Clauses contractuelles types (CCT) (de Sous-traitant à Sous-traitant)
Clauses contractuelles types (CCT) (de Sous-traitant à Sous-traitant)
Les présentes Clauses contractuelles types sont jointes à l’addendum relatif au traitement des données de monday.com, disponible sur https://www.monday.com/terms/dpa, ou à tout autre accord entre le Client et monday.com régissant le traitement des Données personnelles contenues dans les Données client (« ATD »). Sauf définition contraire dans la présente annexe, les termes en majuscules utilisés dans les présentes clauses contractuelles types ont la signification qui leur est donnée dans l’ATD.
ARTICLE I
Clause 1
Objet et champ d’application
(a) Les présentes Clauses contractuelles types sont destinées à garantir le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 sur la protection des personnes physiques vis-à-vis du traitement des données personnelles et sur la libre circulation de ces données (règlement général sur la protection des données) pour le transfert de données vers un pays tiers.
(b) Les Parties :
(i) la/les personne(s) physique(s) ou morale(s), autorité(s) publique(s), agence(s) ou autre(s) organisme(s) (ci-après désigné(s) par le terme « entité(s) ») qui procèdent au transfert des données personnelles, telles qu’énumérées à l’Annexe I.A (ci-après désignés individuellement par le terme « exportateur de données »), et
(ii) l’entité ou les entités située(s) dans un pays tiers qui reçoit (reçoivent) les données personnelles de la part de l’exportateur de données, directement ou indirectement par l’intermédiaire d’une autre entité également partie aux présentes Clauses, figurant sur la liste de l’Annexe I.A (ci-après dénommée « importateur de données »)
a ou ont accepté les présentes clauses contractuelles types (ci-après dénommées « Clauses »).
(c) Les présentes Clauses régissent le transfert de données personnelles tel que défini à l’Annexe I.B.
(d) Les Annexes aux présentes Clauses qui y sont mentionnées constituent une partie intégrante de celles-ci.
Clause 2
Effet et invariabilité des clauses
(a) Les présentes Clauses définissent des garanties appropriées, notamment des droits opposables aux personnes concernées et des voies de recours efficaces, conformément à l’article 46, alinéa 1, et à l’article 46, alinéa 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données des responsables du traitement vers les sous-traitants et/ou des sous-traitants vers les sous-traitants, des clauses contractuelles types conformément à l’article 28, alinéa 7, du règlement (UE) 2016/679, pour autant qu’elles ne soient pas modifiées, sauf pour sélectionner le(s) Module(s) approprié(s) ou pour ajouter ou mettre à jour des informations dans les Annexes. Les Parties peuvent toutefois inclure les clauses contractuelles types énoncées dans les présentes Clauses dans un contrat plus large et/ou ajouter d’autres clauses ou garanties supplémentaires, à condition qu’elles ne contredisent pas, directement ou indirectement, les présentes Clauses ou qu’elles ne portent pas atteinte aux droits ou libertés fondamentaux des personnes concernées.
(b) Les présentes Clauses ne dispensent pas l’exportateur de données de s’acquitter des obligations qui lui incombent en vertu du règlement (UE) 2016/679.
Clause 3
Tiers bénéficiaires.
(a) Les Personnes concernées peuvent invoquer et faire appliquer les présentes Clauses, en tant que tiers bénéficiaires, contre l’exportateur et/ou l’importateur de données, sous réserve des exceptions suivantes :
(i) Clause 1, Clause 2, Clause 3, Clause 6, Clause 7 ;
(ii) Clause 8.1(a), (c) et (d) et 8.9(a), (c), (d), (e), (f) et (g) ;
(iii) Clause 9(a), (c), (d) et (e) ;
(iv) Clause 12(a), (d) et (f) ;
(v) Clause 13
(vi) Clause 15.1(c), (d) et (e) ;
(vii) Clause 16(e) ;
(viii) Clause 18(a) et (b).
