données à caractère personnel traitées
…
Les données sensibles traitées (le cas échéant) et les limitations ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, tels que, par exemple, la limitation stricte de la finalité, les restrictions des accès (y compris l’accès réservé uniquement au personnel ayant suivi une formation spécialisée), la tenue d’un registre de l’accès aux données, les restrictions applicables aux transferts ultérieurs ou les mesures de sécurité supplémentaires.
…
Nature du traitement
…
Finalité(s) pour laquelle (lesquelles) les données à caractère personnel sont traitées pour le compte du responsable du traitement
…
Durée du traitement
…
…
Pour le traitement par les sous-traitants (ultérieurs), préciser également l’objet, la nature et la durée du traitement.
ANNEXE III
Mesures techniques et organisationnelles, y compris mesures techniques et organisationnelles visant à garantir la sécurité des données
NOTE EXPLICATIVE:
Les mesures techniques et organisationnelles doivent faire l’objet d’une description concrète, et non pas générique.
Description des mesures de sécurité techniques et organisationnelles mises en œuvre par le ou les sous-traitants (y compris toute certification pertinente) visant à garantir un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques. Exemples de mesures possibles:
|
|
mesures de pseudonymisation et de chiffrement des données à caractère personnel; |
|
|
mesures visant à garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement; |
|
|
mesures assurant de disposer de moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique; |
|
|
procédures visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement; |
|
|
mesures d’identification et d’autorisation de l’utilisateur; |
|
|
mesures de protection des données pendant la transmission; |
|
|
mesures de protection des données pendant le stockage; |
|
|
mesures visant à garantir la sécurité physique des sites où les données à caractère personnel sont traitées; |
|
|
mesures visant à garantir l’enregistrement des événements; |
|
|
mesures visant à assurer la configuration des systèmes, y compris la configuration par défaut; |
|
|
mesures de gouvernance et de gestion de l’informatique interne et de la sécurité informatique; |
|
|
mesures de certification/assurance des procédés et produits; |
|
|
mesures visant à garantir la minimisation des données; |
|
|
mesures visant à garantir la qualité des données; |
|
|
mesures visant à garantir une conservation limitée des données; |
|
|
mesures visant à garantir la responsabilité; |
|
|
mesures permettant la portabilité des données et garantissant l’effacement] |
Pour les transferts vers des sous-traitants (ultérieurs), décrire également les mesures techniques et organisationnelles spécifiques que doit prendre le sous-traitant (ultérieur) pour être en mesure de prêter assistance au responsable du traitement.
Description des mesures techniques et organisationnelles spécifiques que le sous-traitant doit prendre pour pouvoir prêter assistance au responsable du traitement.
ANNEXE IV
Liste de sous-traitants ultérieurs
NOTE EXPLICATIVE:
La présente annexe doit être complétée en cas d’autorisation spécifique de sous-traitants ultérieurs [clause 7.7, point a), option 1].
Le responsable du traitement a autorisé le recours aux sous-traitants ultérieurs suivants:
|
1. |
Nom: … |
|
|
Adresse: … |
|
|
Nom, fonction et coordonnées de la personne de contact: … |
|
|
Description du traitement (y compris une délimitation claire des responsabilités dans le cas où plusieurs sous-traitants ultérieurs sont autorisés): … |
|
2. |
… |
|
7.6.2021 |
FR |
Journal officiel de l’Union européenne |
L 199/31 |
DÉCISION D’EXÉCUTION (UE) 2021/914 DE LA COMMISSION
du 4 juin 2021
relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil
(Texte présentant de l’intérêt pour l’EEE)
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (1), et notamment son article 28, paragraphe 7, et son article 46, paragraphe 2, point c),
considérant ce qui suit:
|
(1) |
L’évolution des technologies facilite les flux transfrontières de données nécessaires au développement de la coopération internationale et des échanges internationaux. Dans le même temps, il est nécessaire de veiller à ce que le niveau de protection des personnes physiques garanti par le règlement (UE) 2016/679 ne soit pas compromis lorsque des données à caractère personnel sont transférées vers des pays tiers, notamment en cas de transferts ultérieurs (2). Les dispositions relatives aux transferts de données figurant au chapitre V du règlement (UE) 2016/679 visent à garantir la continuité de ce niveau élevé de protection en cas de transfert de données à caractère personnel vers un pays tiers (3). |
|
(2) |
Conformément à l’article 46, paragraphe 1, du règlement (UE) 2016/679, en l’absence de décision d’adéquation de la Commission en vertu de l’article 45, paragraphe 3, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives. Ces garanties peuvent être fournies par des clauses types de protection des données adoptées par la Commission conformément à l’article 46, paragraphe 2, point c). |
|
(3) |
Le rôle des clauses contractuelles types se limite à offrir des garanties appropriées en matière de protection des données pour les transferts internationaux de données. Par conséquent, le responsable du traitement ou le sous-traitant qui transfère les données à caractère personnel vers un pays tiers (l’«exportateur de données») et le responsable du traitement ou le sous-traitant qui les reçoit (l’«importateur de données») sont libres d’inclure ces clauses contractuelles types dans un contrat plus large et d’ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les clauses contractuelles types et qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées. Les responsables du traitement et les sous-traitants sont encouragés à fournir des garanties supplémentaires au moyen d’engagements contractuels qui viendraient compléter les clauses contractuelles types (4). Le recours aux clauses contractuelles types est sans préjudice de toute obligation contractuelle de l’exportateur et/ou de l’importateur de données de garantir le respect des privilèges et immunités applicables. |
|
(4) |
Outre le recours aux clauses contractuelles types pour fournir les garanties appropriées pour les transferts conformément à l’article 46, paragraphe 1, du règlement (UE) 2016/679, l’exportateur de données doit s’acquitter de ses responsabilités générales en tant que responsable du traitement ou sous-traitant en vertu du règlement (UE) 2016/679. Ces responsabilités comportent l’obligation, pour le responsable du traitement, de fournir aux personnes concernées des informations sur le fait qu’il a l’intention d’effectuer un transfert de leurs données à caractère personnel vers un pays tiers conformément à l’article 13, paragraphe 1, point f), et à l’article 14, paragraphe 1, point f), du règlement (UE) 2016/679. Dans le cas des transferts effectués conformément à l’article 46 du règlement (UE) 2016/679, ces informations doivent comporter une référence aux garanties appropriées et indiquer les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition. |
|
(5) |
Les décisions 2001/497/CE (5) et 2010/87/UE (6) de la Commission contiennent des clauses contractuelles types visant à faciliter le transfert de données à caractère personnel d’un responsable du traitement établi dans l’Union à un responsable du traitement ou à un sous-traitant établi dans un pays tiers qui n’offre pas un niveau de protection adéquat. Ces décisions étaient fondées sur la directive 95/46/CE du Parlement européen et du Conseil (7). |
|
(6) |
Conformément à l’article 46, paragraphe 5, du règlement (UE) 2016/679, les décisions 2001/497/CE et 2010/87/UE restent en vigueur jusqu’à leur modification, leur remplacement ou leur abrogation, si nécessaire, par une décision de la Commission adoptée conformément à l’article 46, paragraphe 2, dudit règlement. Les clauses contractuelles types figurant dans ces décisions demandaient à être actualisées pour tenir compte des nouvelles exigences du règlement (UE) 2016/679. En outre, depuis l’adoption de ces décisions, l’économie numérique a beaucoup évolué, avec le recours généralisé à de nouvelles opérations de traitement plus complexes, qui impliquent souvent de multiples importateurs et exportateurs de données, des chaînes de traitement longues et complexes et des relations commerciales en évolution constante. Il y a donc lieu de moderniser les clauses contractuelles types afin de mieux refléter ces réalités en les étendant à des situations de traitement et de transfert supplémentaires, et de permettre une approche plus souple, par exemple en ce qui concerne le nombre de parties pouvant adhérer au contrat. |
|
(7) |
Un responsable du traitement ou un sous-traitant peut utiliser les clauses contractuelles types figurant à l’annexe de la présente décision afin de fournir des garanties appropriées au sens de l’article 46, paragraphe 1, du règlement (UE) 2016/679 pour le transfert de données à caractère personnel à un sous-traitant ou à un responsable du traitement établi dans un pays tiers, sans préjudice de l’interprétation de la notion de transfert international dans le règlement (UE) 2016/679. Les clauses contractuelles types ne peuvent être utilisées pour ce type de transferts que dans la mesure où le traitement effectué par l’importateur de données ne relève pas du champ d’application du règlement (UE) 2016/679. Cela inclut également le transfert de données à caractère personnel par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, dans la mesure où le traitement est soumis au règlement (UE) 2016/679 (en vertu de son article 3, paragraphe 2), parce qu’il est lié à l’offre de biens ou de services à des personnes concernées dans l’Union ou au suivi du comportement de ces personnes dans la mesure où il s’agit de leur comportement au sein de l’Union. |
|
(8) |
Le règlement (UE) 2016/679 et le règlement (UE) 2018/1725 du Parlement européen et du Conseil (8) étant, de manière générale, alignés, il devrait également être possible d’utiliser les clauses contractuelles types dans le cadre d’un contrat visé à l’article 29, paragraphe 4, du règlement (UE) 2018/1725 pour le transfert de données à caractère personnel à un sous-traitant ultérieur dans un pays tiers par un sous-traitant qui n’est pas une institution ou un organe de l’Union, mais qui est soumis au règlement (UE) 2016/679 et qui traite des données à caractère personnel pour le compte d’une institution ou d’un organe de l’Union conformément à l’article 29 du règlement (UE) 2018/1725. Pour autant que le contrat reflète les mêmes obligations en matière de protection des données que celles fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant en vertu de l’article 29, paragraphe 3, du règlement (UE) 2018/1725, notamment en présentant des garanties suffisantes quant aux mesures techniques et organisationnelles nécessaires pour que le traitement réponde aux exigences dudit règlement, l’article 29, paragraphe 4, du règlement (UE) 2018/1725 sera respecté. Ce sera notamment le cas lorsque le responsable du traitement et le sous-traitant ont recours aux clauses contractuelles types de la décision d’exécution de la Commission relative aux clauses contractuelles types entre les responsables du traitement et les sous-traitants au titre de l’article 28, paragraphe 7, du règlement (UE) 2016/679 du Parlement européen et du Conseil et de l’article 29, paragraphe 7, du règlement (UE) 2018/1725 du Parlement européen et du Conseil (9). |
|
(9) |
Si le traitement suppose des transferts de données de responsables du traitement soumis au règlement (UE) 2016/679 vers des sous-traitants ne relevant pas du champ d’application territorial dudit règlement ou de sous-traitants soumis au règlement (UE) 2016/679 vers des sous-traitants ultérieurs ne relevant pas du champ d’application territorial dudit règlement, les clauses contractuelles types figurant à l’annexe de la présente décision devraient également permettre de satisfaire aux exigences de l’article 28, paragraphes 3 et 4, du règlement (UE) 2016/679. |
|
(10) |
Les clauses contractuelles types figurant à l’annexe de la présente décision combinent des clauses générales et une approche modulaire pour tenir compte des différents scénarios de transfert et de la complexité des chaînes de traitement modernes. Outre les clauses générales, les responsables du traitement et les sous-traitants devraient choisir le module applicable à leur situation, de manière à adapter leurs obligations au titre des clauses contractuelles types à leur rôle et responsabilités dans le traitement des données en question. L’adhésion de plus de deux parties aux clauses contractuelles types devrait être possible. De plus, des responsables du traitement et des sous-traitants supplémentaires devraient être autorisés à adhérer aux clauses contractuelles types en qualité d’exportateurs ou d’importateurs de données tout au long du cycle de vie du contrat dont ces clauses font partie. |
|
(11) |
Afin d’offrir des garanties appropriées, les clauses contractuelles types devraient garantir que les données à caractère personnel transférées sur cette base bénéficient d’un niveau de protection substantiellement équivalent à celui qui est garanti dans l’Union (10). Afin de garantir la transparence du traitement, les personnes concernées devraient recevoir une copie des clauses contractuelles types et être informées, en particulier, des catégories de données à caractère personnel traitées, du droit d’obtenir une copie des clauses contractuelles types et de tout transfert ultérieur. Les transferts ultérieurs effectués par l’importateur de données à un tiers situé dans un autre pays tiers ne devraient être autorisés que si ce tiers adhère aux clauses contractuelles types ou si la continuité de la protection est garantie d’une autre manière ou dans des situations particulières, par exemple sur la base du consentement explicite et éclairé de la personne concernée. |
|
(12) |
À quelques exceptions près, en particulier pour certaines obligations qui concernent exclusivement la relation entre l’exportateur et l’importateur de données, les personnes concernées devraient pouvoir invoquer et, le cas échéant, faire appliquer, les clauses contractuelles types en tant que tiers bénéficiaires. Par conséquent, s’il convient que les parties soient autorisées à choisir le droit d’un des États membres pour régir les clauses contractuelles types, ce droit doit reconnaître des droits au tiers bénéficiaire. Afin de faciliter les recours individuels, les clauses contractuelles types devraient exiger de l’importateur de données qu’il indique un point de contact aux personnes concernées et traite toute réclamation ou demande dans les meilleurs délais. En cas de litige entre l’importateur de données et une personne concernée qui invoque ses droits en tant que tiers bénéficiaire, la personne concernée devrait pouvoir introduire une réclamation auprès de l’autorité de contrôle compétente ou porter le litige devant les juridictions compétentes dans l’Union. |
