Avenants 1 et 2 : Clauses contractuelles types et avenant concernant le transfert international de données

AVENANT 1

CLAUSES CONTRACTUELLES TYPES à partir de 2021 (« CCT 2021 »)

Cet avenant 2 est joint et intégré par référence au DPA entre UserTesting et le client et s'applique dans la mesure où UserTesting traite les données personnelles du client en votre nom en tant que client. Les termes en majuscules auront la même signification que celle dans le DPA. Les parties s'entendent sur les Clauses Contractuelles Types (« CCT ») suivantes afin d'établir des garanties adéquates en ce qui concerne la protection de la vie privée et des libertés et droits fondamentaux des personnes pour le transfert des Données Personnelles du Client spécifiées à l'Annexe I.

PARTIE I

Article 1

Objet et portée

(a) Les présentes clauses contractuelles types ont pour objet d'assurer le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et sur la libre circulation de ces données (Règlement Général sur la Protection des Données) pour le transfert de données personnelles vers un pays tiers.

(b) Les Parties :

(i) la ou les personne(s) physique(s) ou morale(s), autorité(s) publique(s), agence(s) ou autre(s) organisme(s) (ci-après « entité(s) ») transférant les données à caractère personnel, telles qu'énumérées à l'annexe I.A (ci-après chaque « exportateur de données » ), et

(ii) la ou les entité(s) d'un pays tiers recevant les données à caractère personnel de l'exportateur de données, directement ou indirectement via une autre entité également Partie aux présentes clauses, comme indiqué à l'annexe I.A (ci-après chaque « importateur de données ») ont accepté ces clauses contractuelles types (ci-après : « Clauses »).

(c) Ces clauses s'appliquent au transfert de données à caractère personnel tel que spécifié à l'annexe I.B.

(d) L'Annexe aux présentes Clauses contenant les Annexes auxquelles il est fait référence fait partie intégrante des présentes Clauses.

Article 2

Répercussions et invariabilité des Clauses

(a) Les présentes Clauses établissent des garanties appropriées, y compris des droits exécutoires des personnes concernées et des voies de recours effectives, conformément à l'article 46, paragraphe 1, et à l'article 46, paragraphe 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données de responsables de traitement à sous-traitants et/ou de sous-traitants à sous-traitants, clauses contractuelles types conformément à l'article 28, paragraphe 7, du règlement (UE) 2016/679, à condition qu'elles ne soient pas modifiées, sauf pour sélectionner le(s) module(s) approprié(s) ou pour ajouter ou mettre à jour les informations dans l'Annexe. Cela n'empêche pas les Parties d'inclure les clauses contractuelles types prévues dans les présentes Clauses dans un contrat plus général et/ou d'ajouter d'autres clauses ou garanties supplémentaires, à condition qu'elles ne contredisent pas, directement ou indirectement, ces Clauses ou ne portent pas atteinte aux droits fondamentaux ou aux libertés des personnes concernées.

(b)  Les présentes clauses sont sans préjudice des obligations auxquelles l'exportateur de données est soumis en vertu du règlement (UE) 2016/679.

Article 3

Tiers bénéficiaires

(a)  Les personnes concernées peuvent invoquer et faire appliquer les présentes Clauses, en tant que tiers bénéficiaires, à l'encontre de l'exportateur et/ou de l'importateur de données, avec les exceptions suivantes :

 

 

  • Article 1, Article 2, Article 3, Article 6, Article 7 ;
  • Article 8 – Module Un : Article 8.5 (e) et Article 8.9(b) ; Module 2 : Article 8.1(b), 8.9(a), (c), (d) et (e) ; Module trois : Article 8.1(a), (c) et (d) et Article 8.9(a), (c), (d), (e), (f) et (g) ; Module Quatre : Article 8.1 (b) et Article 8.3 (b) ;
  • Article 9 – Module deux : Article 9(a), (c), (d) et (e) ; Module trois : Article 9(a), (c), (d) et (e) ;
  • Article 12 – Module Un : Article 12(a) et (d) ; Modules deux et trois : Article 12(a), (d) et (f) ; 
  • Article 13 ; 
  • Article 15.1(c), (d) et (e) ; 
  • Article 16(e) ;
  • Article 18 – Modules un, deux et trois : Article 18(a) et (b) ; Module 4 : Article 18.

(b)  Le paragraphe (a) est sans préjudice des droits des personnes concernées en vertu du règlement (UE) 2016/679.

Article 4

Interprétation

(a)  Lorsque les présentes Clauses utilisent des termes qui sont définis dans le Règlement (UE) 2016/679, ces termes ont la même signification que dans ledit Règlement.

(b)  Ces clauses doivent être lues et interprétées dans le contexte des dispositions du règlement (UE) 2016/679.

(c)  Les présentes Clauses ne doivent pas être interprétées de manière contraire aux droits et obligations prévus par le règlement (UE) 2016/679.

Article 5

Hiérarchie

En cas de contradiction entre les présentes Clauses et les dispositions des accords connexes entre les Parties, existant au moment où ces Clauses sont convenues ou conclues par la suite, ces Clauses prévaudront.

Article 6

Description du ou des transferts

Les détails du ou des transferts, et notamment les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles sont transférées, sont précisées à l'Annexe I.B.

Article 7

Clause de quai - optionnel

Non utilisé.

PARTIE II – OBLIGATIONS DES PARTIES

Article 8

Garanties de protection des données

L'exportateur de données garantit qu'il a déployé des efforts nécessaires pour déterminer que l'importateur de données est en mesure, grâce à la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire à ses obligations en vertu des présentes Clauses.

8.1 Directives

(a)  L'importateur de données ne traite les données à caractère personnel que sur directives documentées de l'exportateur de données. L'exportateur de données peut donner de telles directives pendant toute la durée du contrat.

b)  L'importateur de données informe immédiatement l'exportateur de données s'il n'est pas en mesure de suivre ces instructions.