(b) Le paragraphe a) s’entend sous réserve des droits des personnes concernées en vertu du règlement (UE) 2016/679.
Clause 4
Interprétation
(a) Lorsque les présentes Clauses utilisent des termes qui sont définis dans le règlement (UE) 2016/679, ces termes ont la même signification que dans ce règlement.
(b) Les présentes Clauses doivent être lues et interprétées en tenant compte des dispositions du Règlement (UE) 2016/679.
(c) Les présentes Clauses ne doivent pas être interprétées de manière à entrer en conflit avec les droits et obligations prévus par le Règlement (UE) 2016/679.
Clause 5
Hiérarchie
En cas de contradiction entre les présentes Clauses et les dispositions des accords connexes entre les parties, existant au moment où les présentes Clauses sont convenues ou conclues par la suite, les présentes Clauses prévaudront.
Clause 6
Description du/des transfert(s)
Les modalités du ou des transfert(s), notamment les catégories de données personnelles transférées et la ou les finalité(s) pour lesquelles elles sont transférées, sont précisées à l’Annexe I.B.
Clause 7 – Facultative
Non utilisée.
ARTICLE II – OBLIGATIONS DES PARTIES
Clause 8
Mesures de protection des données
L’exportateur de données certifie qu’il a déployé des efforts raisonnables pour déterminer que l’importateur de données est capable de se conformer à ses obligations en vertu des présentes Clauses en mettant en place des dispositifs techniques et opérationnels appropriés.
8.1 Instructions
- a) L’exportateur de données a informé l’importateur de données qu’il agit en tant que sous-traitant selon les instructions de son (ses) responsable(s) du traitement, que l’exportateur de données met à la disposition de l’importateur de données avant le traitement.
(b) L’importateur de données traite les données personnelles uniquement sur instruction documentée du responsable du traitement, telle que communiquée à l’importateur de données par l’exportateur de données, et sur toute instruction documentée supplémentaire de l’exportateur de données. Ces instructions supplémentaires ne doivent pas être en contradiction avec les instructions du responsable du traitement. Le responsable du traitement ou l’exportateur de données peut donner d’autres instructions documentées concernant le traitement des données pendant toute la durée du contrat.
(c) Si l’importateur de données n’est pas en mesure de respecter ces instructions, il en informe immédiatement l’exportateur de données. Lorsque l’importateur de données n’est pas en mesure de suivre les instructions du responsable du traitement, l’exportateur de données en informe immédiatement le responsable du traitement.
(d) L’exportateur de données garantit qu’il a imposé à l’importateur de données les mêmes obligations en matière de protection des données que celles prévues dans le contrat ou autre acte juridique en vertu du droit de l’Union ou de l’État membre entre le responsable du traitement et l’exportateur de données.
8.2 Limitation de la finalité
L’importateur de données ne traite les données personnelles qu’aux fins spécifiques du transfert, comme indiqué à l’annexe I.B., sauf sur instructions supplémentaires du responsable du traitement, communiquées à l’importateur de données par l’exportateur de données, ou de la part de l’exportateur de données.
8.3 Transparence
Sur demande, l’exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes Clauses, comprenant les Annexes dûment complétées par les Parties. Dans la mesure où cela est nécessaire pour protéger des secrets d’affaires ou d’autres informations confidentielles, y compris des données personnelles, l’exportateur de données peut expurger une partie du texte de l’Annexe avant d’en partager une copie, mais il doit fournir un résumé significatif lorsque la personne concernée ne serait autrement pas en mesure de comprendre son contenu ou d’exercer ses droits. Sur demande, les parties indiquent à la personne concernée les raisons qui ont motivé les suppressions de données, sans pour autant les révéler, dans la mesure du possible.
8.4 Précision
Si l’importateur de données se rend compte que les données personnelles qu’il a reçues sont inexactes ou obsolètes, il en informe l’exportateur de données dans les plus brefs délais. Dans ce cas, l’importateur de données coopère avec l’exportateur de données pour supprimer ou rectifier ces données.