|
(13) |
Afin de garantir une mise en œuvre effective, l’importateur de données devrait être tenu de se soumettre à la compétence de cette autorité et de ces juridictions et de s’engager à se conformer à toute décision contraignante adoptée en vertu du droit applicable de l’État membre. En particulier, l’importateur de données devrait accepter de répondre aux demandes de renseignements, de se soumettre à des audits et de se conformer aux mesures adoptées par l’autorité de contrôle, notamment aux mesures correctrices et compensatoires. En outre, l’importateur de données devrait pouvoir offrir aux personnes concernées la possibilité de saisir, sans frais, un organe de règlement des litiges indépendant. Conformément à l’article 80, paragraphe 1, du règlement (UE) 2016/679, les personnes concernées devraient, si elles le souhaitent, pouvoir être représentées par des associations ou d’autres organismes dans le cadre de litiges les opposant à l’importateur de données. |
|
(14) |
Les clauses contractuelles types devraient prévoir des règles en matière de responsabilité entre les parties et à l’égard des personnes concernées, ainsi que des règles relatives au dédommagement entre les parties. Si la personne concernée subit un dommage matériel ou moral du fait d’une violation des droits du tiers bénéficiaire au titre des clauses contractuelles types, elle devrait avoir le droit d’obtenir réparation. Ceci devrait être sans préjudice de toute responsabilité au titre du règlement (UE) 2016/679. |
|
(15) |
En cas de transfert à un importateur de données agissant en tant que sous-traitant ou sous-traitant ultérieur, des exigences spécifiques devraient s’appliquer conformément à l’article 28, paragraphe 3, du règlement (UE) 2016/679. Les clauses contractuelles types devraient exiger de l’importateur de données qu’il mette à disposition toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans les clauses et pour permettre à l’exportateur de données d’effectuer des audits de ses activités de traitement et contribuer à ces audits. En ce qui concerne le recrutement d’un sous-traitant par l’importateur de données, conformément à l’article 28, paragraphes 2 et 4, du règlement (UE) 2016/679, les clauses contractuelles types devraient notamment définir la procédure applicable à l’autorisation spécifique ou générale de l’exportateur de données et exiger un contrat écrit avec le sous-traitant ultérieur garantissant le même niveau de protection que celui offert par les clauses. |
|
(16) |
Il convient que les clauses contractuelles types prévoient différentes garanties couvrant la situation spécifique d’un transfert de données à caractère personnel d’un sous-traitant de l’Union vers son responsable du traitement dans un pays tiers et reflétant les obligations autonomes limitées qui incombent aux sous-traitants en vertu du règlement (UE) 2016/679. Les clauses contractuelles types devraient en particulier exiger que le sous-traitant informe le responsable du traitement lorsqu’il n’est pas en mesure de suivre ses instructions, notamment lorsque ces instructions enfreignent le droit de l’Union en matière de protection des données, et que le responsable du traitement s’abstienne de tout acte susceptible d’empêcher le sous-traitant de s’acquitter de ses obligations en vertu du règlement (UE) 2016/679. Elles devraient également exiger que les parties se prêtent mutuellement assistance pour répondre aux demandes de renseignements et aux autres demandes formulées par les personnes concernées en vertu de la législation locale applicable à l’importateur de données ou, en cas de traitement de données effectué dans l’Union, en vertu du règlement (UE) 2016/679. Des exigences supplémentaires visant à remédier aux effets éventuels de la législation du pays tiers de destination sur le respect des clauses par le responsable du traitement, en particulier des exigences concernant de la manière de traiter les demandes contraignantes émanant des autorités publiques du pays tiers en vue de la divulgation des données à caractère personnel transférées, devraient s’appliquer lorsque le sous-traitant de l’Union combine les données à caractère personnel reçues du responsable du traitement du pays tiers et des données à caractère personnel qu’il a collectées dans l’Union. À l’inverse, de telles exigences ne sont pas justifiées lorsque l’externalisation suppose uniquement le traitement et le renvoi de données à caractère personnel qui ont été reçues du responsable du traitement et qui, en tout état de cause, ont été et resteront soumises à la juridiction du pays tiers en question. |
|
(17) |
Les parties devraient être en mesure de démontrer le respect des clauses contractuelles types. En particulier, l’importateur de données devrait être tenu de conserver une trace documentaire appropriée des activités de traitement relevant de sa responsabilité, et d’informer sans délai l’exportateur de données s’il n’est pas en mesure de respecter les clauses, quelle qu’en soit la raison. L’exportateur de données devrait quant à lui suspendre le transfert et, dans les cas particulièrement graves, avoir le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des clauses contractuelles types, si l’importateur de données enfreint ces clauses ou n’est pas en mesure de les respecter. Des règles spécifiques devraient s’appliquer lorsque la législation locale a une incidence sur le respect des clauses. Les données à caractère personnel qui ont été transférées avant la résiliation du contrat, ainsi que toute copie de celles-ci, devraient être restituées à l’exportateur de données ou détruites dans leur intégralité, selon la convenance de celui-ci. |
|
(18) |
Les clauses contractuelles types devraient prévoir des garanties spécifiques, en particulier à la lumière de la jurisprudence de la Cour de justice (11), pour remédier aux effets éventuels de la législation du pays tiers de destination sur le respect des clauses par l’importateur de données, en particulier des garanties concernant la manière de traiter les demandes contraignantes émanant des autorités publiques du pays tiers en vue de la divulgation des données à caractère personnel transférées. |
|
(19) |
Le transfert et le traitement de données à caractère personnel au titre des clauses contractuelles types ne devraient pas avoir lieu si la législation et les pratiques du pays tiers de destination empêchent l’importateur de données de respecter les clauses. Dans ce contexte, les législations et les pratiques qui respectent l’essence des libertés et droits fondamentaux et qui n’excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour garantir un des objectifs énumérés à l’article 23, paragraphe 1, du règlement (UE) 2016/679 ne devraient pas être considérées comme étant en conflit avec les clauses contractuelles types. Les parties devraient garantir qu’au moment de souscrire les clauses contractuelles types, elles n’ont aucune raison de croire que la législation et les pratiques applicables à l’importateur de données ne sont pas conformes à ces exigences. |
|
(20) |
Les parties devraient notamment tenir compte des circonstances spécifiques du transfert (telles que le contenu et la durée du contrat, la nature des données à transférer, le type de destinataire et la finalité du traitement), de la législation et des pratiques du pays tiers de destination pertinentes au regard des circonstances du transfert et de toute garantie mise en place pour compléter celles qui sont prévues par les clauses contractuelles types (y compris les mesures contractuelles, techniques et organisationnelles pertinentes qui s’appliquent à la transmission des données à caractère personnel et à leur traitement dans le pays de destination). En ce qui concerne l’incidence de ces législations et pratiques sur le respect des clauses contractuelles types, différents éléments peuvent être considérés comme faisant partie d’une évaluation globale, notamment des informations fiables sur l’application pratique de la législation (comme la jurisprudence et les rapports d’organes de contrôle indépendants), l’existence ou l’absence de demandes dans le même secteur et, dans des conditions strictes, l’expérience pratique documentée de l’exportateur et/ou de l’importateur de données. |
|
(21) |
L’importateur de données devrait informer l’exportateur de données si, après avoir souscrit les clauses contractuelles types, il a des raisons de croire qu’il n’est pas en mesure de les respecter. Lorsque l’exportateur de données reçoit une telle notification ou apprend par un autre moyen que l’importateur de données n’est plus en mesure de respecter les clauses contractuelles types, il devrait définir des mesures appropriées pour remédier à la situation, si nécessaire en concertation avec l’autorité de contrôle compétente. Ces mesures peuvent comprendre des mesures supplémentaires adoptées par l’exportateur et/ou l’importateur de données, telles que des mesures techniques ou organisationnelles visant à garantir la sécurité et la confidentialité. L’exportateur de données devrait être tenu de suspendre le transfert s’il estime qu’aucune garantie appropriée ne peut être fournie ou si l’autorité de contrôle compétente lui en donne l’instruction. |
|
(22) |
Lorsque cela est possible, l’importateur de données devrait informer l’exportateur de données et la personne concernée s’il reçoit une demande juridiquement contraignante d’une autorité publique (y compris judiciaire) en vertu de la législation du pays de destination en vue de la divulgation de données à caractère personnel transférées au titre des clauses contractuelles types. De la même manière, il devrait les informer s’il a connaissance d’un quelconque accès direct des autorités publiques à ces données à caractère personnel en vertu de la législation du pays tiers de destination. Si, en dépit de tous ses efforts, l’importateur de données n’est pas en mesure d’informer l’exportateur de données et/ou la personne concernée de demandes de divulgation spécifiques, il devrait fournir à l’exportateur de données autant d’informations que possible sur les demandes. En outre, l’importateur de données devrait fournir à l’exportateur de données des informations agrégées à intervalles réguliers. L’importateur de données devrait également être tenu de conserver une trace documentaire de toutes les demandes de divulgation reçues et des réponses qui y ont été apportées, et de mettre ces informations à la disposition de l’exportateur de données ou de l’autorité de contrôle compétente, ou des deux, sur demande. Si, à la suite d’un contrôle de la légalité d’une telle demande en vertu de la législation du pays de destination, l’importateur de données conclut qu’il existe des motifs raisonnables de considérer que la demande est illégale en vertu de la législation du pays tiers de destination, il devrait la contester, notamment, s’il y a lieu, en épuisant les possibilités d’appel. En tout état de cause, si l’importateur de données n’est plus en mesure de respecter les clauses contractuelles types, il devrait en informer l’exportateur de données, y compris lorsque cette incapacité est la conséquence d’une demande de divulgation. |
|
(23) |
Étant donné que les besoins des parties prenantes, la technologie et les opérations de traitement sont susceptibles d’évoluer, la Commission devrait évaluer le fonctionnement des clauses contractuelles types à la lumière de l’expérience acquise, dans le cadre de l’évaluation périodique du règlement (UE) 2016/679 visée à l’article 97 dudit règlement. |
|
(24) |
Les décisions 2001/497/CE et 2010/87/UE devraient être abrogées trois mois après l’entrée en vigueur de la présente décision. Durant cette période, les exportateurs et les importateurs de données devraient, aux fins de l’article 46, paragraphe 1, du règlement (UE) 2016/679, pouvoir continuer à utiliser les clauses contractuelles types énoncées dans les décisions 2001/497/CE et 2010/87/UE. Pendant une période supplémentaire de 15 mois, les exportateurs et les importateurs de données devraient, aux fins de l’article 46, paragraphe 1, du règlement (UE) 2016/679, pouvoir continuer à invoquer les clauses contractuelles types énoncées dans les décisions 2001/497/CE et 2010/87/UE pour l’exécution des contrats conclus entre eux avant la date d’abrogation de ces décisions, à condition que les opérations de traitement faisant l’objet du contrat demeurent inchangées et que l’invocation de ces clauses garantisse que le transfert de données à caractère personnel est soumis à des garanties appropriées au sens de l’article 46, paragraphe 1, du règlement (UE) 2016/679. En cas de modifications importantes du contrat, l’exportateur de données devrait être tenu de fonder les transferts de données faisant l’objet du contrat sur de nouvelles bases, notamment en remplaçant les clauses contractuelles types existantes par les clauses contractuelles types figurant à l’annexe de la présente décision. Il devrait en être de même pour toute sous-traitance d’opérations de traitement faisant l’objet du contrat à un sous-traitant (ultérieur). |
|
(25) |
Le Contrôleur européen de la protection des données et le comité européen de la protection des données ont été consultés conformément à l’article 42, paragraphes 1 et 2, du règlement (UE) 2018/1725 et ont rendu, le 14 janvier 2021 (12), un avis conjoint qui a été pris en considération lors de l’élaboration de la présente décision. |
|
(26) |
Les mesures prévues par la présente décision sont conformes à l’avis du comité institué en vertu de l’article 93 du règlement (UE) 2016/679, |
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article premier
1. Les clauses contractuelles types figurant en annexe sont considérées comme offrant des garanties appropriées au sens de l’article 46, paragraphe 1, et de l’article 46, paragraphe 2, point c), du règlement (UE) 2016/679 pour le transfert, par un responsable du traitement ou un sous-traitant, de données à caractère personnel dont le traitement est soumis audit règlement (l’exportateur de données) à un responsable du traitement ou à un sous-traitant (ultérieur) dont le traitement des données n’est pas soumis audit règlement (l’importateur de données).