8.2 Limitation des finalités

L'importateur de données ne traite les données à caractère personnel qu'aux fins spécifiques du transfert, comme indiqué à l'Annexe I.B, sauf sur directives supplémentaires de l'exportateur de données.

8.3 Transparence

Sur demande, l'exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes Clauses, y compris l'Annexe complétée par les Parties. Dans la mesure nécessaire pour protéger les secrets commerciaux ou d'autres informations confidentielles, y compris les mesures décrites à l'Annexe II et les données personnelles, l'exportateur de données peut expurger une partie du texte de l'Annexe aux présentes Clauses avant de partager une copie, mais doit fournir une résumé où la personne concernée ne serait autrement pas en mesure de comprendre son contenu ou d'exercer ses droits. Sur demande, les Parties fourniront à la personne concernée les raisons des suppressions, dans la mesure du possible sans révéler les informations supprimées. Cette Clause est sans préjudice des obligations de l'exportateur de données en vertu des articles 13 et 14 du règlement (UE) 2016/679.

8.4 Précision

Si l'importateur de données constate que les données à caractère personnel qu'il a reçues sont inexactes ou sont devenues obsolètes, il en informe l'exportateur de données dans les meilleurs délais. Dans ce cas, l'importateur de données collabore avec l'exportateur de données pour effacer ou rectifier les données.

8.5 Durée du traitement et suppression ou restitution des données

Le traitement par l'importateur de données n'a lieu que pendant la durée spécifiée à l'Annexe I.B. Après la fin de la prestation des services de traitement, l'importateur de données doit, au choix de l'exportateur de données, supprimer toutes les données à caractère personnel traitées pour le compte de l'exportateur de données et certifier à l'exportateur de données qu'il l'a fait, ou retourner à l'exportateur de données toutes les données personnelles traitées en son nom et supprimer les copies existantes. Jusqu'à ce que les données soient supprimées ou restituées, l'importateur de données doit continuer à assurer le respect des présentes Clauses. En cas de législation locale applicable à l'importateur de données qui interdise la restitution ou la suppression des données personnelles, l'importateur de données garantit qu'il continuera à assurer le respect de ces Clauses et ne les traitera que dans la mesure et aussi longtemps que requis en vertu de la législation locale. Ceci est sans préjudice de l'Article 14, en particulier de l'obligation pour l'importateur de données en vertu de l'Article 14(e) d'informer l'exportateur de données pendant toute la durée du contrat s'il a des raisons de croire qu'il est ou est devenu soumis à des lois ou pratiques non conformes aux exigences de l'Article 14(a).

8.6 Sécurité du traitement

(a)  L'importateur de données et, pendant le transfert, également l'exportateur de données mettent en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données, y compris la protection contre une violation de la sécurité entraînant une destruction accidentelle ou illicite, une perte, une altération, une divulgation non autorisée ou l'accès à ces données (ci-après « violation de données à caractère personnel »). Lors de l'évaluation du niveau de sécurité approprié, les Parties tiennent dûment compte de l'état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement ainsi que des risques liés au traitement pour les personnes concernées. Les Parties envisageront notamment de recourir au cryptage ou à la pseudonymisation, y compris lors du transfert, lorsque la finalité du traitement peut être ainsi atteinte. En cas de pseudonymisation, les informations supplémentaires permettant d'attribuer les données personnelles à une personne concernée spécifique resteront, dans la mesure du possible, sous le contrôle exclusif de l'exportateur de données. Pour se conformer à ses obligations au titre du présent paragraphe, l'importateur de données met au moins en œuvre les mesures techniques et organisationnelles précisées à l'Annexe II. L'importateur de données procède à des contrôles réguliers pour s'assurer que ces mesures continuent d'assurer un niveau de sécurité approprié.

(b)  L'importateur de données n'accorde l'accès aux données à caractère personnel aux membres de son personnel que dans la mesure strictement nécessaire à l'exécution, à la gestion et au suivi du contrat. Il veille à ce que les personnes autorisées à traiter les données à caractère personnel se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

(c)  En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l'importateur de données en vertu des présentes Clauses, l'importateur de données doit prendre les mesures appropriées pour remédier à cette violation, y compris des mesures pour atténuer ses répercussions préjudiciables. L'importateur de données informe également l'exportateur de données dans les meilleurs délais après avoir pris connaissance de la violation. Cette notification contient les coordonnées d'une personne à contacter auprès de laquelle des informations supplémentaires peuvent être obtenues, une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d'enregistrements de données à caractère personnel concernés), ses conséquences probables et les mesures prises ou proposées pour remédier à la violation, y compris, le cas échéant, des mesures pour atténuer ses éventuelles répercussions préjudiciables. Lorsque, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations alors disponibles et des informations complémentaires doivent, dès qu'elles deviennent disponibles, être fournies par la suite dans les meilleurs délais.

d)  L'importateur de données collabore avec l'exportateur de données et l'assiste pour lui permettre de se conformer à ses obligations au titre du Règlement (UE) 2016/679, notamment d'informer l'autorité de contrôle compétente et les personnes concernées, en tenant compte de la nature du traitement et des informations dont dispose l'importateur de données.

8.7 Données sensibles

Lorsque le transfert concerne des données à caractère personnel révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance à un syndicat, des données sur la génétique ou des données biométriques aux fins d'identifier de manière unique une personne physique, des données concernant la santé ou la vie sexuelle ou l'orientation sexuelle d'une personne, ou des données relatives à des condamnations pénales et à des infractions (ci-après les « données sensibles »), l'importateur de données applique les restrictions spécifiques et/ou les garanties supplémentaires décrites à l'Annexe I.B.