8.5 Durée du traitement et suppression ou restitution des données
Le traitement des données par l’importateur de données n’a lieu que pendant la durée spécifiée à l’annexe I.B. Après la cessation de la prestation des services de traitement, l’importateur de données devra, selon la volonté de l’exportateur de données, supprimer toutes les données personnelles traitées pour le compte du responsable du traitement et certifier à l’exportateur de données qu’il l’a fait, ou renvoyer à l’exportateur de données toutes les données personnelles traitées pour son compte et supprimer les copies existantes. L’importateur de données doit continuer à veiller au respect des présentes Clauses jusqu’à ce que les données soient supprimées ou restituées. Si la législation locale applicable à l’importateur de données interdit la restitution ou la suppression des données personnelles, l’importateur de données certifie qu’il continuera à veiller au respect des présentes Clauses et qu’il ne traitera les données que dans la mesure et pour la durée requises par ladite législation locale. Cette clause ne fait pas obstacle à la Clause 14, notamment en ce qui concerne l’obligation pour l’importateur de données, visée par le point 14(e), de prévenir l’exportateur de données pendant toute la durée du contrat s’il a des raisons de croire qu’il est ou est devenu soumis à des lois ou des pratiques non conformes aux dispositions du point 14(a).
8.6 Sécurité du traitement
(a) L’importateur de données et, pendant la transmission des données, l’exportateur de données appliquent les mesures techniques et opérationnelles appropriées pour préserver la sécurité des données, notamment pour les protéger contre toute violation de sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation non autorisée de ces données ou l’accès non autorisé à celles-ci (ci-après dénommée « violation de données à caractère personnel »). Pour évaluer le niveau de sécurité nécessaire, ils prennent dûment en compte les techniques les plus récentes, les coûts de mise en œuvre, la nature, la portée, le contexte et la (les) finalité(s) du traitement, ainsi que les risques encourus par les personnes concernées. Les Parties doivent notamment prévoir de recourir au chiffrement ou à la pseudonymisation des données, notamment lors de leur transmission, dès lors que cela permet de poursuivre la finalité du traitement. En cas de pseudonymisation des données, les informations supplémentaires permettant de les associer à une personne spécifique restent, dans la mesure du possible, sous le contrôle exclusif du responsable du traitement. Pour se conformer aux obligations qui lui incombent en vertu du présent paragraphe, l’importateur de données applique au moins les mesures techniques et opérationnelles prévues à l’Annexe II. L’importateur de données procède à des contrôles réguliers pour vérifier que ces mesures sont toujours suffisantes pour maintenir un niveau de sécurité approprié.
(b) L’importateur de données n’accorde l’accès aux données aux membres de son personnel que dans la mesure strictement nécessaire au respect, à la gestion et au suivi du contrat. Il veille à ce que les personnes autorisées à traiter les données personnelles se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité appropriée.
(c) En cas de violation de données personnelles traitées par l’importateur de données en vertu des présentes Clauses, ce dernier prend les mesures appropriées pour remédier à cette violation, notamment des mesures visant à en atténuer les effets négatifs. L’importateur de données informe également, dans un délai raisonnable, l’exportateur de données et, le cas échéant et dans la mesure du possible, le responsable du traitement, après avoir pris connaissance de la violation. La communication doit indiquer les coordonnées d’un interlocuteur pouvant fournir de plus amples informations, une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et de fichiers de données personnelles concernés), ses conséquences probables et les mesures prises ou proposées pour y remédier, notamment, le cas échéant, les mesures visant à en atténuer les effets négatifs éventuels. Lorsque, et dans la mesure où il n’est pas possible de fournir toutes les informations en même temps, la première communication contient les informations alors disponibles et les informations complémentaires sont fournies ultérieurement, au fur et à mesure qu’elles sont disponibles, sans retard excessif.