2. Les clauses contractuelles types énoncent également les droits et obligations des responsables du traitement et des sous-traitants en ce qui concerne les questions mentionnées à l’article 28, paragraphes 3 et 4, du règlement (UE) 2016/679, pour ce qui est du transfert de données à caractère personnel d’un responsable du traitement à un sous-traitant, ou d’un sous-traitant à un sous-traitant ultérieur.
Article 2
Lorsque les autorités compétentes d’un État membre exercent leurs pouvoirs en matière d’adoption de mesures correctrices en vertu de l’article 58 du règlement (UE) 2016/679 dans les cas où l’importateur de données est ou devient soumis, dans le pays tiers de destination, à une législation ou à des pratiques qui l’empêchent de respecter les clauses contractuelles types figurant en annexe, ce qui entraîne la suspension ou l’interdiction des transferts de données vers des pays tiers, l’État membre concerné en informe sans délai la Commission, qui transmet les informations aux autres États membres.
Article 3
La Commission évalue l’application pratique des clauses contractuelles types figurant en annexe sur la base de toutes les informations disponibles dans le cadre de l’évaluation périodique requise par l’article 97 du règlement (UE) 2016/679.
Article 4
1. La présente décision entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
2. La décision 2001/497/CE est abrogée avec effet au 27 septembre 2021.
3. La décision 2010/87/UE est abrogée avec effet au 27 septembre 2021.
4. Les contrats conclus avant le 27 septembre 2021 sur la base de la décision 2001/497/CE ou de la décision 2010/87/UE sont réputés offrir des garanties appropriées au sens de l’article 46, paragraphe 1, du règlement (UE) 2016/679 jusqu’au 27 décembre 2022, pour autant que les opérations de traitement faisant l’objet du contrat demeurent inchangées et que l’invocation de ces clauses garantisse que le transfert de données à caractère personnel est soumis à des garanties appropriées.
Fait à Bruxelles, le 4 juin 2021.
Par la Commission
La présidente
Ursula VON DER LEYEN
(1) JO L 119 du 4.5.2016, p. 1.
(2) Article 44 du règlement (UE) 2016/679.
(3) Voir également l’arrêt de la Cour de justice du 16 juillet 2020, Data Protection Commissioner/Facebook Ireland Ltd et Maximillian Schrems («Schrems II»), C-311/18, EU:C:2020:559, point 93.
(4) Considérant 109 du règlement (UE) 2016/679.
(5) Décision 2001/497/CE de la Commission du 15 juin 2001 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu de la directive 95/46/CE (JO L 181 du 4.7.2001, p. 19).
(6) Décision 2010/87/UE de la Commission du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil (JO L 39 du 12.2.2010, p. 5).
(7) Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281 du 23.11.1995, p. 31).
(8) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39), voir le considérant 5.
(9) C(2021) 3701.
(10) Voir l’arrêt Schrems II, points 96 et 103. Voir également le règlement (UE) 2016/679, considérants 108 et 114.
(11) Voir l’arrêt Schrems II.
(12) Avis conjoint 2/2021 du comité européen de la protection des données et du Contrôleur européen de la protection des données sur la décision d’exécution de la Commission européenne relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers pour les questions visées à l’article 46, paragraphe 2, point c), du règlement (UE) 2016/679.
ANNEXE
CLAUSES CONTRACTUELLES TYPES
SECTION I
Clause 1
Finalités et champ d’application
|
a) |
Les présentes clauses contractuelles types visent à garantir le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) (1) en cas de transfert de données à caractère personnel vers un pays tiers. |
|
b) |
Les parties:
sont convenues des présentes clauses contractuelles types (ci-après les «clauses»). |
|
c) |
Les présentes clauses s’appliquent au transfert de données à caractère personnel précisé à l’annexe I.B. |
|
d) |
L’appendice aux présentes clauses, qui contient les annexes qui y sont mentionnées, fait partie intégrante des présentes clauses. |
Clause 2
Effet et invariabilité des clauses
|
a) |
Les présentes clauses établissent des garanties appropriées, notamment des droits opposables pour la personne concernée et des voies de droit effectives, en vertu de l’article 46, paragraphe 1, et de l’article 46, paragraphe 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données de responsables du traitement à sous-traitants et/ou de sous-traitants à sous-traitants, des clauses contractuelles types en vertu de l’article 28, paragraphe 7, du règlement (UE) 2016/679, à condition qu’elles ne soient pas modifiées, sauf pour sélectionner le ou les modules appropriés ou pour ajouter ou mettre à jour des informations dans l’appendice. Cela n’empêche pas les parties d’inclure les clauses contractuelles types prévues dans les présentes clauses dans un contrat plus large et/ou d’ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les présentes clauses et qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées. |
|
b) |
Les présentes clauses sont sans préjudice des obligations auxquelles l’exportateur de données est soumis en vertu du règlement (UE) 2016/679. |
Clause 3
Tiers bénéficiaires
|
a) |
Les personnes concernées peuvent invoquer et faire appliquer les présentes clauses, en tant que tiers bénéficiaires, contre l’exportateur et/ou l’importateur de données, avec les exceptions suivantes:
|
|
b) |
Le paragraphe a) est sans préjudice des droits des personnes concernées au titre du règlement (UE) 2016/679. |
Clause 4
Interprétation
|
a) |
Lorsque les présentes clauses utilisent des termes définis dans le règlement (UE) 2016/679, ceux-ci ont la même signification que dans ledit règlement. |
|
b) |
Les présentes clauses sont lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679. |
|
c) |
Les présentes clauses ne sont pas interprétées dans un sens contraire aux droits et obligations prévus dans le règlement (UE) 2016/679. |
Clause 5
Hiérarchie
En cas de contradiction entre les présentes clauses et les dispositions des accords connexes entre les parties existant au moment où les présentes clauses sont convenues, ou souscrites par la suite, les présentes clauses prévalent.
Clause 6
Description du ou des transferts
Les détails du ou des transferts, en particulier les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles le sont, sont précisés à l’annexe I.B.
Clause 7 — Facultative
Clause d’adhésion
|
a) |
Une entité qui n’est pas partie aux présentes clauses peut, avec l’accord des parties, y adhérer à tout moment, soit en tant qu’exportateur de données soit en tant qu’importateur de données, en remplissant l’appendice et en signant l’annexe I.A. |
|
b) |
Une fois l’appendice rempli et l’annexe I.A. signée, l’entité adhérente devient partie aux présentes clauses et a les droits et obligations d’un exportateur de données ou d’un importateur de données selon sa désignation dans l’annexe I.A. |
|
c) |
L’entité adhérente n’a aucun droit ni obligation découlant des présentes clauses pour la période antérieure à son adhésion à celles-ci. |
SECTION II — OBLIGATIONS DES PARTIES
Clause 8
Garanties en matière de protection des données
L’exportateur de données garantit qu’il a entrepris des démarches raisonnables pour s’assurer que l’importateur de données est à même, par la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire aux obligations qui lui incombent en vertu des présentes clauses.
MODULE 1: transfert de responsable du traitement à responsable du traitement
8.1. Limitation des finalités
L’importateur de données traite les données à caractère personnel uniquement pour la ou les finalités spécifiques du transfert, telles que précisée(s) à l’annexe I.B. Il ne peut traiter les données à caractère personnel pour une autre finalité que:
|
i) |
s’il a obtenu le consentement préalable de la personne concernée; |
|
ii) |
si le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice dans le contexte de procédures administratives, réglementaires ou judiciaires spécifiques; ou |
|
iii) |
si le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique. |
8.2. Transparence
|
a) |
Afin de permettre aux personnes concernées d’exercer effectivement leurs droits en vertu de la clause 10, l’importateur de données les informe, soit directement soit par l’intermédiaire de l’exportateur de données:
|
|
b) |
Le paragraphe a) ne s’applique pas lorsque la personne concernée dispose déjà de ces informations, notamment lorsque ces informations ont déjà été communiquées par l’exportateur de données ou lorsque la communication de ces informations se révèle impossible ou exigerait des efforts disproportionnés de la part de l’importateur de données. Dans ce dernier cas, l’importateur de données met, dans la mesure du possible, ces informations à la disposition du public. |
|
c) |
Sur demande, les parties mettent gratuitement à la disposition de la personne concernée une copie des présentes clauses, notamment de l’appendice tel qu’elles l’ont rempli. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les données à caractère personnel, les parties peuvent occulter une partie du texte de l’appendice avant d’en communiquer une copie, mais fournissent un résumé valable s’il serait autrement impossible, pour la personne concernée, d’en comprendre le contenu ou d’exercer ses droits. Les parties fournissent à la personne concernée, à la demande de celle-ci, les motifs des occultations, dans la mesure du possible sans révéler les informations occultées. |
|
d) |
Les paragraphes a) à c) sont sans préjudice des obligations qui incombent à l’exportateur de données en vertu des articles 13 et 14 du règlement (UE) 2016/679. |
8.3. Exactitude et minimisation des données
|
a) |
Chaque partie veille à ce que les données à caractère personnel soient exactes et, si nécessaire, tenues à jour. L’importateur de données prend toutes les mesures raisonnables pour que les données à caractère personnel qui sont inexactes, eu égard à la ou aux finalités du traitement, soient effacées ou rectifiées sans tarder. |
|
b) |
Si une des parties se rend compte que les données à caractère personnel qu’elle a transférées ou reçues sont inexactes, ou sont obsolètes, elle en informe l’autre partie dans les meilleurs délais. |
|
c) |
L’importateur de données veille à ce que les données à caractère personnel soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la ou des finalités du traitement. |
8.4. Limitation de la conservation
L’importateur de données ne conserve pas les données à caractère personnel plus longtemps que ce qui est nécessaire à la ou les finalités pour lesquelles elles sont traitées. Il met en place des mesures techniques ou organisationnelles appropriées pour garantir le respect de cette obligation, notamment l’effacement ou l’anonymisation (2) des données et de toutes leurs sauvegardes à la fin de la période de conservation.