8.8 Transferts ultérieurs

L'importateur de données ne divulguera les données à caractère personnel à un tiers que sur directives documentées de l'exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l'Union européenne (dans le même pays que l'importateur de données ou dans un autre pays tiers, ci-après « transfert ultérieur ») que si le tiers est conforme ou accepte de se conformer à ces Clauses, sous le module approprié, ou si :

(i)         le transfert ultérieur se fait vers un pays bénéficiant d'une décision d'adéquation en vertu de l'Article 45 du Règlement (UE) 2016/679 qui couvre le transfert ultérieur ;

(ii)        la tierce partie assure par ailleurs des garanties appropriées conformément aux Articles 46 ou 47 du Règlement (UE) 2016/679 en ce qui concerne le traitement en question ;

(iii)       le transfert ultérieur est nécessaire à la mise en place, à l'exercice ou à la défense de droits légaux dans le cadre de procédures administratives, réglementaires ou judiciaires spécifiques ; ou

(iv)       le transfert ultérieur est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique.

Tout transfert ultérieur est soumis au respect par l'importateur de données de toutes les autres garanties prévues par les présentes Clauses, en particulier la limitation des finalités.

8.9 Documents et conformité 

(a)  L'importateur de données doit traiter rapidement et de manière adéquate les demandes de l'exportateur de données relatives au traitement en vertu des présentes Clauses.

(b)  Les Parties doivent être en mesure de démontrer le respect des présentes Clauses. L'importateur de données conserve notamment des documents appropriés concernant les activités de traitement effectuées pour le compte de l'exportateur de données.

(c)  L'importateur de données doit mettre à la disposition de l'exportateur de données toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans les présentes Clauses et, à la demande de l'exportateur de données, permettre et contribuer à des audits des activités de traitement couvertes par les présentes Clauses, à intervalles raisonnables ou s'il y a des indications de non-conformité. Pour décider d'un examen ou d'un audit, l'exportateur de données peut tenir compte des certifications pertinentes détenues par l'importateur de données.

(d)  L'exportateur de données peut choisir de réaliser lui-même l'audit ou de mandater un auditeur indépendant. Les audits peuvent inclure des inspections dans les locaux ou les installations physiques de l'importateur de données et doivent, le cas échéant, être effectués dans un délai raisonnable.

e)  Les parties doivent mettre les informations visées aux paragraphes b) et c), y compris les résultats des audits, à la disposition de l'autorité de contrôle compétente sur demande.

Article 9

Utilisation de sous-processeurs

(a)  L'importateur de données dispose de l'autorisation générale de l'exportateur de données pour engager des sous-traitants ultérieurs à partir d'une liste convenue. L'importateur de données informe spécifiquement l'exportateur de données par écrit de toute modification prévue de cette liste par l'ajout ou le remplacement de sous-traitants ultérieurs au moins 30 jours à l'avance, donnant ainsi à l'exportateur de données suffisamment de temps pour pouvoir s'opposer à ces modifications avant le recrutement du ou des sous-traitants ultérieurs. L'importateur de données fournit à l'exportateur de données les informations nécessaires pour permettre à l'exportateur de données d'exercer son droit d'opposition.

(b)  Lorsque l'importateur de données engage un sous-traitant ultérieur pour effectuer des activités de traitement spécifiques (au nom de l'exportateur de données), il le fait au moyen d'un contrat écrit qui prévoit, pour l'essentiel, les mêmes obligations en matière de protection des données que celles liant l'importateur de données en vertu des présentes Clauses, y compris en termes de droits de tiers bénéficiaires pour les personnes concernées. Les Parties conviennent qu'en se conformant à la présente Clause, l'importateur de données remplit ses obligations en vertu de l'Article 8.8. L'importateur de données doit s'assurer que le sous-traitant respecte les obligations auxquelles l'importateur de données est soumis en vertu des présentes Clauses.

(c)  L'importateur de données doit fournir à l'exportateur de données, à la demande de ce dernier, une copie de cet accord de sous-traitant ultérieur et de toute modification ultérieure. Dans la mesure nécessaire pour protéger les secrets commerciaux ou d'autres informations confidentielles, y compris les données personnelles, l'importateur de données peut expurger le texte de l'accord avant d'en partager une copie.

(d)  L'importateur de données reste entièrement responsable envers l'exportateur de données de l'exécution des obligations du sous-traitant ultérieur en vertu de son contrat avec l'importateur de données. L'importateur de données notifie l'exportateur de données de tout manquement du sous-traitant ultérieur à remplir ses obligations en vertu de ce contrat.

(e)  L'importateur de données doit convenir d'une clause de tiers bénéficiaire avec le sous-traitant ultérieur par laquelle, dans le cas où l'importateur de données a effectivement disparu, a cessé d'exister en droit ou est devenu insolvable, l'exportateur de données a le droit de résilier le contrat du sous-traitant et de demander au sous-traitant ultérieur d'effacer ou de restituer les données personnelles.

Article 10

Droits des personnes concernées

a)  L'importateur de données informe rapidement l'exportateur de données de toute demande qu'il a reçue d'une personne concernée. Il ne répond pas lui-même à cette demande à moins d'y avoir été autorisé par l'exportateur de données.

b)  L'importateur de données aide l'exportateur de données à remplir ses obligations de répondre aux demandes des personnes concernées concernant l'exercice de leurs droits en vertu du règlement (UE) 2016/679. À ce propos, les Parties définissent à l'Annexe II les mesures techniques et organisationnelles appropriées, compte tenu de la nature du traitement par lequel l'assistance est fournie, ainsi que de la portée et de l'étendue de l'assistance requise.

(c)  En s'acquittant de ses obligations en vertu des paragraphes (a) et (b), l'importateur de données doit se conformer aux instructions de l'exportateur de données.

Article 11

Recours

a)  L'importateur de données informe les personnes concernées dans un format transparent et facilement accessible, par une notification individuelle ou sur son site internet, d'une personne à contacter, autorisée à traiter les réclamations. Elle traite immédiatement toute plainte qu'elle reçoit d'une personne concernée.

(b)  En cas de litige entre une personne concernée et l'une des Parties concernant le respect des présentes Clauses, cette Partie s'efforcera de résoudre le problème à l'amiable dans les meilleurs délais. Les Parties se tiennent mutuellement informées de ces différends et, le cas échéant, coopèrent pour les résoudre.