(d) L’importateur de données coopère avec l’exportateur de données et l’aide à respecter ses obligations au titre du règlement (UE) 2016/679, notamment pour informer son responsable du traitement afin que ce dernier puisse à son tour informer l’autorité de contrôle compétente et les personnes concernées, en tenant compte de la nature du traitement et des informations dont dispose l’importateur de données.
8.7 Données sensibles
Si le transfert concerne des données personnelles qui révèlent une origine ethnique, des opinions politiques, des convictions religieuses ou philosophiques, ou l’appartenance à un syndicat, des données génétiques ou des données biométriques permettant d’identifier une personne physique de manière unique, des données concernant la santé ou la vie sexuelle ou l’orientation sexuelle d’une personne, ou des données relatives à des condamnations pénales et à des infractions (ci-après dénommées « données sensibles »), l’importateur de données applique les restrictions spécifiques et/ou les garanties supplémentaires décrites à l’Annexe I.B.
8.8 Transferts ultérieurs
L’importateur de données ne divulgue les données personnelles à un tiers que sur instructions documentées du responsable du traitement, telles que communiquées à l’importateur de données par l’exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l’Union européenne (dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après dénommé « transfert ultérieur ») que si le tiers est ou accepte d’être lié par les présentes Clauses, en vertu du Module approprié, ou si :
(i) ce transfert est à destination d’un pays bénéficiant d’une décision d’adéquation en vertu de l’article 45 du règlement (UE) 2016/679 dont relève ce transfert ;
(ii) ledit tiers offre par ailleurs des garanties appropriées en vertu des articles 46 ou 47 du règlement (UE) 2016/679 ;
(iii) ce transfert est nécessaire à la détermination, à l’exercice ou à la défense de droits légaux dans le cadre de procédures administratives, réglementaires ou judiciaires spécifiques ; ou
(iv) ce transfert est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique.
Tout transfert ultérieur suppose que l’importateur de données respecte toutes les autres garanties prévues par les présentes Clauses, notamment en ce qui concerne la limitation de la finalité.
8.9 Documentation et conformité
(a) L’importateur de données traite rapidement et de manière adéquate les demandes de l’exportateur de données ou du responsable du traitement relatives au traitement en vertu des présentes Clauses.
(b) Les Parties doivent être en mesure de démontrer qu’elles respectent les présentes Clauses. En particulier, l’importateur de données conserve une documentation appropriée sur les activités de traitement effectuées pour le compte du responsable du traitement.
(c) L’importateur de données met toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans les présentes Clauses à la disposition de l’exportateur de données, qui les transmet au responsable du traitement.
(d) L’importateur de données autorise et prend part à des audits des activités de traitement relevant des présentes Clauses, à des intervalles raisonnables ou en cas de manquement avéré à ces obligations. Il en va de même lorsque l’exportateur de données demande un audit sur instruction du responsable du traitement. Au moment de décider d’un audit, l’exportateur de données peut se référer aux certifications concernées détenues par l’importateur de données.
(e) Lorsque l’audit est effectué sur instruction du responsable du traitement, l’exportateur de données met les résultats à la disposition du responsable du traitement.
(f) L’exportateur de données peut choisir d’effectuer l’audit lui-même ou de mandater un auditeur indépendant. Les audits peuvent prendre la forme d’inspections dans les locaux ou les sites physiques de l’importateur de données et sont, le cas échéant, effectués avec un préavis raisonnable.
(g) Les Parties mettent les informations mentionnées aux points b) et c), y compris les résultats de tout audit, à la disposition de l’autorité de surveillance compétente qui en fait la demande.