8.5. Sécurité du traitement
|
a) |
L’importateur de données et, durant la transmission, l’exportateur de données mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données à caractère personnel, notamment pour les protéger d’une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé (ci-après la «violation de données à caractère personnel»). Lors de l’évaluation du niveau de sécurité approprié, ils tiennent dûment compte de l’état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement ainsi que des risques inhérents au traitement pour la personne concernée. Les parties envisagent en particulier de recourir au chiffrement ou à la pseudonymisation, notamment pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. |
|
b) |
Les parties sont convenues des mesures techniques et organisationnelles énoncées à l’annexe II. L’importateur de données procède à des contrôles réguliers pour s’assurer que ces mesures continuent d’offrir le niveau de sécurité approprié. |
|
c) |
L’importateur de données veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité. |
|
d) |
En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l’importateur de données au titre des présentes clauses, ce dernier prend des mesures appropriées pour remédier à la violation desdites données, y compris des mesures visant à en atténuer les effets négatifs potentiels. |
|
e) |
En cas de violation de données à caractère personnel susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, l’importateur de données en informe sans tarder tant l’exportateur de données que l’autorité de contrôle compétente au sens de la clause 13. Cette notification contient i) une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données à caractère personnel concernés), ii) une description de ses conséquences probables, iii) une description des mesures prises ou proposées pour remédier à la violation et iv) les coordonnées d’un point de contact auprès duquel il est possible d’obtenir plus d’informations. Dans la mesure où l’importateur de données n’a pas la possibilité de fournir toutes les informations en même temps, il peut le faire de manière échelonnée sans autre retard indu. |
|
f) |
En cas de violation de données à caractère personnel susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, l’importateur de données informe également sans tarder les personnes concernées de la violation de données à caractère personnel et de sa nature, si nécessaire en coopération avec l’exportateur de données, en leur communiquant les informations mentionnées au paragraphe e), points ii)) à iv), à moins qu’il n’ait mis en œuvre des mesures visant à réduire de manière significative le risque pour les droits ou libertés des personnes physiques ou que cette notification n’exige des efforts disproportionnés. Dans ce dernier cas, l’importateur de données publie, à la place, une communication ou prend une mesure similaire pour informer le public de la violation de données à caractère personnel. |
|
g) |
L’importateur de données répertorie tous les faits pertinents relatifs à la violation de données à caractère personnel, notamment ses effets et les mesures prises pour y remédier, et en garde une trace. |
8.6. Données sensibles
Lorsque le transfert concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, des données génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne, ou des données relatives à des condamnations pénales ou à des infractions (ci-après les «données sensibles»), l’importateur de données applique des restrictions particulières et/ou des garanties supplémentaires adaptées à la nature spécifique des données et aux risques encourus. Cela peut inclure une restriction du personnel autorisé à accéder aux données à caractère personnel, des mesures de sécurité supplémentaires (telles que la pseudonymisation) et/ou des restrictions supplémentaires concernant une divulgation ultérieure.
8.7. Transferts ultérieurs
L’importateur de données ne divulgue pas les données à caractère personnel à un tiers situé en dehors de l’Union européenne (3) (dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après «transfert ultérieur»), sauf si le tiers est lié par les présentes clauses ou accepte de l’être, en vertu du module approprié. Dans le cas contraire, un transfert ultérieur par l’importateur de données ne peut avoir lieu que si:
|
i) |
il est effectué vers un pays bénéficiant d’une décision d’adéquation en vertu de l’article 45 du règlement (UE) 2016/679 qui couvre le transfert ultérieur; |
|
ii) |
le tiers offre d’une autre manière des garanties appropriées conformément aux articles 46 ou 47 du règlement (UE) 2016/679 en ce qui concerne le traitement en question; |
|
iii) |
le tiers conclut un acte contraignant avec l’importateur de données garantissant le même niveau de protection des données que les présentes clauses, et l’importateur de données fournit une copie de ces garanties à l’exportateur de données; |
|
iv) |
il est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice dans le contexte de procédures administratives, réglementaires ou judiciaires spécifiques; |
|
v) |
il est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique; ou |
|
vi) |
lorsque aucune des autres conditions ne s’applique, l’importateur de données a obtenu le consentement explicite de la personne concernée pour un transfert ultérieur dans une situation particulière, après l’avoir informée de la ou des finalités de ce transfert ultérieur, de l’identité du destinataire et des risques éventuels que ce transfert lui fait courir en raison de l’absence de garanties appropriées en matière de protection des données. Dans ce cas, l’importateur de données informe l’exportateur de données et, à la demande de ce dernier, lui transmet une copie des informations fournies à la personne concernée. |
Tout transfert ultérieur est soumis au respect, par l’importateur de données, de toutes les autres garanties au titre des présentes clauses, en particulier de la limitation des finalités.
8.8. Traitement effectué sous l’autorité de l’importateur de données
L’importateur de données veille à ce que toute personne agissant sous son autorité, notamment un sous-traitant, ne traite les données que sur ses instructions.
8.9. Documentation et conformité
|
a) |
Chaque partie est en mesure de démontrer le respect des obligations qui lui incombent en vertu des présentes clauses. En particulier, l’importateur de données conserve une trace documentaire appropriée des activités de traitement menées sous sa responsabilité. |
|
b) |
L’importateur de données met ces documents à la disposition de l’autorité de contrôle compétente si celle-ci en fait la demande. |
MODULE 2: transfert de responsable du traitement à sous-traitant
8.1. Instructions
|
a) |
L’importateur de données ne traite les données à caractère personnel que sur instructions documentées de l’exportateur de données. L’exportateur de données peut donner ces instructions pendant toute la durée du contrat. |
|
b) |
S’il n’est pas en mesure de suivre ces instructions, l’importateur de données en informe immédiatement l’exportateur de données. |
8.2. Limitation des finalités
L’importateur de données traite les données à caractère personnel uniquement pour la ou les finalités spécifiques du transfert, telles que précisées à l’annexe I.B, sauf en cas d’instructions supplémentaires de l’exportateur de données.
8.3. Transparence
Sur demande, l’exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes clauses, notamment de l’appendice tel que rempli par les parties. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les mesures décrites à l’annexe II et les données à caractère personnel, l’exportateur de données peut occulter une partie du texte de l’appendice aux présentes clauses avant d’en communiquer une copie, mais fournit un résumé valable s’il serait autrement impossible, pour la personne concernée, d’en comprendre le contenu ou d’exercer ses droits. Les parties fournissent à la personne concernée, à la demande de celle-ci, les motifs des occultations, dans la mesure du possible sans révéler les informations occultées. Cette clause est sans préjudice des obligations qui incombent à l’exportateur de données en vertu des articles 13 et 14 du règlement (UE) 2016/679.
8.4. Exactitude
Si l’importateur de données se rend compte que les données à caractère personnel qu’il a reçues sont inexactes, ou sont obsolètes, il en informe l’exportateur de données dans les meilleurs délais. Dans ce cas, l’importateur de données coopère avec l’exportateur de données pour effacer ou rectifier les données.
8.5. Durée du traitement et effacement ou restitution des données
Le traitement par l’importateur de données n’a lieu que pendant la durée précisée à l’annexe I.B. Au terme de la prestation des services de traitement, l’importateur de données, à la convenance de l’exportateur de données, efface toutes les données à caractère personnel traitées pour le compte de ce dernier et lui en apporte la preuve, ou lui restitue toutes les données à caractère personnel traitées pour son compte et efface les copies existantes. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel, ce dernier garantit qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données à caractère personnel que dans la mesure où et aussi longtemps que cette législation locale l’exige. Ceci est sans préjudice de la clause 14, en particulier de l’obligation imposée à l’importateur de données par la clause 14, paragraphe e), d’informer l’exportateur de données, pendant toute la durée du contrat, s’il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences de la clause 14, paragraphe a).
8.6. Sécurité du traitement
|
a) |
L’importateur de données et, durant la transmission, l’exportateur de données mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données, notamment pour les protéger d’une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à ces données (ci-après la «violation de données à caractère personnel»). Lors de l’évaluation du niveau de sécurité approprié, les parties tiennent dûment compte de l’état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement ainsi que des risques inhérents au traitement pour les personnes concernées. Les parties envisagent en particulier de recourir au chiffrement ou à la pseudonymisation, notamment pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d’attribuer les données à caractère personnel à une personne concernée précise restent, dans la mesure du possible, sous le contrôle exclusif de l’exportateur de données. Pour s’acquitter des obligations qui lui incombent en vertu du présent paragraphe, l’importateur de données met au moins en œuvre les mesures techniques et organisationnelles précisées à l’annexe II. Il procède à des contrôles réguliers pour s’assurer que ces mesures continuent d’offrir le niveau de sécurité approprié. |
|
b) |
L’importateur de données ne donne l’accès aux données à caractère personnel aux membres de son personnel que dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Il veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité. |
|
c) |
En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l’importateur de données au titre des présentes clauses, ce dernier prend des mesures appropriées pour remédier à la violation, y compris des mesures visant à en atténuer les effets négatifs. L’importateur de données informe également l’exportateur de données de cette violation dans les meilleurs délais après en avoir eu connaissance. Cette notification contient les coordonnées d’un point de contact auprès duquel il est possible d’obtenir plus d’informations, ainsi qu’une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données à caractère personnel concernés), de ses conséquences probables et des mesures prises ou proposées pour y remédier, y compris, le cas échéant, des mesures visant à en atténuer les effets négatifs potentiels. Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et les autres informations sont fournies par la suite, dans les meilleurs délais, à mesure qu’elles deviennent disponibles. |
|
d) |
L’importateur de données coopère avec l’exportateur de données et l’aide afin de lui permettre de respecter les obligations qui lui incombent en vertu du règlement (UE) 2016/679, notamment celle d’informer l’autorité de contrôle compétente et les personnes concernées, compte tenu de la nature du traitement et des informations à la disposition de l’importateur de données. |
8.7. Données sensibles
Lorsque le transfert concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, des données génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne, ou des données relatives à des condamnations pénales et à des infractions (ci-après les «données sensibles»), l’importateur de données applique les restrictions particulières et/ou les garanties supplémentaires décrites à l’annexe I.B.
8.8. Transferts ultérieurs
L’importateur de données ne divulgue les données à caractère personnel à un tiers que sur instructions documentées de l’exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l’Union européenne (4) (dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après «transfert ultérieur»), que si le tiers est lié par les présentes clauses ou accepte de l’être, en vertu du module approprié, ou si:
|
i) |
le transfert ultérieur est effectué vers un pays bénéficiant d’une décision d’adéquation en vertu de l’article 45 du règlement (UE) 2016/679 qui couvre le transfert ultérieur; |
|
ii) |
le tiers offre d’une autre manière des garanties appropriées conformément aux articles 46 ou 47 du règlement (UE) 2016/679 en ce qui concerne le traitement en question; |
|
iii) |
le transfert ultérieur est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice dans le contexte de procédures administratives, réglementaires ou judiciaires spécifiques; ou |
|
iv) |
le transfert ultérieur est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique. |
Tout transfert ultérieur est soumis au respect, par l’importateur de données, de toutes les autres garanties au titre des présentes clauses, en particulier de la limitation des finalités.
8.9. Documentation et conformité
|
a) |
L’importateur de données traite rapidement et de manière appropriée les demandes de renseignements de l’exportateur de données concernant le traitement au titre des présentes clauses. |
|
b) |
Les parties sont en mesure de démontrer le respect des présentes clauses. En particulier, l’importateur de données conserve une trace documentaire appropriée des activités de traitement menées pour le compte de l’exportateur de données. |
|
c) |
L’importateur de données met à la disposition de l’exportateur de données toutes les informations nécessaires pour démontrer le respect des obligations prévues par les présentes clauses et, à la demande de l’exportateur de données, pour permettre la réalisation d’audits des activités de traitement couvertes par les présentes clauses, et contribuer à ces audits, à intervalles raisonnables ou s’il existe des indications de non-respect. Lorsqu’il décide d’un examen ou d’un audit, l’exportateur de données peut tenir compte des certifications pertinentes détenues par l’importateur de données. |
|
d) |
L’exportateur de données peut choisir de procéder à l’audit lui-même ou de mandater un auditeur indépendant. Les audits peuvent également comprendre des inspections dans les locaux ou les installations physiques de l’importateur de données et sont, le cas échéant, effectués avec un préavis raisonnable. |
|
e) |
Les parties mettent à la disposition de l’autorité de contrôle compétente, à la demande de celle-ci, les informations mentionnées aux paragraphes b) et c), y compris les résultats de tout audit. |
MODULE 3: transfert de sous-traitant à sous-traitant
8.1. Instructions
|
a) |
L’exportateur de données a informé l’importateur de données qu’il agit en qualité de sous-traitant sur instructions de son ou ses responsables du traitement, instructions qu’il met à la disposition de l’importateur de données avant le traitement. |
|
b) |
L’importateur de données ne traite les données à caractère personnel que sur instructions documentées du responsable du traitement, telles qu’elles lui ont été communiquées par l’exportateur de données, ainsi que sur instructions documentées supplémentaires de l’exportateur de données. Ces instructions supplémentaires ne sont pas en contradiction avec les instructions du responsable du traitement. Le responsable du traitement ou l’exportateur de données peut donner d’autres instructions documentées concernant le traitement des données pendant toute la durée du contrat. |
|
c) |
S’il n’est pas en mesure de suivre ces instructions, l’importateur de données en informe immédiatement l’exportateur de données. Lorsque l’importateur de données n’est pas en mesure de suivre les instructions du responsable du traitement, l’exportateur de données en informe immédiatement ce dernier. |
|
d) |
L’exportateur de données garantit qu’il a imposé à l’importateur de données les mêmes obligations en matière de protection des données que celles fixées dans le contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre entre le responsable du traitement et l’exportateur de données (5). |
8.2. Limitation des finalités
L’importateur de données traite les données à caractère personnel uniquement pour la ou les finalités spécifiques du transfert, telles que précisées à l’annexe I.B, sauf en cas d’instructions supplémentaires du responsable du traitement, telle qu’elles lui ont été communiquées par l’exportateur de données, ou de l’exportateur de données.