(c)  Lorsque la personne concernée sollicite un droit de tiers bénéficiaire conformément à l'Article 3, l'importateur de données accepte la décision de la personne concernée de :

i. déposer une plainte auprès de l'autorité de contrôle de l'État membre de sa résidence habituelle ou de son lieu de travail, ou auprès de l'autorité de contrôle compétente conformément à l'Article 13 ;

ii. soumettre le litige aux tribunaux compétents en vertu de l'Article 18.

(d)  Les Parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association sans but lucratif dans les conditions prévues à l'article 80, paragraphe 1, du règlement (UE) 2016/679.

(e)  L'importateur de données doit se conformer à une décision qui est exécutoire en vertu de la législation applicable de l'UE ou de l'État membre.

(f)   L'importateur de données accepte que le choix fait par la personne concernée ne portera pas atteinte à ses droits substantiels et procéduraux de demander réparation conformément aux lois applicables.

Article 12

Responsabilité

(a)  Chaque Partie est responsable envers l'autre Partie pour tout dommage causé à l'autre Partie(s) en cas de violation des présentes Clauses.

(b)  L'importateur de données est responsable envers la personne concernée, et la personne concernée a le droit de recevoir une indemnisation, pour tout dommage matériel ou immatériel que l'importateur de données ou son sous-traitant ultérieur lui cause en enfreignant les droits de la tierce partie bénéficiaire en vertu des présentes Clauses.

(c) Nonobstant le paragraphe (b), l'exportateur de données est responsable envers la personne concernée, et la personne concernée a le droit de recevoir une indemnisation, pour tout dommage matériel ou immatériel que l'exportateur de données ou l'importateur de données (ou son sous-traitant ultérieur) lui cause en enfreignant les droits de la tierce partie bénéficiaire en vertu des présentes Clauses. Cela s'entend sans préjudice de la responsabilité de l'exportateur de données et, lorsque l'exportateur de données est un sous-traitant agissant pour le compte d'un responsable du traitement, de la responsabilité du responsable du traitement en vertu du règlement (UE) 2016/679 ou du Règlement (UE) 2018/1725, le cas échéant.

(d)  Les Parties conviennent que si l'exportateur de données est tenu responsable en vertu du paragraphe (c) des dommages causés par l'importateur de données (ou son sous-traitant ultérieur), il est en droit de réclamer à l'importateur de données la partie de l'indemnisation correspondant à la responsabilité de l'importateur de données pour les dommages.

(e)  Lorsque plusieurs Parties sont responsables de tout dommage causé à la personne concernée à la suite d'une violation des présentes Clauses, toutes les Parties responsables sont conjointement et solidairement responsables et la personne concernée est en droit d'intenter une action en justice contre l'une de ces Parties.

(f)   Les Parties conviennent que si une Partie est tenue responsable en vertu du paragraphe (e), elle sera en droit de réclamer à l'autre Partie(s) la partie de l'indemnisation correspondant à sa/leur responsabilité pour le dommage.

(g)  L'importateur de données ne peut pas invoquer le comportement d'un sous-traitant ultérieur pour éviter sa propre responsabilité.

Article 13

Encadrement

(a)  [Lorsque l'exportateur de données est établi dans un État membre de l'UE :]  L'autorité de contrôle chargée de veiller au respect, par l'exportateur de données, du Règlement (UE) 2016/679 en ce qui concerne le transfert de données, comme indiqué à l'Annexe I.C, doit agir en tant qu'autorité de contrôle compétente.

[Lorsque l'exportateur de données n'est pas établi dans un État membre de l'UE, mais relève du champ d'application territorial du Règlement (UE) 2016/679 conformément à son article 3, paragraphe 2, et a désigné un représentant conformément à l'article 27, paragraphe 1, du Règlement (UE) 2016/679 :] L'autorité de contrôle de l'État membre dans lequel le représentant est établi en vertu de l'article 27, paragraphe 1, du Règlement (UE) 2016/679, comme indiqué à l'Annexe I.C, agit en tant qu'autorité de contrôle compétente.

[Lorsque l'exportateur de données n'est pas établi dans un État membre de l'UE, mais relève du champ d'application territorial du Règlement (UE) 2016/679 conformément à son article 3, paragraphe 2, sans toutefois avoir à désigner de représentant conformément à l'article 27 (2) du Règlement (UE) 2016/679 :] L'autorité de contrôle de l'un des États membres dans lequel les personnes concernées dont les données à caractère personnel sont transférées en vertu des présentes clauses en relation avec l'offre de biens ou de services à leur intention, ou dont le comportement est surveillé,  comme indiqué à l'Annexe I.C, agit en tant qu'autorité de contrôle compétente.

(b)  L'importateur de données s'engage à se soumettre à la juridiction et à coopérer avec l'autorité de contrôle compétente dans toute procédure visant à assurer le respect des présentes Clauses. En particulier, l'importateur de données s'engage à répondre aux demandes de renseignements, à se soumettre à des audits et à se conformer aux mesures adoptées par l'autorité de contrôle, y compris les mesures correctives et compensatoires. Il fournit à l'autorité de contrôle une confirmation écrite que les mesures nécessaires ont été prises.

PARTIE III - LÉGISLATION ET OBLIGATIONS LOCALES EN CAS D'ACCÈS DES AUTORITÉS PUBLIQUES

Article 14

Législation et pratiques locales qui font obstacle à l'application des Clauses

(a)  Les Parties garantissent qu'elles n'ont aucune raison de croire que la législation et les pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l'importateur de données, y compris les exigences en matière de divulgation des données à caractère personnel ou les mesures autorisant l'accès des autorités publiques compétentes, empêchent l'importateur de données de remplir ses obligations en vertu des présentes Clauses. Cela repose sur l'idée que la législation et les pratiques qui respectent l'essence des libertés et droits fondamentaux et n'excèdent pas ce qui est nécessaire et équilibré dans une société démocratique pour sauvegarder l'un des objectifs énumérés à l'Article 23, paragraphe 1, du Règlement (UE) 2016/679, ne sont pas en contradiction avec ces Clauses.