Clause 9
Recours à des sous-traitants indirects
(a) L’importateur de données a reçu l’autorisation générale de l’exportateur de données pour faire appel à un ou plusieurs sous-traitants indirects répertoriés dans une liste déterminée à l’avance. L’importateur de données informe expressément le responsable du traitement par écrit de toute modification envisagée de cette liste par l’ajout ou le remplacement de sous-traitants indirects au moins dix (10) jours ouvrables à l’avance, afin que celui-ci dispose d’un délai suffisant pour pouvoir s’opposer à ces modifications avant l’engagement du ou des sous-traitant(s) ultérieur(s). L’importateur de données fournit au responsable du traitement les informations nécessaires pour permettre à ce dernier d’exercer son droit d’opposition. L’importateur de données informe l’exportateur de données de l’engagement du ou des sous-traitants ultérieurs.
(b) Si l’importateur de données fait appel à un sous-traitant ultérieur pour mener certaines activités de traitement (pour le compte de l’exportateur de données), il le fait par le biais d’un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l’importateur de données en vertu des présentes Clauses, notamment en ce qui concerne les droits des personnes concernées en tant que tiers bénéficiaires. Les Parties conviennent qu’en se conformant à la présente Clause, l’importateur de données remplit les obligations qui lui incombent en vertu de la Clause 8.8. L’importateur de données veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles l’importateur de données est soumis en vertu des présentes Clauses.
(c) L’importateur de données fournit à l’exportateur de données, à la demande du responsable du traitement, une copie de cet accord de sous-traitance et de toute modification ultérieure de celui-ci. Dans la mesure où cela est nécessaire pour protéger des secrets d’affaires ou d’autres informations confidentielles, y compris des données à caractère personnel, l’importateur de données peut expurger le texte de l’accord avant d’en partager une copie.
(d) L’importateur de données reste pleinement responsable vis-à-vis de l’exportateur de données de l’exécution des obligations du sous-traitant ultérieur en vertu de son contrat avec l’importateur de données. L’importateur de données signale à l’exportateur de données tout manquement du sous-traitant ultérieur aux obligations qui lui incombent en vertu de ce contrat.
(e) L’importateur de données convient avec le sous-traitant ultérieur d’une clause de tiers bénéficiaire en vertu de laquelle, si l’importateur de données disparaît de facto, cesse d’exister en droit ou devient insolvable, l’exportateur de données est en droit de résilier le contrat de sous-traitance ultérieure et d’ordonner au sous-traitant ultérieur de supprimer ou de restituer les données personnelles concernées.
Clause 10
Droits des personnes concernées
(a) L’importateur de données signale sans délai à l’exportateur de données et, le cas échéant, au responsable du traitement, toute demande qu’il a reçue de la part d’une personne concernée. Il ne répond pas lui-même à cette demande, sauf s’il a été autorisé à le faire par le responsable du traitement.
(b) L’importateur de données aide l’exportateur de données à s’acquitter de son obligation de répondre aux demandes des personnes concernées relatives à l’exercice de leurs droits en vertu du règlement (UE) 2016/679. À cet égard, les parties définissent à l’Annexe II les mesures techniques et opérationnelles appropriées, en tenant compte de la nature du traitement, qui permettront de fournir cette aide, ainsi que l’étendue de l’aide requise.
(c) En satisfaisant à ses obligations au titre des paragraphes a) et b), l’importateur de données se conforme aux instructions du responsable du traitement, telles que communiquées par l’exportateur de données.
Clause 11
Réparation
(a) L’importateur de données informe les personnes concernées, dans un format clair et facilement accessible, par le biais d’une notification individuelle ou sur son site web, de l’existence d’un interlocuteur habilité à traiter les réclamations. Il doit traiter rapidement toute réclamation qu’il reçoit de la part d’une personne concernée.
(b) En cas de litige entre une personne concernée et l’une des Parties en ce qui concerne le respect des présentes Clauses, cette Partie met tout en œuvre pour résoudre le problème à l’amiable dans les meilleurs délais. Les Parties se tiennent mutuellement informées de ces différends et, le cas échéant, coopèrent pour les résoudre.