8.3. Transparence
Sur demande, l’exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes clauses, notamment de l’appendice tel que rempli par les parties. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les données à caractère personnel, l’exportateur de données peut occulter une partie du texte de l’appendice avant d’en communiquer une copie, mais fournit un résumé valable s’il serait autrement impossible, pour la personne concernée, d’en comprendre le contenu ou d’exercer ses droits. Les parties fournissent à la personne concernée, à la demande de celle-ci, les motifs des occultations, dans la mesure du possible sans révéler les informations occultées.
8.4. Exactitude
Si l’importateur de données se rend compte que les données à caractère personnel qu’il a reçues sont inexactes, ou sont obsolètes, il en informe l’exportateur de données dans les meilleurs délais. Dans ce cas, l’importateur de données coopère avec l’exportateur de données pour rectifier ou effacer les données.
8.5. Durée du traitement et effacement ou restitution des données
Le traitement par l’importateur de données n’a lieu que pendant la durée précisée à l’annexe I.B. Au terme de la prestation des services de traitement, l’importateur de données, à la convenance de l’exportateur de données, efface toutes les données à caractère personnel traitées pour le compte du responsable du traitement et en apporte la preuve à l’exportateur de données, ou lui restitue toutes les données à caractère personnel traitées pour son compte et efface les copies existantes. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel, ce dernier garantit qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données à caractère personnel que dans la mesure où et aussi longtemps que cette législation locale l’exige. Ceci est sans préjudice de la clause 14, en particulier de l’obligation imposée à l’importateur de données par la clause 14, paragraphe e), d’informer l’exportateur de données, pendant toute la durée du contrat, s’il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences de la clause 14, paragraphe a).
8.6. Sécurité du traitement
|
a) |
L’importateur de données et, durant la transmission, l’exportateur de données mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données, notamment pour les protéger d’une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à ces données (ci-après la «violation de données à caractère personnel»). Lors de l’évaluation du niveau de sécurité approprié, ils tiennent dûment compte de l’état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement ainsi que des risques inhérents au traitement pour la personne concernée. Les parties envisagent en particulier de recourir au chiffrement ou à la pseudonymisation, notamment pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d’attribuer les données à caractère personnel à une personne concernée précise restent, dans la mesure du possible, sous le contrôle exclusif de l’exportateur de données ou du responsable du traitement. Pour s’acquitter des obligations qui lui incombent en vertu du présent paragraphe, l’importateur de données met au moins en œuvre les mesures techniques et organisationnelles précisées à l’annexe II. Il procède à des contrôles réguliers pour s’assurer que ces mesures continuent d’offrir le niveau de sécurité approprié. |
|
b) |
L’importateur de données ne donne l’accès aux données aux membres de son personnel que dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Il veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité. |
|
c) |
En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l’importateur de données au titre des présentes clauses, ce dernier prend des mesures appropriées pour remédier à la violation, y compris des mesures visant à en atténuer les effets négatifs. L’importateur de données informe également, dans les meilleurs délais, l’exportateur de données et, s’il y a lieu et dans la mesure du possible, le responsable du traitement après avoir eu connaissance de la violation. Cette notification contient les coordonnées d’un point de contact auprès duquel il est possible d’obtenir plus d’informations, ainsi qu’une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données à caractère personnel concernés), de ses conséquences probables et des mesures prises ou proposées pour y remédier, y compris des mesures visant à en atténuer les effets négatifs potentiels. Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et les autres informations sont fournies par la suite, dans les meilleurs délais, à mesure qu’elles deviennent disponibles. |
|
d) |
L’importateur de données coopère avec l’exportateur de données et l’aide afin de lui permettre de respecter les obligations qui lui incombent en vertu du règlement (UE) 2016/679, notamment celle d’informer son responsable du traitement afin que ce dernier puisse à son tour informer l’autorité de contrôle compétente et les personnes concernées, compte tenu de la nature du traitement et des informations à la disposition de l’importateur de données. |
8.7. Données sensibles
Lorsque le transfert concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, des données génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne, ou des données relatives à des condamnations pénales et à des infractions (ci-après les «données sensibles»), l’importateur de données applique les restrictions particulières et/ou les garanties supplémentaires indiquées à l’annexe I.B.
8.8. Transferts ultérieurs
L’importateur de données ne divulgue les données à caractère personnel à un tiers que sur instructions documentées du responsable du traitement, telles qu’elles lui ont été communiquées par l’exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l’Union européenne (6) (dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après «transfert ultérieur»), que si le tiers est lié par les présentes clauses ou accepte de l’être, en vertu du module approprié, ou si:
|
i) |
le transfert ultérieur est effectué vers un pays bénéficiant d’une décision d’adéquation en vertu de l’article 45 du règlement (UE) 2016/679 qui couvre le transfert ultérieur; |
|
ii) |
le tiers offre d’une autre manière des garanties appropriées conformément aux articles 46 ou 47 du règlement (UE) 2016/679; |
|
iii) |
le transfert ultérieur est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice dans le contexte de procédures administratives, réglementaires ou judiciaires spécifiques; ou |
|
iv) |
le transfert ultérieur est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique. |
Tout transfert ultérieur est soumis au respect, par l’importateur de données, de toutes les autres garanties au titre des présentes clauses, en particulier de la limitation des finalités.
8.9. Documentation et conformité
|
a) |
L’importateur de données traite rapidement et de manière appropriée les demandes de renseignements de l’exportateur de données ou du responsable du traitement concernant le traitement au titre des présentes clauses. |
|
b) |
Les parties sont en mesure de démontrer le respect des présentes clauses. En particulier, l’importateur de données conserve une trace documentaire appropriée des activités de traitement menées pour le compte du responsable du traitement. |
|
c) |
L’importateur de données met toutes les informations nécessaires pour démontrer le respect des obligations prévues par les présentes clauses à la disposition de l’exportateur de données, qui les transmet au responsable du traitement. |
|
d) |
L’importateur de données permet la réalisation, par l’exportateur de données, d’audits des activités de traitement couvertes par les présentes clauses, et contribue à ces audits, à intervalles raisonnables ou s’il existe des indications de non-respect. Il en est de même lorsque l’exportateur de données demande un audit sur instructions du responsable du traitement. Lorsqu’il décide d’un audit, l’exportateur de données peut tenir compte des certifications pertinentes détenues par l’importateur de données. |
|
e) |
Lorsque l’audit est effectué sur instructions du responsable du traitement, l’exportateur de données met les résultats à la disposition de ce dernier. |
|
f) |
L’exportateur de données peut choisir de procéder à l’audit lui-même ou de mandater un auditeur indépendant. Les audits peuvent comprendre des inspections dans les locaux ou les installations physiques de l’importateur de données et sont, le cas échéant, effectués avec un préavis raisonnable. |
|
g) |
Les parties mettent à la disposition de l’autorité de contrôle compétente, à la demande de celle-ci, les informations mentionnées aux paragraphes b) et c), y compris les résultats de tout audit. |
MODULE 4: transfert de sous-traitant à responsable du traitement
8.1. Instructions
|
a) |
L’exportateur de données ne traite les données à caractère personnel que sur instructions documentées de l’importateur de données agissant en tant que son responsable du traitement. |
|
b) |
S’il n’est pas en mesure de suivre ces instructions, notamment si elles constituent une violation du règlement (UE) 2016/679 ou d’autres dispositions législatives de l’Union ou d’un État membre en matière de protection des données, l’exportateur de données en informe immédiatement l’importateur de données. |
|
c) |
L’importateur de données s’abstient de tout acte susceptible d’empêcher l’exportateur de données de s’acquitter des obligations qui lui incombent en vertu du règlement (UE) 2016/679, notamment dans le cadre d’une sous-traitance ultérieure ou en ce qui concerne la coopération avec les autorités de contrôle compétentes. |
|
d) |
Au terme de la prestation des services de traitement, l’exportateur de données, à la convenance de l’importateur de données, efface toutes les données à caractère personnel traitées pour le compte de ce dernier et lui en apporte la preuve, ou lui restitue toutes les données à caractère personnel traitées pour son compte et efface les copies existantes. |
8.2. Sécurité du traitement
|
a) |
Les parties mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données, notamment pendant la transmission, et pour les protéger d’une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé (ci-après la «violation de données à caractère personnel»). Lors de l’évaluation du niveau de sécurité approprié, elles tiennent dûment compte de l’état des connaissances, des coûts de mise en œuvre, de la nature des données à caractère personnel (7), de la nature, de la portée, du contexte et de la ou des finalités du traitement ainsi que des risques inhérents au traitement pour les personnes concernées, et envisagent en particulier de recourir au chiffrement ou à la pseudonymisation, notamment pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. |
|
b) |
L’exportateur de données aide l’importateur de données à garantir une sécurité appropriée des données conformément au paragraphe a). En cas de violation de données à caractère personnel concernant les données à caractère personnel traitées par l’exportateur de données au titre des présentes clauses, ce dernier en informe l’importateur de données dans les meilleurs délais après avoir eu connaissance de la violation et l’aide à y remédier. |
|
c) |
L’exportateur de données veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité. |
8.3. Documentation et conformité
|
a) |
Les parties sont en mesure de démontrer le respect des présentes clauses. |
|
b) |
L’exportateur de données met à la disposition de l’importateur de données toutes les informations nécessaires pour démontrer le respect des obligations qui lui incombent au titre des présentes clauses et pour permettre la réalisation d’audits et y contribuer. |
Clause 9
Recours à des sous-traitants ultérieurs
MODULE 2: transfert de responsable du traitement à sous-traitant
|
a) |