(b)  Les Parties déclarent qu'en offrant les garanties visées au paragraphe a), elles ont dûment tenu compte notamment des éléments suivants :

i. les circonstances particulières du transfert, y compris la longueur de la chaîne de traitement, le nombre d'acteurs impliqués et les canaux de transmission utilisés ; les transferts ultérieurs prévus ; le type de destinataire ; la finalité du traitement ; les catégories et le format des données personnelles transférées ; le secteur économique dans lequel le transfert a lieu ; le lieu de stockage des données transférées ;

ii. la législation et les pratiques du pays tiers de destination (y compris celles exigeant la divulgation de données aux autorités publiques ou autorisant l'accès à ces autorités) pertinentes par rapport aux circonstances spécifiques du transfert, ainsi que les limitations et garanties applicables ;

ii. toutes les garanties contractuelles, techniques ou organisationnelles pertinentes mises en place pour compléter les garanties prévues par les présentes Clauses, y compris les mesures appliquées lors du transfert et du traitement des données personnelles dans le pays de destination.

(c) L'importateur de données garantit qu'en procédant à l'évaluation visée au paragraphe b), il a fait de son mieux pour fournir à l'exportateur de données les informations pertinentes et accepte de continuer à collaborer avec l'exportateur de données pour assurer le respect de ces Clauses.

(d)  Les Parties conviennent de consigner l'évaluation visée au paragraphe b) et de la mettre à la disposition de l'autorité de contrôle compétente sur demande.

(e)  L'importateur de données s'engage à informer rapidement l'exportateur de données si, après avoir accepté les présentes Clauses et pendant la durée du contrat, il a des raisons de croire qu'il est ou est devenu soumis à des lois ou pratiques non conformes aux exigences du paragraphe a), y compris à la suite d'une modification de la législation du pays tiers ou d'une mesure (notamment une demande de divulgation) indiquant l'application de ces lois dans la pratique qui n'est pas conforme aux exigences du paragraphe a).

(f)   À la suite d'une notification conformément au paragraphe e), ou si l'exportateur de données a des raisons de croire qu'il ne peut plus remplir ses obligations en vertu des présentes Clauses, l'exportateur de données identifiera rapidement les mesures appropriées (par exemple, les mesures techniques ou organisationnelles pour assurer la sécurité et la confidentialité) à adopter par l'exportateur de données et/ou l'importateur de données pour remédier à la situation. L'exportateur de données suspend le transfert de données s'il estime qu'aucune garantie appropriée pour un tel transfert ne peut être assurée, ou s'il est chargé par l'autorité de contrôle compétente de le faire. Dans ce cas, l'exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement des données personnelles en vertu des présentes Clauses. Si le contrat implique plus de deux Parties, l'exportateur de données ne peut exercer ce droit de résiliation qu'à l'égard de la Partie concernée, sauf si les Parties en ont convenu autrement. Lorsque le contrat est résilié en vertu de la présente Clause, l'Article 16 d) et e) s'applique.

Article 15

Obligations de l'importateur de données en cas d'accès par les autorités publiques

15.1 Notification

(a)  L'importateur de données s'engage à notifier rapidement l'exportateur de données et, si possible, la personne concernée (si nécessaire avec l'aide de l'exportateur de données) s'il :

i. reçoit une demande juridiquement contraignante d'une autorité publique, y compris des autorités judiciaires, en vertu de la législation du pays de destination pour la divulgation des données personnelles transférées en vertu des présentes Clauses ; cette notification doit inclure des informations sur les données personnelles demandées, l'autorité initiatrice, la base juridique de la demande et la réponse apportée ; ou

ii. prend connaissance de tout accès direct par les autorités publiques aux données personnelles transférées en vertu des présentes Clauses conformément à la législation du pays de destination ; cette notification comprendra toutes les informations dont dispose l'importateur.

(b)  S'il est interdit à l'importateur de données d'informer l'exportateur de données et/ou la personne concernée en vertu de la législation du pays de destination, l'importateur de données s'engage à faire de son mieux pour obtenir une levée de l'interdiction, en vue de communiquer le plus d'informations possible, dans les plus brefs délais. L'importateur de données s'engage à consigner tous les efforts déployés afin de pouvoir les présenter sur demande de l'exportateur de données.

(c)  Lorsque la législation du pays de destination l'autorise, l'importateur de données s'engage à fournir à l'exportateur de données, à intervalles réguliers pendant toute la durée du contrat, autant d'informations pertinentes que possible sur demande (notamment le nombre de demandes, type de données demandées, autorité(s) initiatrice(s), si les demandes ont été contestées et le résultat de ces contestations, etc.).

(d)  L'importateur de données s'engage à conserver les informations conformément aux paragraphes a) à c) pendant la durée du contrat et à les mettre à la disposition de l'autorité de contrôle compétente sur demande.

(e)  Les paragraphes a) à c) ne portent pas préjudice à l'obligation de l'importateur de données en vertu de l'Article 14 e) et de l'Article 16 d'informer rapidement l'exportateur de données lorsqu'il n'est pas en mesure de se conformer à ces Clauses.

15.2 Contrôle de légalité et minimisation des données 

(a)  L'importateur de données s'engage à contrôler la légalité de la demande de divulgation, en particulier si elle demeure dans les limites des pouvoirs conférés à l'autorité publique initiatrice, et à contester la demande si, après une évaluation minutieuse, il conclut qu'il existe des motifs valables de considérer que la demande est illégale au regard de la législation du pays de destination, des obligations applicables en vertu du droit international et des principes de courtoisie internationale. L'importateur de données étudie, dans les mêmes conditions, les voies de recours. Lorsqu'il conteste une demande, l'importateur de données demande des mesures provisoires en vue de suspendre les effets de la demande jusqu'à ce que l'autorité judiciaire compétente ait statué sur son bien-fondé. Il ne divulguera pas les données personnelles demandées tant qu'il n'y sera pas tenu en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations de l'importateur de données en vertu de l'Article 14 e).