(c) Si la personne concernée invoque un droit de tiers bénéficiaire en vertu de la Clause 3, l’importateur de données accepte la décision de la personne concernée de :
(i) saisir l’autorité de contrôle de l’État membre où il réside ou travaille habituellement, ou l’autorité de contrôle compétente en vertu de la Clause 13 ;
(ii) soumettre le litige aux tribunaux compétents en vertu de la Clause 18.
(d) Les Parties reconnaissent que la personne concernée peut être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions énoncées au paragraphe 1 de l’article 80 du règlement (UE) 2016/679.
(e) L’importateur de données doit se conformer à une décision contraignante en vertu de la législation de l’UE ou de l’État membre en vigueur.
(f) L’importateur de données reconnaît que le choix de la personne concernée ne portera pas atteinte à ses droits substantiels et procéduraux de demander réparation conformément à la législation en vigueur.
Clause 12
Responsabilité
(a) Chacune des Parties assume la responsabilité des dommages qu’elle cause à l’autre (aux autres) Partie(s) du fait d’une violation des présentes Clauses.
(b) L’importateur de données assume sa responsabilité à l’égard de la personne concernée, et la personne concernée a le droit d’être indemnisée pour tout préjudice matériel ou moral subi par la personne concernée en raison du non-respect par l’importateur de données ou son sous-traitant des droits des tiers bénéficiaires en vertu des présentes Clauses.
(c) Sans préjudice des dispositions du paragraphe b), l’importateur de données assume sa responsabilité à l’égard de la personne concernée, et la personne concernée a le droit d’être indemnisée pour tout préjudice matériel ou moral subi par elle en raison du non-respect par l’importateur de données ou son sous-traitant des droits des tiers bénéficiaires en vertu des présentes Clauses. Cette disposition ne dispense pas l’exportateur de données d’assumer sa responsabilité et, si celui-ci est un sous-traitant agissant pour le compte d’un responsable du traitement, le responsable du traitement d’assumer sa responsabilité en vertu du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas.
(d) Les Parties conviennent que si l’exportateur de données est tenu responsable, en vertu du paragraphe (c), des dommages causés par l’importateur de données (ou son sous-traitant indirect), il est en droit de réclamer à l’importateur de données la partie de l’indemnisation correspondant à sa responsabilité dans le préjudice.
(e) Si plusieurs Parties sont responsables d’un préjudice subi par la personne concernée à la suite d’une violation des présentes Clauses, toutes les Parties responsables sont conjointement et solidairement responsables et la personne concernée a le droit d’intenter une action en justice contre l’une quelconque de ces Parties.
(f) Les Parties conviennent que si la responsabilité de l’une d’entre elles est engagée en vertu du paragraphe (e), elle est en droit de réclamer à l’autre (aux autres) Partie(s) la part de l’indemnisation correspondant à sa (leur) responsabilité dans le préjudice.
(g) L’importateur de données ne peut pas invoquer le comportement d’un sous-traitant indirect pour se soustraire à sa propre responsabilité.
Clause 13
(a) Si l’exportateur de données est établi dans un État membre de l’UE, l’autorité compétente en matière de contrôle est celle qui est chargée de veiller au respect du règlement (UE) 2016/679 en ce qui concerne le transfert de données, conformément à l’Annexe I.C.
Si l’exportateur de données n’est pas établi dans un État membre de l’UE, mais relève du champ d’application territorial du règlement (UE) 2016/679 conformément au paragraphe 2 de son article 3, sans toutefois devoir désigner un représentant conformément au paragraphe 2 de l’article 27 du règlement (UE) 2016/679, l’autorité compétente en matière de contrôle est celle de l’un des États membres dans lequel se trouvent les personnes concernées dont les données personnelles sont transférées en vertu des présentes Clauses dans le cadre de l’offre de biens ou de services qui leur est faite, ou dont le comportement fait l’objet d’un suivi, conformément à l’Annexe I.C.