OPTION 1: AUTORISATION PRÉALABLE SPÉCIFIQUE — L’importateur de données ne sous-traite aucune des activités de traitement qu’il mène pour le compte de l’exportateur de données au titre des présentes clauses à un sous-traitant ultérieur sans l’autorisation écrite préalable spécifique de l’exportateur de données. L’importateur de données soumet la demande d’autorisation spécifique au moins [précisez le délai] avant le recrutement du sous-traitant ultérieur, avec les informations nécessaires pour permettre à l’exportateur de données de se prononcer sur l’autorisation. La liste des sous-traitants ultérieurs déjà autorisés par l’exportateur de données est disponible à l’annexe III. Les parties tiennent cette annexe à jour. OPTION 2: AUTORISATION ÉCRITE GÉNÉRALE — L’importateur de données a l’autorisation générale de l’exportateur de données de recruter un ou plusieurs sous-traitants ultérieurs à partir d’une liste arrêtée d’un commun accord. L’importateur de données informe expressément par écrit l’exportateur de données de tout changement concernant l’ajout ou le remplacement de sous-traitants ultérieurs qu’il est prévu d’apporter à cette liste au moins [précisez le délai] à l’avance, donnant ainsi à l’exportateur de données suffisamment de temps pour émettre des objections à l’encontre de ces changements avant le recrutement du ou des sous-traitants ultérieurs L’importateur de données fournit à l’exportateur de données les informations nécessaires pour permettre à ce dernier d’exercer son droit d’émettre des objections. |
|
b) |
Lorsque l’importateur de données recrute un sous-traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte de l’exportateur de données), il le fait au moyen d’un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l’importateur de données au titre des présentes clauses, notamment en ce qui concerne les droits du tiers bénéficiaire pour les personnes concernées (8). Les parties conviennent qu’en respectant la présente clause, l’importateur de données satisfait aux obligations qui lui incombent en vertu de la clause 8.8. L’importateur de données veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu des présentes clauses. |
|
c) |
L’importateur de données fournit à l’exportateur de données, à la demande de celui-ci, une copie du contrat avec le sous-traitant ultérieur et de ses éventuelles modifications ultérieures. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les données à caractère personnel, l’importateur de données peut occulter une partie du texte du contrat avant d’en communiquer une copie. |
|
d) |
L’importateur de données reste pleinement responsable à l’égard de l’exportateur de données de l’exécution des obligations qui incombent au sous-traitant ultérieur en vertu du contrat qu’il a conclu avec lui. L’importateur de données notifie à l’exportateur de données tout manquement du sous-traitant ultérieur aux obligations qui lui incombent en vertu dudit contrat. |
|
e) |
L’importateur de données convient avec le sous-traitant ultérieur d’une clause du tiers bénéficiaire en vertu de laquelle, dans les cas où l’importateur de données a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable, l’exportateur de données a le droit de résilier le contrat du sous-traitant ultérieur et de donner instruction à ce dernier d’effacer ou de restituer les données à caractère personnel. |
MODULE 3: transfert de sous-traitant à sous-traitant
|
a) |
OPTION 1: AUTORISATION SPÉCIFIQUE PRÉALABLE — L’importateur de données ne sous-traite aucune des activités de traitement qu’il mène pour le compte de l’exportateur de données au titre des présentes clauses à un sous-traitant ultérieur sans l’autorisation écrite spécifique préalable du responsable du traitement. L’importateur de données soumet la demande d’autorisation spécifique au moins [précisez le délai] avant le recrutement du sous-traitant ultérieur, avec les informations nécessaires pour permettre au responsable du traitement de se prononcer sur l’autorisation. Il informe l’exportateur de données de ce recrutement La liste des sous-traitants ultérieurs déjà autorisés par le responsable du traitement est disponible à l’annexe III. Les parties tiennent cette annexe à jour. OPTION 2: AUTORISATION ÉCRITE GÉNÉRALE — L’importateur de données a l’autorisation générale du responsable du traitement de recruter un ou plusieurs sous-traitants ultérieurs à partir d’une liste arrêtée d’un commun accord. L’importateur de données informe expressément par écrit le responsable du traitement de tout changement concernant l’ajout ou le remplacement de sous-traitants ultérieurs qu’il est prévu d’apporter à cette liste au moins [précisez le délai] à l’avance, donnant ainsi au responsable du traitement suffisamment de temps pour émettre des objections à l’encontre de ces changements avant le recrutement du ou des sous-traitants ultérieurs. L’importateur de données fournit au responsable du traitement les informations nécessaires pour permettre à ce dernier d’exercer son droit d’émettre des objections. L’importateur de données informe l’exportateur de données du recrutement du ou des sous-traitants ultérieurs. |
|
b) |
Lorsque l’importateur de données recrute un sous-traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte du responsable du traitement), il le fait au moyen d’un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l’importateur de données en vertu des présentes clauses, notamment en ce qui concerne les droits du tiers bénéficiaire pour les personnes concernées (9). Les parties conviennent qu’en respectant la présente clause, l’importateur de données satisfait aux obligations qui lui incombent en vertu de la clause 8.8. L’importateur de données veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu des présentes clauses. |
|
c) |
L’importateur de données fournit sur demande, à l’exportateur de données ou au responsable du traitement, une copie du contrat avec le sous-traitant ultérieur et de ses éventuelles modifications ultérieures. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les données à caractère personnel, l’importateur de données peut occulter une partie du texte du contrat avant d’en communiquer une copie. |
|
d) |
L’importateur de données reste pleinement responsable à l’égard de l’exportateur de données de l’exécution des obligations qui incombent au sous-traitant ultérieur en vertu du contrat qu’il a conclu avec lui. L’importateur de données notifie à l’exportateur de données tout manquement du sous-traitant ultérieur aux obligations qui lui incombent en vertu dudit contrat. |
|
e) |
L’importateur de données convient avec le sous-traitant ultérieur d’une clause du tiers bénéficiaire en vertu de laquelle, dans les cas où l’importateur de données a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable, l’exportateur de données a le droit de résilier le contrat du sous-traitant ultérieur et de donner instruction à ce dernier d’effacer ou de restituer les données à caractère personnel. |
Clause 10
Droits des personnes concernées
MODULE 1: transfert de responsable du traitement à responsable du traitement
|
a) |
L’importateur de données, si nécessaire avec l’aide de l’exportateur de données, traite, dans les meilleurs délais et au plus tard dans un délai d’un mois à compter de leur réception, toutes les demandes de renseignements ainsi que les autres demandes émanant d’une personne concernée et portant sur le traitement de ses données à caractère personnel et l’exercice de ses droits au titre des présentes clauses (10). L’importateur de données prend des mesures appropriées pour faciliter ces demandes de renseignements, ces autres demandes et l’exercice des droits de la personne concernée. Toute information fournie à la personne concernée est présentée sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. |
|
b) |
En particulier, à la demande de la personne concernée et gratuitement, l’importateur de données:
|
|
c) |
Si l’importateur de données traite les données à caractère personnel à des fins de prospection directe, il cesse de les traiter à de telles fins si la personne concernée s’y oppose. |
|
d) |
L’importateur de données ne prend pas de décision fondée exclusivement sur le traitement automatisé des données à caractère personnel transférées (ci-après la «décision automatisée») qui produirait des effets juridiques à l’égard de la personne concernée ou l’affecterait de manière significative de façon similaire, sauf avec le consentement explicite de celle-ci ou s’il y est autorisé par la législation du pays de destination, à condition que cette législation prévoie des mesures appropriées pour la sauvegarde des droits et des intérêts légitimes de la personne concernée. Dans ce cas, l’importateur de données, si nécessaire en coopération avec l’exportateur de données:
|
|
e) |
Lorsque les demandes d’une personne concernée sont excessives, du fait, notamment, de leur caractère répétitif, l’importateur de données peut soit exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs liés à l’acceptation de la demande, soit refuser de donner suite à cette dernière. |
|
f) |
L’importateur de données peut refuser une demande d’une personne concernée si ce refus est autorisé par la législation du pays de destination et est nécessaire et proportionné dans une société démocratique pour protéger un des objectifs énumérés à l’article 23, paragraphe 1, du règlement (UE) 2016/679. |
|
g) |
Si l’importateur de données a l’intention de refuser la demande d’une personne concernée, il informe cette dernière des motifs du refus et de la possibilité d’introduire une réclamation auprès de l’autorité de contrôle compétente et/ou de former un recours juridictionnel. |
MODULE 2: transfert de responsable du traitement à sous-traitant
|
a) |
L’importateur de données informe rapidement l’exportateur de données de toute demande reçue d’une personne concernée. Il ne répond pas lui-même à cette demande, à moins d’y avoir été autorisé par l’exportateur de données. |
|
b) |
L’importateur de données aide l’exportateur de données à s’acquitter de son obligation de répondre aux demandes de personnes concernées désireuses d’exercer leurs droits en vertu du règlement (UE) 2016/679. À cet égard, les parties indiquent à l’annexe II les mesures techniques et organisationnelles appropriées, compte tenu de la nature du traitement, au moyen desquelles l’aide sera fournie, ainsi que la portée et l’étendue de l’aide requise. |
|
c) |
Lorsqu’il s’acquitte des obligations qui lui incombent en vertu des paragraphes a) et b), l’importateur de données se conforme aux instructions de l’exportateur de données. |
MODULE 3: transfert de sous-traitant à sous-traitant
|
a) |
L’importateur de données informe sans délai l’exportateur de données et, s’il y a lieu, le responsable du traitement de toute demande reçue d’une personne concernée, mais n’y répond pas à moins d’y avoir été autorisé par le responsable du traitement. |
|
b) |
L’importateur de données aide, si nécessaire en coopération avec l’exportateur de données, le responsable du traitement à s’acquitter de son obligation de répondre aux demandes de personnes concernées désireuses d’exercer leurs droits en vertu du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas. À cet égard, les parties indiquent à l’annexe II les mesures techniques et organisationnelles appropriées, compte tenu de la nature du traitement, au moyen desquelles l’aide sera fournie, ainsi que la portée et l’étendue de l’aide requise. |
|
c) |
Lorsqu’il s’acquitte des obligations qui lui incombent en vertu des paragraphes a) et b), l’importateur de données se conforme aux instructions du responsable du traitement, telles qu’elles lui ont été communiquées par l’exportateur de données. |
MODULE 4: transfert de sous-traitant à responsable du traitement
Les parties se prêtent mutuellement assistance pour répondre aux demandes de renseignements et aux autres demandes formulées par les personnes concernées en vertu de la législation locale applicable à l’importateur de données ou, en cas de traitement par l’exportateur de données dans l’Union, en vertu du règlement (UE) 2016/679.