(b)  L'importateur de données accepte de consigner son évaluation juridique et toute contestation de la demande de divulgation et, dans la mesure permise par la législation du pays de destination, de mettre les documents à la disposition de l'exportateur de données. Il les met également à la disposition de l'autorité de contrôle compétente sur demande.

(c)  L'importateur de données s'engage à fournir le minimum d'informations autorisé lorsqu'il répond à une demande de divulgation, reposant sur une interprétation raisonnable de la demande.

PARTIE IV – DISPOSITIONS FINALES

Article 16

Non-respect des Clauses et résiliation

(a)  L'importateur de données informera rapidement l'exportateur de données s'il n'est pas en mesure de se conformer aux présentes Clauses, peu importe la raison.

(b)  Dans le cas où l'importateur de données enfreint ces Clauses ou est incapable de se conformer à ces Clauses, l'exportateur de données suspendra le transfert de données personnelles à l'importateur de données jusqu'à ce que la conformité soit à nouveau assurée ou que le contrat soit résilié. Ceci est sans préjudice de l'Article 14 f).

(c)  L'exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement des données personnelles en vertu des présentes Clauses, lorsque :

i. l'exportateur de données a interrompu le transfert de données personnelles à l'importateur de données conformément au paragraphe b) et le respect des présentes Clauses n'est pas rétabli dans un délai acceptable et en toute hypothèse dans le mois suivant la suspension ;

ii. l'importateur de données enfreint ces Clauses de manière substantielle ou persistante ; ou

iii. l'importateur de données ne se conforme pas à une décision exécutoire d'un tribunal compétent ou d'une autorité de contrôle concernant ses obligations en vertu des présentes Clauses.

Dans ces cas, il informe l'autorité de contrôle compétente de ce non-respect. Lorsque le contrat implique plus de deux Parties, l'exportateur de données ne peut exercer ce droit de résiliation qu'à l'égard de la Partie concernée, sauf si les Parties en ont convenu autrement.

(d)  Les données personnelles qui ont été transférées avant la résiliation du contrat conformément au paragraphe c) doivent, au choix de l'exportateur de données, être immédiatement restituées à l'exportateur de données ou supprimées dans leur intégralité. Il en va de même pour toute copie des données. L'importateur de données certifie la suppression des données à l'exportateur de données. Jusqu'à ce que les données soient supprimées ou restituées, l'importateur de données doit continuer à assurer le respect des présentes Clauses. En cas de législation locale applicable à l'importateur de données qui interdise la restitution ou la suppression des données personnelles transférées, l'importateur de données garantit qu'il continuera à assurer le respect de ces Clauses et ne traitera les données que dans les limites et aussi longtemps que requis en vertu de la législation locale.

(e)  L'une ou l'autre des Parties peut révoquer son consentement d'être lié par les présentes Clauses lorsque i) la Commission européenne adopte une décision en vertu de l'Article 45, paragraphe 3, du Règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auxquelles ces Clauses s'appliquent ; ou ii) le Règlement (UE) 2016/679 devient partie intégrante du cadre juridique du pays vers lequel les données personnelles sont transférées. Ceci est sans préjudice d'autres obligations applicables au traitement en question en vertu du Règlement (UE) 2016/679.

Article 17

Droit applicable

Les présentes Clauses sont régies par la législation de l'un des États membres de l'UE, à condition que cette législation autorise les droits des tiers bénéficiaires. Lorsque cette législation n'autorise pas les droits des tiers bénéficiaires, ils sont régis par la législation d'un autre État membre de l'UE qui autorise les droits des tiers bénéficiaires. Les Parties conviennent que ce sera la législation du lieu où se trouve le siège social ou le principal établissement de l'exportateur de données dans l'UE.

Article 18

Choix de l'instance et de la juridiction

(a)  Tout litige résultant des présentes Clauses sera réglé par les tribunaux d'un État membre de l'UE.

(b)  Les Parties conviennent que ce sont les tribunaux du lieu où se trouve le siège social ou le principal établissement de l'exportateur de données dans l'UE.

(c)  Une personne concernée peut également intenter une action en justice contre l'exportateur et/ou l'importateur de données devant les juridictions de l'État membre dans lequel cette personne a sa résidence habituelle.

(d)  Les Parties acceptent de se soumettre à la juridiction de ces tribunaux.

 

Avenant 2

Avenant sur le transfert international de données

 

Cet Avenant a été publié par le Commissaire à l'information pour les Parties effectuant des Transferts Limités. Le Commissaire à l'information considère qu'il fournit des Garanties Appropriées pour les Transferts Limités lorsqu'un contrat juridiquement contraignant est conclu.

Partie 1 : Tableaux

Tableau 1 : Non utilisé

Tableau 2 : CCT, modules et clauses sélectionnés

La version des CCT approuvées de l'UE à laquelle cet Avenant est annexé, détaillée ci-dessous, y compris les informations de l'Annexe,

Tableau 3 : Informations en annexe

« Informations en annexe » désigne les informations qui doivent être fournies pour les modules sélectionnés, comme indiqué dans l'Annexe des CCT approuvées de l'UE (autres que les Parties), et qui, pour le présent Avenant, sont énoncées dans :

  • Annexe I aux CCT 2021 : Description des transferts
  • Annexe II aux CCT 2021 : Mesures de sécurité techniques et organisationnelles
  • Annexe III aux CCT 2021 : Sous-traitants ultérieurs et filiales

Tableau 4 : Fin de cet Avenant lorsque l'Avenant approuvé change

Aucune des parties ne peut mettre fin à cet Avenant comme indiqué dans la Partie ‎19 .