(b) L’importateur de données accepte de se soumettre à la juridiction de l’autorité de contrôle compétente et de coopérer avec elle dans le cadre de toute procédure visant à assurer le respect des présentes Clauses. L’importateur de données accepte notamment de répondre aux demandes de renseignements, de se soumettre à des audits et de se conformer aux mesures adoptées par l’autorité de contrôle, y compris les mesures correctives et compensatoires. Il confirme par écrit à l’autorité de contrôle que les mesures nécessaires ont été prises.
ARTICLE III – LOIS ET OBLIGATIONS LOCALES EN CAS D’ACCÈS PAR LES AUTORITÉS PUBLIQUES
Clause 14
Lois et pratiques locales conditionnant le respect des Clauses
(a) Les Parties certifient qu’elles n’ont aucune raison de croire que les lois et pratiques du pays tiers de destination applicables au traitement des données personnelles par l’importateur de données, notamment les exigences en matière de divulgation des données personnelles ou les dispositions autorisant les autorités publiques à y accéder, empêchent l’importateur de données de se conformer aux obligations qui lui incombent en vertu des présentes Clauses. Il est entendu que les lois et pratiques qui respectent l’essence des droits et libertés fondamentaux et n’excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour sauvegarder l’un des objectifs énumérés au paragraphe 1 de l’article 23 du règlement (UE) 2016/679 ne sont pas en contradiction avec les présentes Clauses.
(b) Les Parties déclarent qu’en fournissant la garantie visée au paragraphe (a), elles ont tenu compte en particulier des éléments suivants :
(i) les circonstances spécifiques du transfert, notamment la longueur de la chaîne de traitement, le nombre d’intervenants et les canaux de transmission utilisés ; les transferts ultérieurs prévus ; le type de destinataire ; la finalité du traitement ; les catégories et le format des données personnelles transférées ; le secteur économique dans lequel le transfert a lieu ; le lieu de stockage des données transférées ;
(ii) les lois et pratiques du pays tiers de destination pertinentes à la lumière des circonstances particulières du transfert (notamment celles exigeant la divulgation de données aux autorités publiques ou leur permettant d’y accéder), ainsi que les limitations et garanties applicables ;
(iii) toute garantie contractuelle, technique ou opérationnelle pertinente mise en place pour compléter les garanties prévues par les présentes Clauses, notamment les mesures appliquées lors de la transmission et du traitement des données personnelles dans le pays de destination.
(c) L’importateur de données certifie que, dans le cadre de l’évaluation visée au point (b), il s’est efforcé de fournir à l’exportateur de données les informations utiles et accepte de continuer à coopérer avec l’exportateur de données afin de garantir le respect des présentes Clauses.
(d) Les Parties conviennent de consigner par écrit les résultats de l’évaluation prévue au point b) et de les mettre à la disposition de l’autorité de surveillance compétente à sa demande.
(e) L’importateur de données accepte de prévenir rapidement l’exportateur de données si, après avoir accepté les présentes Clauses et pendant la durée du contrat, il a des raisons de croire qu’il est ou est devenu soumis à des lois ou à des pratiques non conformes aux conditions énoncées au paragraphe a), notamment à la suite d’une modification des lois du pays tiers ou d’une mesure (par exemple une demande de divulgation) montrant que l’application de ces lois dans la pratique n’est pas conforme aux conditions énoncées au paragraphe a). L’exportateur de données transmet la notification au responsable du traitement.