Clause 11
Voies de recours
|
a) |
L’importateur de données informe les personnes concernées, sous une forme transparente et aisément accessible, au moyen d’une notification individuelle ou sur son site web, d’un point de contact autorisé à traiter les réclamations. Il traite sans délai toute réclamation reçue d’une personne concernée. [OPTION: L’importateur de données convient que les personnes concernées peuvent également introduire, sans frais, une réclamation auprès d’un organe de règlement des litiges indépendant (11). Il informe les personnes concernées, de la manière indiquée au paragraphe a), de ce mécanisme de recours et du fait qu’elles ne sont pas tenues d’y recourir ni de respecter une hiérarchie dans les recours.] |
MODULE 1: transfert de responsable du traitement à responsable du traitement
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3: transfert de sous-traitant à sous-traitant
|
b) |
En cas de litige entre une personne concernée et l’une des parties portant sur le respect des présentes clauses, cette partie met tout en œuvre pour parvenir à un règlement à l’amiable dans les meilleurs délais. Les parties se tiennent mutuellement informées de ces litiges et, s’il y a lieu, coopèrent pour les résoudre. |
|
c) |
Lorsque la personne concernée invoque un droit du tiers bénéficiaire en vertu de la clause 3, l’importateur de données accepte la décision de la personne concernée:
|
|
d) |
Les parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions énoncées à l’article 80, paragraphe 1, du règlement (UE) 2016/679. |
|
e) |
L’importateur de données se conforme à une décision qui est contraignante en vertu du droit applicable de l’Union ou d’un État membre. |
|
f) |
L’importateur de données convient que le choix effectué par la personne concernée ne remettra pas en cause le droit procédural et matériel de cette dernière d’obtenir réparation conformément à la législation applicable. |
Clause 12
Responsabilité
MODULE 1: transfert de responsable du traitement à responsable du traitement
MODULE 4: transfert de sous-traitant à responsable du traitement
|
a) |
Chaque partie est responsable envers la ou les autres parties de tout dommage qu’elle cause à l’autre ou aux autres parties du fait d’un manquement aux présentes clauses. |
|
b) |
Chaque partie est responsable à l’égard de la personne concernée, et la personne concernée a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par une partie du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses. Ceci est sans préjudice de la responsabilité de l’exportateur de données en vertu du règlement (UE) 2016/679. |
|
c) |
Lorsque plusieurs parties sont responsables d’un dommage causé à la personne concernée du fait d’une violation des présentes clauses, toutes les parties responsables le sont conjointement et solidairement et la personne concernée a le droit d’intenter une action en justice contre n’importe laquelle de ces parties. |
|
d) |
Les parties conviennent que, si la responsabilité d’une d’entre elles est reconnue en vertu du paragraphe c), celle-ci est en droit de réclamer auprès de l’autre ou des autres parties la part de la réparation correspondant à sa/leur part de responsabilité dans le dommage. |
|
e) |
L’importateur de données ne peut invoquer le comportement d’un sous-traitant ou d’un sous-traitant ultérieur pour échapper à sa propre responsabilité. |
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3: transfert de sous-traitant à sous-traitant
|
a) |
Chaque partie est responsable envers la ou les autres parties des dommages qu’elle cause à l’autre ou aux autres parties du fait d’un manquement aux présentes clauses. |
|
b) |
L’importateur de données est responsable à l’égard de la personne concernée, et la personne concernée a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’importateur de données ou son sous-traitant ultérieur du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses. |
|
c) |
Nonobstant le paragraphe b), l’exportateur de données est responsable à l’égard de la personne concernée et celle-ci a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’exportateur de données ou l’importateur de données (ou son sous-traitant ultérieur) du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses. Ceci est sans préjudice de la responsabilité de l’exportateur de données et, si l’exportateur de données est un sous-traitant agissant pour le compte d’un responsable du traitement, de la responsabilité de ce dernier au titre du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas. |
|
d) |
Les parties conviennent que, si l’exportateur de données est reconnu responsable, en vertu du paragraphe c), du dommage causé par l’importateur de données (ou son sous-traitant ultérieur), il a le droit de réclamer auprès de l’importateur de données la part de la réparation correspondant à la responsabilité de celui-ci dans le dommage. |
|
e) |
Lorsque plusieurs parties sont responsables d’un dommage causé à la personne concernée du fait d’une violation des présentes clauses, toutes les parties responsables le sont conjointement et solidairement et la personne concernée a le droit d’intenter une action en justice contre n’importe laquelle de ces parties. |
|
f) |
Les parties conviennent que, si la responsabilité d’une d’entre elles est reconnue en vertu du paragraphe e), celle-ci a le droit de réclamer auprès de l’autre ou des autres parties la part de la réparation correspondant à sa/leur responsabilité dans le dommage. |
|
g) |
L’importateur de données ne peut invoquer le comportement d’un sous-traitant ultérieur pour échapper à sa propre responsabilité. |
Clause 13
Contrôle
MODULE 1: transfert de responsable du traitement à responsable du traitement
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3: transfert de sous-traitant à sous-traitant
|
a) |
[Si l’exportateur de données est établi dans un État membre de l’Union:] L’autorité de contrôle chargée de garantir le respect, par l’exportateur de données, du règlement (UE) 2016/679 en ce qui concerne le transfert de données, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité de contrôle compétente. [Si l’exportateur de données n’est pas établi dans un État membre de l’Union, mais relève du champ d’application territorial du règlement (UE) 2016/679 en vertu de son article 3, paragraphe 2, et a désigné un représentant en vertu de l’article 27, paragraphe 1, dudit règlement:] L’autorité de contrôle de l’État membre dans lequel le représentant au sens de l’article 27, paragraphe 1, du règlement (UE) 2016/679 est établi, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité de contrôle compétente. [Si l’exportateur de données n’est pas établi dans un État membre de l’Union, mais relève du champ d’application territorial du règlement (UE) 2016/679 en vertu de son article 3, paragraphe 2 sans toutefois avoir à désigner un représentant en vertu de l’article 27, paragraphe 2, du règlement (UE) 2016/679:] L’autorité de contrôle d’un des États membres dans lesquels se trouvent les personnes concernées dont les données à caractère personnel sont transférées au titre des présentes clauses en lien avec l’offre de biens ou de services ou dont le comportement fait l’objet d’un suivi, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité compétente. |
|
b) |
L’importateur de données accepte de se soumettre à la juridiction de l’autorité de contrôle compétente et de coopérer avec elle dans le cadre de toute procédure visant à garantir le respect des présentes clauses. En particulier, l’importateur de données accepte de répondre aux demandes de renseignements, de se soumettre à des audits et de se conformer aux mesures adoptées par l’autorité de contrôle, notamment aux mesures correctrices et compensatoires. Il confirme par écrit à l’autorité de contrôle que les mesures nécessaires ont été prises. |
SECTION III — LÉGISLATIONS LOCALES ET OBLIGATIONS EN CAS D’ACCÈS DES AUTORITÉS PUBLIQUES
Clause 14
Législations et pratiques locales ayant une incidence sur le respect des clauses
MODULE 1: transfert de responsable du traitement à responsable du traitement
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3: transfert de sous-traitant à sous-traitant
MODULE 4: transfert de sous-traitant à responsable du traitement (lorsque le sous-traitant de l’Union combine les données à caractère personnel reçues du responsable du traitement du pays tiers et des données à caractère personnel qu’il a collectées dans l’Union)
|
a) |
Les parties garantissent qu’elles n’ont aucune raison de croire que la législation et les pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l’importateur de données, notamment les exigences en matière de divulgation de données à caractère personnel ou les mesures autorisant l’accès des autorités publiques à ces données, empêchent l’importateur de données de s’acquitter des obligations qui lui incombent en vertu des présentes clauses. Cette disposition repose sur l’idée que les législations et les pratiques qui respectent l’essence des libertés et droits fondamentaux et qui n’excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour préserver un des objectifs énumérés à l’article 23, paragraphe 1, du règlement (UE) 2016/679 ne sont pas en contradiction avec les présentes clauses. |
|
b) |
Les parties déclarent qu’en fournissant la garantie mentionnée au paragraphe a), elles ont dûment tenu compte, en particulier, des éléments suivants:
|
|
c) |
L’importateur de données garantit que, lors de l’évaluation au titre du paragraphe b), il a déployé tous les efforts possibles pour fournir des informations pertinentes à l’exportateur de données et convient qu’il continuera à coopérer avec ce dernier pour garantir le respect des présentes clauses. |
|
d) |
Les parties conviennent de conserver une trace documentaire de l’évaluation au titre du paragraphe b) et de mettre cette évaluation à la disposition de l’autorité de contrôle compétente si celle-ci en fait la demande. |
|
e) |
L’importateur de données accepte d’informer sans délai l’exportateur de données si, après avoir souscrit aux présentes clauses et pendant la durée du contrat, il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences du paragraphe a), notamment à la suite d’une modification de la législation du pays tiers ou d’une mesure (telle qu’une demande de divulgation) indiquant une application pratique de cette législation qui n’est pas conforme aux exigences du paragraphe a). [Pour le module 3: l’exportateur de données transmet la notification au responsable du traitement.] |
|
f) |
À la suite d’une notification au titre du paragraphe e), ou si l’exportateur de données a d’autres raisons de croire que l’importateur de données ne peut plus s’acquitter des obligations qui lui incombent en vertu des présentes clauses, l’exportateur de données définit sans délai les mesures appropriées (par exemple des mesures techniques ou organisationnelles visant à garantir la sécurité et la confidentialité) qu’il doit adopter et/ou qui doivent être adoptées par l’importateur de données pour remédier à la situation, [pour le module 3:, si nécessaire en concertation avec le responsable du traitement]. L’exportateur de données suspend le transfert de données s’il estime qu’aucune garantie appropriée ne peut être fournie pour ce transfert ou si [pour le module 3: le responsable du traitement ou] l’autorité de contrôle compétente lui en donne [pour le module 3: donnent] l’instruction. Dans ce cas, l’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement. Lorsque le contrat est résilié en vertu de la présente clause, la clause 16, paragraphes d) et e), s’applique. |
Clause 15
Obligations de l’importateur de données en cas d’accès des autorités publiques
MODULE 1: transfert de responsable du traitement à responsable du traitement
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3: transfert de sous-traitant à sous-traitant
MODULE 4: transfert de sous-traitant à responsable du traitement (lorsque le sous-traitant de l’Union combine les données à caractère personnel reçues du responsable du traitement du pays tiers et des données à caractère personnel qu’il a collectées dans l’Union)
15.1. Notification
|
a) |
L’importateur de données convient d’informer sans délai l’exportateur de données et, si possible, la personne concernée (si nécessaire avec l’aide de l’exportateur de données):
[Pour le module 3: L’exportateur de données transmet la notification au responsable du traitement.] |
|
b) |
Si la législation du pays de destination interdit à l’importateur de données d’informer l’exportateur de données et/ou la personne concernée, l’importateur de données convient de tout mettre en œuvre pour obtenir une levée de cette interdiction, en vue de communiquer autant d’informations que possible, dans les meilleurs délais. L’importateur de données accepte de garder une trace documentaire des efforts qu’il a déployés afin de pouvoir en apporter la preuve à l’exportateur de données, si celui-ci lui en fait la demande. |
|
c) |
Lorsque la législation du pays de destination le permet, l’importateur de données accepte de fournir à l’exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d’informations utiles que possible sur les demandes reçues (notamment le nombre de demandes, le type de données demandées, la ou les autorités requérantes, la contestation ou non des demandes et l’issue de ces contestations, etc.). [Pour le module 3: L’exportateur de données transmet les informations au responsable du traitement.] |
|
d) |
L’importateur de données accepte de conserver les informations mentionnées aux paragraphes a) à c) pendant la durée du contrat et de les mettre à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande. |
|
e) |
Les paragraphes a) à c) sont sans préjudice de l’obligation incombant à l’importateur de données, en vertu de la clause 14, paragraphe e), et de la clause 16, d’informer sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses. |
15.2. Contrôle de la légalité et minimisation des données
|
a) |
L’importateur de données accepte de contrôler la légalité de la demande de divulgation, en particulier de vérifier si elle s’inscrit dans les limites des pouvoirs conférés à l’autorité publique requérante, et de la contester si, après une évaluation minutieuse, il conclut qu’il existe des motifs raisonnables de considérer qu’elle est illégale en vertu de la législation du pays de destination, des obligations applicables en vertu du droit international et des principes de courtoisie internationale. L’importateur de données exerce les possibilités d’appel ultérieures dans les mêmes conditions. Lorsqu’il conteste une demande, l’importateur de données demande des mesures provisoires visant à suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente se prononce sur son bien-fondé. Il ne divulgue pas les données à caractère personnel demandées tant qu’il n’est pas obligé de le faire en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations incombant à l’importateur de données en vertu de la clause 14, paragraphe e). |
|
b) |
L’importateur de données accepte de garder une trace documentaire de son évaluation juridique ainsi que de toute contestation de la demande de divulgation et, dans la mesure où la législation du pays de destination le permet, de mettre les documents concernés à la disposition de l’exportateur de données. Il les met également à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande. [Pour le module 3: L’exportateur de données met l’évaluation à la disposition du responsable du traitement.] |
|
c) |
L’importateur de données accepte de fournir le minimum d’informations autorisé lorsqu’il répond à une demande de divulgation, sur la base d’une interprétation raisonnable de la demande. |
SECTION IV — DISPOSITIONS FINALES
Clause 16
Non-respect des clauses et résiliation
|
a) |
L’importateur de données informe sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses, quelle qu’en soit la raison. |
|
b) |
Dans le cas où l’importateur de données enfreint les présentes clauses ou n’est pas en mesure de les respecter, l’exportateur de données suspend le transfert de données à caractère personnel à l’importateur de données jusqu’à ce que le respect des présentes clauses soit à nouveau garanti ou que le contrat soit résilié. Ceci est sans préjudice de la clause 14, paragraphe f). |
|
c) |
L’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses, lorsque:
Dans ces cas, il informe l’autorité de contrôle compétente [pour le module 3: et le responsable du traitement] de ce non-respect. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement. |
|
d) |
[Pour les modules 1, 2 et 3: Les données à caractère personnel qui ont été transférées avant la résiliation du contrat au titre du paragraphe c) sont immédiatement restituées à l’exportateur de données ou effacées dans leur intégralité, à la convenance de celui-ci. Il en va de même pour toute copie des données.] [Pour le module 4: Les données à caractère personnel collectées par l’exportateur de données dans l’Union qui ont été transférées avant la résiliation du contrat au titre du paragraphe c), ainsi que toute copie de celles-ci, sont immédiatement effacées dans leur intégralité.] L’importateur de données apporte la preuve de l’effacement des données à l’exportateur de données. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel transférées, ce dernier garantit qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données que dans la mesure où et aussi longtemps que cette législation locale l’exige. |
|
e) |
Chaque partie peut révoquer son consentement à être liée par les présentes clauses i) si la Commission européenne adopte une décision en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auquel les présentes clauses s’appliquent; ou ii) si le règlement (UE) 2016/679 est intégré dans le cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Ceci est sans préjudice des autres obligations qui s’appliquent au traitement en question en vertu du règlement (UE) 2016/679. |
Clause 17
Droit applicable
MODULE 1: transfert de responsable du traitement à responsable du traitement
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3: transfert de sous-traitant à sous-traitant
[OPTION 1: Les présentes clauses sont régies par le droit d’un des États membres de l’Union européenne, pour autant que ce droit reconnaisse des droits au tiers bénéficiaire. Les parties conviennent qu’il s’agit du droit de/du/de la _______ (précisez l’État membre).]