Partie 2 : Clauses obligatoires

S'engager dans cet Avenant

1. Chaque Partie accepte de se conformer aux termes et conditions énoncés dans le présent Avenant, à condition que l'autre Partie accepte également de se conformer au présent Avenant.

2. Bien que l'Annexe 1A et l'Article 7 des CCT approuvées de l'UE exigent la signature des Parties, dans le but d'effectuer des Transferts Limités, les Parties peuvent conclure le présent Avenant de manière à rendre ces engagements juridiquement contraignants pour les Parties et permet aux personnes concernées de faire respecter leur droits tels qu'énoncés dans cet Avenant. La conclusion du présent Avenant aura le même effet que la signature des CCT approuvées de l'UE et de toute partie des CCT approuvées de l'UE.

Interprétation de cet Avenant

3. Lorsque le présent Avenant utilise des termes qui sont définis dans les CCT de l'UE approuvées, ces termes ont la même signification que dans les CCT de l'UE approuvées. De plus, les termes suivants ont les significations suivantes :

« Avenant » désigne cet Avenant sur le transfert international de données qui est composé de cet Avenant intégrant l'Avenant des CCT de l'UE.

« Avenant des CCT de l'UE » désigne la ou les versions des CCT approuvées de l'UE auxquelles cet Avenant est annexé, comme indiqué dans le tableau 2, y compris les informations de l'Annexe.

Les « Informations en annexe » sont indiquées dans le Tableau ‎3.

« Garanties Appropriées » désigne le niveau de protection des données personnelles et des droits des personnes concernées, qui est requis par la législation britannique en ce qui concerne la protection des données lorsque vous effectuez un Transfert Limité en vous appuyant sur les clauses types de protection des données en vertu de l'article 46(2)(d) du RGPD du Royaume-Uni.

« Avenant approuvé » désigne le modèle d'Avenant émis par l'ICO et déposé devant le Parlement conformément à l'Article 119A de la loi sur la protection des données de 2018 du 2 février 2022, tel qu'il est révisé à la Partie ‎18.

« CCT de l'UE approuvées » désigne les Clauses Contractuelles Types énoncées à l'Annexe de la décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021.

« ICO » désigne le Commissaire à l'information.

« Transfert Limité » désigne un transfert couvert par le chapitre V du RGPD du Royaume-Uni.

« Royaume-Uni » désigne le Royaume-Uni de Grande-Bretagne et d'Irlande du Nord.

« Législation britannique sur la protection des données » désigne toutes les lois relatives à la protection des données, au traitement des données personnelles, à la confidentialité et/ou aux communications électroniques en vigueur périodiquement au Royaume-Uni, y compris le RGPD britannique et la loi sur la protection des données de 2018.

« RGPD du Royaume-Uni » est tel que défini à l'Article 3 de la loi sur la protection des données de 2018.

4. Le présent Avenant doit toujours être interprété d'une manière conforme à la législation britannique sur la protection des données et de manière à ce qu'il remplisse l'obligation des parties de fournir les Garanties Appropriées.

5. Si les dispositions incluses dans l'Avenant des CCT de l'UE modifient les CCT approuvées d'une manière qui n'est pas autorisée par les CCT de l'UE approuvées ou l'Avenant approuvé, cette ou ces modifications ne seront pas incorporées dans le présent Avenant et la disposition équivalente des CCT approuvées de l'UE prendront leur place.

6. En cas d'incohérence ou de conflit entre la législation britannique sur la protection des données et le présent Avenant, la législation britannique sur la protection des données s'applique.

7. Si la signification de cet Avenant n'est pas claire ou s'il y a plus d'un sens, la signification la plus proche de la législation britannique sur la protection des données s'applique.

8. Toute référence à la législation (ou à des dispositions spécifiques de la législation) signifie que la législation (ou la disposition spécifique) peut changer avec le temps. Cela inclut le cas où cette législation (ou disposition spécifique) a été renforcée, réédictée et/ou remplacée après la conclusion du présent Avenant.

Hiérarchie

9. Bien que l'Article 5 des CCT de l'UE approuvées stipule que les CCT de l'UE approuvées prévalent sur tous les accords connexes entre les parties, les parties conviennent que, pour les Transferts Limités, la hiérarchie dans la Partie ‎10 prévaudra.

10. En cas d'incohérence ou de conflit entre l'Avenant approuvé et l'Avenant des CCT de l'UE (le cas échéant), l'Avenant approuvé prévaut sur l'Avenant des CCT de l'UE, sauf si (et dans la mesure où) les termes incohérents ou contradictoires de l'Avenant des CCT de l'UE offrent une plus grande protection aux personnes concernées, auquel cas, ces conditions prévaudront sur l'Avenant approuvé.

11. Lorsque cet Avenant incorpore des CCT de l'Avenant de l'UE qui ont été conclues pour protéger les transferts soumis au Règlement Général sur la Protection des Données (UE) 2016/679, les Parties reconnaissent que rien dans le présent Avenant n'affecte ces CCT de l'Avenant de l'UE.

Incorporation et modifications des CCT de l'UE

12. Cet Avenant incorpore l'Avenant des CCT de l'UE qui est modifié dans la mesure nécessaire afin que :

a. ensemble, ils opèrent pour les transferts de données effectués par l'exportateur de données vers l'importateur de données, dans la mesure où la législation britannique sur la protection des données s'applique au traitement de l'exportateur de données lors de ce transfert de données, et ils fournissent des garanties appropriées pour ces transferts de données ; 

b. Parties ‎9 à ‎‎11 pour remplacer l'Article 5 (Hiérarchie) de l'Avenant des CCT de l'UE ; et

c. cet Avenant (y compris l'Avenant des CCT de l'UE qui y est incorporé) est (1) régi par les lois d'Angleterre et du Pays de Galles et (2) tout litige en résultant, est résolu par les tribunaux d'Angleterre et du Pays de Galles, dans chaque cas à moins que les lois et/ou les tribunaux d'Écosse ou d'Irlande du Nord ont été expressément choisis par les Parties.