[OPTION 2 (pour les modules 2 et 3): Les présentes clauses sont régies par le droit de l’État membre de l’Union européenne dans lequel l’exportateur de données est établi. Si ce droit ne reconnaît pas de droits au tiers bénéficiaire, les clauses sont régies par le droit d’un autre État membre de l’Union européenne qui reconnaît de tels droits. Les parties conviennent qu’il s’agit du droit de/du/de la _______ (précisez l’État membre).]
MODULE 4: transfert de sous-traitant à responsable du traitement
Les présentes clauses sont régies par le droit d’un pays qui reconnaît des droits au tiers bénéficiaire. Les parties conviennent qu’il s’agit du droit de/du/de la _______ (précisez l’État membre).]
Clause 18
Élection de for et juridiction
MODULE 1: transfert de responsable du traitement à responsable du traitement
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3: transfert de sous-traitant à sous-traitant
|
a) |
Tout litige survenant du fait des présentes clauses est tranché par les juridictions d’un État membre de l’Union européenne. |
|
b) |
Les parties conviennent qu’il s’agit des juridictions de/du/de la _____ (précisez l’État membre). |
|
c) |
La personne concernée peut également poursuivre l’exportateur et/ou l’importateur de données devant les juridictions de l’État membre dans lequel elle a sa résidence habituelle. |
|
d) |
Les parties acceptent de se soumettre à la compétence de ces juridictions. |
MODULE 4: transfert de sous-traitant à responsable du traitement
|
|
Tout litige survenant du fait des présentes clauses est tranché par les juridictions de/du/de la _____ (précisez l’État membre). |
(1) Si l’exportateur de données est un sous-traitant soumis au règlement (UE) 2016/679 agissant pour le compte d’une institution ou d’un organe de l’Union en tant que responsable du traitement, le recours aux présentes clauses lors du recrutement d’un autre sous-traitant (sous-traitance ultérieure) qui n’est pas soumis au règlement (UE) 2016/679 garantit également le respect de l’article 29, paragraphe 4, du règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39), dans la mesure où les présentes clauses et les obligations en matière de protection des données fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant conformément à l’article 29, paragraphe 3, du règlement (UE) 2018/1725 sont alignées. Ce sera en particulier le cas lorsque le responsable du traitement et le sous-traitant se fondent sur les clauses contractuelles types qui figurent dans la décision 2021/915.
(2) Cela nécessite de rendre les données anonymes de telle manière que la personne ne soit plus identifiable par qui que ce soit, conformément au considérant 26 du règlement (UE) 2016/679, et que ce processus soit irréversible.
(3) L’accord sur l’Espace économique européen (accord EEE) prévoit l’extension du marché intérieur de l’Union européenne aux trois pays de l’EEE que sont l’Islande, le Liechtenstein et la Norvège. La législation de l’Union en matière de protection des données, notamment le règlement (UE) 2016/679, est couverte par l’accord EEE et a été intégrée dans l’annexe XI de celui-ci. Dès lors, une divulgation par l’importateur de données à un tiers situé dans l’EEE ne peut être qualifiée de transfert ultérieur aux fins des présentes clauses.
(4) L’accord sur l’Espace économique européen (accord EEE) prévoit l’extension du marché intérieur de l’Union européenne aux trois pays de l’EEE que sont l’Islande, le Liechtenstein et la Norvège. La législation de l’Union en matière de protection des données, notamment le règlement (UE) 2016/679, est couverte par l’accord EEE et a été intégrée dans l’annexe XI de celui-ci. Dès lors, une divulgation par l’importateur de données à un tiers situé dans l’EEE ne peut être qualifiée de transfert ultérieur aux fins des présentes clauses.
(5) Voir l’article 28, paragraphe 4, du règlement (UE) 2016/679 et, lorsque le responsable du traitement est une institution ou un organe de l’Union, l’article 29, paragraphe 4, du règlement (UE) 2018/1725.
(6) L’accord sur l’Espace économique européen (accord EEE) prévoit l’extension du marché intérieur de l’Union européenne aux trois pays de l’EEE que sont l’Islande, le Liechtenstein et la Norvège. La législation de l’Union en matière de protection des données, notamment le règlement (UE) 2016/679, est couverte par l’accord EEE et a été intégrée dans l’annexe XI de celui-ci. Dès lors, une divulgation par l’importateur de données à un tiers situé dans l’EEE ne peut être qualifiée de transfert ultérieur aux fins des présentes clauses.
(7) Il s’agit notamment de savoir si le transfert et le traitement ultérieur portent sur des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, des données génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne, ou des données relatives à des condamnations pénales ou à des infractions.
(8) Cette exigence peut être satisfaite par l’adhésion du sous-traitant ultérieur aux présentes clauses en vertu du module approprié, conformément à la clause 7.
(9) Cette exigence peut être satisfaite par l’adhésion du sous-traitant ultérieur aux présentes clauses en vertu du module approprié, conformément à la clause 7.
(10) Ce délai peut être prolongé de deux mois maximum, dans la mesure nécessaire compte tenu de la complexité des demandes et de leur nombre. L’importateur de données informe dûment et rapidement la personne concernée de cette prolongation.
(11) L’importateur de données ne peut proposer un règlement des litiges indépendant par une instance d’arbitrage que s’il est établi dans un pays qui a ratifié la convention de New York pour la reconnaissance et l’exécution des sentences arbitrales étrangères.
(12) En ce qui concerne l’incidence de ces législations et pratiques sur le respect des présentes clauses, différents éléments peuvent être considérés comme faisant partie d’une évaluation globale. Ces éléments peuvent inclure une expérience concrète, documentée et pertinente de cas antérieurs de demandes de divulgation émanant d’autorités publiques, ou l’absence de telles demandes, couvrant un laps de temps suffisamment représentatif. Il peut s’agir de registres internes ou d’autres documents établis de manière continue conformément au principe de diligence raisonnable et certifiés à un niveau hiérarchique élevé, pour autant que ces informations puissent être partagées légalement avec des tiers. Lorsque cette expérience pratique est invoquée pour conclure que l’importateur de données ne sera pas empêché de respecter les présentes clauses, il y a lieu de l’étayer par d’autres éléments pertinents et objectifs, et il appartient aux parties d’examiner avec soin si ces éléments, pris dans leur ensemble, ont un poids suffisant, du point de vue de leur fiabilité et de leur représentativité, pour soutenir cette conclusion. En particulier, les parties doivent s’assurer que leur expérience pratique est corroborée et non contredite par des informations fiables accessibles au public ou disponibles d’une autre manière sur l’existence ou l’absence de demandes dans le même secteur et/ou sur l’application pratique du droit, comme la jurisprudence et les rapports d’organes de contrôle indépendants.
APPENDICE
NOTE EXPLICATIVE:
Il doit être possible de distinguer clairement les informations applicables à chaque transfert ou catégorie de transferts et, à cet égard, de déterminer le ou les rôles respectifs des parties en tant qu’exportateur(s) et/ou importateur(s) de données. Il n’est pas forcément nécessaire de remplir et de signer des appendices distincts pour chaque transfert/catégorie de transferts et/ou relation contractuelle, si cette transparence peut être garantie au moyen d’un seul appendice. Toutefois, si cela est nécessaire pour garantir une clarté suffisante, il convient d’utiliser des appendices distincts.
ANNEXE I
A. LISTE DES PARTIES
MODULE 1: transfert de responsable du traitement à responsable du traitement
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3: transfert de sous-traitant à sous-traitant
MODULE 4: transfert de sous-traitant à responsable du traitement
Exportateur(s) de données: [Identité et coordonnées du ou des exportateurs de données et, le cas échéant, de leur délégué à la protection des données et/ou de leur représentant dans l’Union européenne]
|
1. |
Nom: …
Adresse: … Nom, fonction et coordonnées de la personne de contact: … Activités en rapport avec les données transférées au titre des présentes clauses: … Signature et date: … Rôle (responsable du traitement/sous-traitant): … |
|
2. |
… |
Importateur(s) de données: [Identité et coordonnées du ou des importateurs de données, y compris de toute personne de contact chargée de la protection des données]
|
1. |
Nom: …
Adresse: … Nom, fonction et coordonnées de la personne de contact: … Activités en rapport avec les données transférées au titre des présentes clauses: … Signature et date: … Rôle (responsable du traitement/sous-traitant): … |
|
2. |
… |
B. DESCRIPTION DU TRANSFERT
MODULE 1: transfert de responsable du traitement à responsable du traitement
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3: transfert de sous-traitant à sous-traitant
MODULE 4: transfert de sous-traitant à responsable du traitement
Catégories de personnes concernées dont les données à caractère personnel sont transférées
…
Catégories de données à caractère personnel transférées
…
Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, telles que la limitation stricte des finalités, les restrictions d’accès (notamment l’accès réservé au personnel ayant suivi une formation spécialisée), la tenue d’un registre d’accès aux données, les restrictions applicables aux transferts ultérieurs ou les mesures de sécurité supplémentaires.
…
Fréquence du transfert (indiquez, par exemple, si les données sont transférées sur une base ponctuelle ou continue).
…
Nature du traitement
…
Finalité(s) du transfert et du traitement ultérieur des données
…
Durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, critères utilisés pour déterminer cette durée
…
Pour les transferts à des sous-traitants (ultérieurs), veuillez également préciser l’objet, la nature et la durée du traitement
…
C. AUTORITÉ DE CONTRÔLE COMPÉTENTE
MODULE 1: transfert de responsable du traitement à responsable du traitement
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3: transfert de sous-traitant à sous-traitant
Indiquez la ou les autorités de contrôle compétentes conformément à la clause 13
…
ANNEXE II
MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES
MODULE 1: transfert de responsable du traitement à responsable du traitement
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3: transfert de sous-traitant à sous-traitant
NOTE EXPLICATIVE:
Les mesures techniques et organisationnelles doivent être décrites en termes spécifiques (et non généraux). Voir également le commentaire général à la première page de l’appendice, en particulier en ce qui concerne la nécessité d’indiquer clairement les mesures qui s’appliquent à chaque transfert/ensemble de transferts.
Description des mesures techniques et organisationnelles mises en œuvre par le ou les importateurs de données (y compris toute certification pertinente) pour garantir un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.
[Exemples de mesures possibles:
Mesures de pseudonymisation et de chiffrement des données à caractère personnel
Mesures visant à garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement
Mesures garantissant de disposer de moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique
Procédures visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles afin de garantir la sécurité du traitement
Mesures d’identification et d’autorisation de l’utilisateur
Mesures de protection des données pendant la transmission
Mesures de protection des données pendant le stockage
Mesures visant à garantir la sécurité physique des lieux où les données à caractère personnel sont traitées
Mesures visant à garantir la journalisation des événements
Mesures visant à garantir la configuration du système, notamment la configuration par défaut
Mesures pour la gouvernance et la gestion de l’informatique interne et de la sécurité informatique
Mesures de certification/assurance des processus et des produits
Mesures visant à garantir la minimisation des données
Mesures visant à garantir la qualité des données
Mesures visant à garantir une conservation limitée des données
Mesures visant à garantir la reddition de comptes
Mesures visant à permettre la portabilité des données et à garantir l’effacement]
Pour les transferts vers des sous-traitants (ultérieurs), veuillez également décrire les mesures techniques et organisationnelles que le sous-traitant (ultérieur) doit prendre pour être en mesure d’aider le responsable du traitement et, pour les transferts d’un sous-traitant à un sous-traitant ultérieur, l’exportateur de données
ANNEXE III
LISTE DES SOUS-TRAITANTS ULTÉRIEURS
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3: transfert de sous-traitant à sous-traitant
NOTE EXPLICATIVE:
La présente annexe doit être remplie pour les modules 2 et 3, en cas d’autorisation spécifique de sous-traitants ultérieurs [clause 9, paragraphe a), option 1]
Le responsable du traitement a autorisé le recours aux sous-traitants ultérieurs suivants:
|
1. |
Nom: …
Adresse: … Nom, fonction et coordonnées de la personne de contact: … Description du traitement (y compris une délimitation claire des responsabilités si plusieurs sous-traitants ultérieurs sont autorisés): … |
|
2. |
… |