13. À moins que les Parties n'aient convenu d'amendements alternatifs qui répondent aux exigences de l'Article ‎12, les dispositions de l'Article ‎15 s'appliqueront.

14. Aucune modification des CCT de l'UE approuvées autre que pour satisfaire aux exigences de la Partie ‎12 ne peut être apportée.

15.Les modifications suivantes à l'Avenant des CCT de l'UE (aux fins de la Partie ‎12) sont apportées :

a. Les références aux « Clauses » désignent le présent Avenant, incorporant l'Avenant des CCT de l'UE ;

b. Dans l'article 2, supprimer les mots :

« et, en ce qui concerne les transferts de données des responsables du traitement aux sous-traitants et/ou de sous-traitants aux sous-traitants, des clauses contractuelles types conformément à l'article 28, paragraphe 7, du Règlement (UE) 2016/679 » ;

c. L'Article 6 (Description du ou des transferts) est remplacé par :

« Les détails du ou des transferts, et notamment les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles sont transférées) sont celles précisées à l'Annexe I.B où la législation britannique sur la protection des données s'applique au traitement par l'exportateur de données lors de ce transfert. » ;

d. l'Article 8.7, paragraphe i) du Module 1 est remplacé par :

« c'est vers un pays bénéficiant de réglementations relatives en vertu de l'Article 17A du RGPD britannique qui couvre le transfert ultérieur » ;

e. Article 8.8, paragraphe i) des Module 2 et 3 est remplacé par :

« le transfert ultérieur se fait vers un pays bénéficiant de réglementations relatives en vertu de l'Article 17A du RGPD britannique qui couvre le transfert ultérieur » ;

f. Références au « Règlement (UE) 2016/679 », « Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données) » et « ce règlement » sont tous remplacés par « Législation britannique sur la protection des données ». Les références à des articles spécifiques du « Règlement (UE) 2016/679 » sont remplacées par l'article ou la partie équivalente de la législation britannique sur la protection des données ;

g. Les références au Règlement (UE) 2018/1725 sont supprimées ;

h. Les références à « l'Union européenne », « l'Union », « l'UE », « l'État membre de l'UE », « l'État membre » et « l'UE ou l'État membre » sont toutes remplacées par le « Royaume-Uni » ;

i. La référence à l'« Article 12(c)(i) » à l'Article 10(b)(i) du Module 1 est remplacée par l'« Article 11(c)(i) » ;

j. L'Article 13, paragraphe a), et la partie C de l'Annexe I ne sont pas utilisées ; 

k. L'« autorité de contrôle compétente » et l'« autorité de contrôle » sont toutes deux remplacées par le « Commissaire à l'information » ;

l. À l'Article 16(e), le paragraphe (i) est remplacé par :

« le secrétaire d'État établit des règlements en vertu de l'article 17A de la loi de 2018 sur la protection des données qui couvrent le transfert de données à caractère personnel auxquelles ces clauses s'appliquent ; » ;

m. L'article 17 est remplacé par :

« Ces clauses sont régies par les lois d'Angleterre et du Pays de Galles. » ;

n. L'article 18 est remplacé par :« Tout litige résultant des présentes Clauses sera réglé par les tribunaux d'Angleterre et du Pays de Galles. Une personne concernée peut également intenter une action en justice contre l'exportateur et/ou l'importateur de données devant les juridictions de n'importe quel pays du Royaume-Uni. (Les Parties acceptent de se soumettre à la juridiction de ces tribunaux. » ; et

o. Les notes de bas de page des CCT approuvées de l'UE ne font pas partie de l'Avenant, à l'exception des notes de bas de page 8, 9, 10 et 11. 

Amendements à cet Avenant 

16. Les Parties peuvent convenir de modifier les Articles 17 et/ou 18 de l'Avenant des CCT de l'UE pour faire référence à la législation et/ou aux tribunaux d'Écosse ou d'Irlande du Nord.

17.  Si les Parties souhaitent modifier le format des informations incluses dans la Partie 1 : Tableaux de l'Avenant approuvé, elles peuvent le faire en acceptant le changement par écrit, à condition que le changement ne limite pas les Garanties Appropriées.

18. Occasionnellement, l'ICO peut publier un Avenant Approuvé modifié qui :

a. apporte des modifications raisonnables et proportionnelles à l'Avenant approuvé, y compris la correction des erreurs dans l'Avenant approuvé ; et/ou

b. reflète les modifications apportées à la législation britannique sur la protection des données ;

L'Avenant approuvé modifié précisera la date de début à partir de laquelle les modifications apportées à l'Avenant approuvé entreront en vigueur et si les Parties doivent revoir cet Avenant, y compris les informations de l'Annexe. Cet Avenant est automatiquement modifié comme indiqué dans l'Avenant approuvé modifié à compter de la date de début spécifiée. 

19. Si l'ICO publie un Avenant approuvé modifié en vertu de la Section ‎18, si une Partie sélectionnée dans le tableau 4 « Résilier l'Avenant lorsque l'Avenant approuvé change », en conséquence directe des modifications apportées à l'Avenant approuvé, subira une augmentation substantielle, disproportionnée et sensible dans :

a. ses coûts directs d'exécution de ses obligations en vertu de l'Avenant ; et/ou 

b. son risque en vertu de l'Avenant,  

et dans les deux cas, des mesures raisonnables ont d'abord été prises pour réduire ces coûts ou risques afin qu'ils ne soient pas substantiels et disproportionnés, alors cette Partie peut mettre fin au présent Avenant à la fin d'une période de préavis raisonnable, en fournissant un préavis écrit pour cette période à l'autre Partie avant la date de début de l'Avenant approuvé modifié.

20. Les Parties n'ont pas besoin du consentement d'un tiers pour apporter des modifications au présent Avenant, mais toute modification doit être effectuée conformément à ses termes.