(f) Après l’envoi d’une notification en application du paragraphe e), ou si l’exportateur de données a des raisons de croire que l’importateur de données ne peut plus remplir ses obligations au titre des présentes clauses, l’exportateur de données identifie sans délai les mesures appropriées que l’exportateur et/ou l’importateur de données doit mettre en œuvre pour remédier à la situation (par exemple, des mesures techniques ou opérationnelles visant à garantir la sécurité et la confidentialité des données), le cas échéant, en concertation avec le responsable du traitement. L’exportateur de données suspend le transfert de données s’il estime que ce transfert ne peut avoir lieu sans les garanties appropriées, ou si le responsable du traitement ou l’autorité de contrôle compétente lui en donne l’instruction. Dans ce cas, l’exportateur de données est en droit de résilier le contrat, dans la mesure où celui-ci porte sur le traitement de données personnelles conformément aux présentes Clauses. Si le contrat prévoit la participation de plus de deux Parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la Partie concernée, à moins que les Parties n’en aient convenu autrement. Si le contrat est résilié en vertu de la présente Clause, les paragraphes d) et e) de la Clause 16 s’appliquent.
Clause 15
Obligations de l’importateur de données en cas d’accès aux données par des autorités publiques
15.1 Notification
(a) L’importateur de données s’engage à informer rapidement (si nécessaire avec l’aide de l’exportateur de données) l’exportateur de données et, dans la mesure du possible, la personne concernée :
(i) s’il reçoit une demande juridiquement contraignante émanant d’une autorité publique, notamment judiciaire, en vue de la divulgation, conformément à la législation du pays de destination, de données personnelles transférées en vertu des présentes clauses ; cette notification doit indiquer quelles sont les données personnelles demandées, l’autorité requérante, la base juridique de la demande et la réponse apportée ; ou
(ii) s’il a connaissance de tout accès direct par les autorités publiques aux données personnelles transférées en vertu des présentes Clauses conformément aux lois du pays de destination, cette notification comprendra toutes les informations dont dispose l’importateur.
L’exportateur de données transmet la notification au responsable du traitement.
(b) Si la législation du pays de destination interdit à l’importateur de données de communiquer ces informations à l’exportateur de données et/ou à la personne concernée, l’importateur de données s’engage à faire tout ce qui est en son pouvoir pour obtenir une dérogation à cette interdiction, en vue de communiquer le plus d’informations possible dans les meilleurs délais. L’importateur de données convient de consigner par écrit les mesures qu’il a prises afin de pouvoir les justifier à la demande de l’exportateur de données.
(c) Si la législation du pays de destination le permet, l’importateur de données accepte de fournir régulièrement à l’exportateur de données, pendant toute la durée du contrat, autant d’informations utiles que possible sur les demandes reçues (notamment le nombre de demandes, le type de données demandées, l’autorité/les autorités requérante(s), si les demandes ont été contestées et l’issue de ces contestations, etc.). L’exportateur de données transmet l’information au responsable du traitement.
(d) L’importateur de données s’engage à conserver les informations visées aux paragraphes a) à c) pendant la durée du contrat et à les mettre à la disposition de l’autorité de contrôle compétente sur demande.
(e) Les paragraphes (a) à (c) ne dispensent pas l’importateur de données de se conformer à son obligation d’informer rapidement l’exportateur de données s’il n’est pas en mesure de se conformer aux présentes Clauses, conformément au paragraphe (e) de la Clause 14 et à la Clause 16.
15.2 Contrôle de légalité et minimisation des données
(a) L’importateur de données accepte d’examiner la légalité de la demande de divulgation, notamment en vérifiant si elle se situe dans les limites des pouvoirs accordés à l’autorité publique requérante, et de contester la demande si, après une évaluation minutieuse, il conclut qu’il existe des raisons valables de considérer que la demande est illégale en vertu des lois du pays de destination, des obligations imposées par le droit international et des principes de courtoisie internationale. L’importateur de données doit, dans les mêmes conditions, faire usage des recours possibles. S’il conteste une demande, l’importateur de données prend des mesures provisoires visant à suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente ait statué sur son bien-fondé. Il ne divulgue pas les données personnelles demandées tant qu’il n’est pas tenu de le faire en vertu des règles de procédure applicables. Ces exigences ne dispensent pas l’importateur de données de s’acquitter de ses obligations en vertu du point (e) de la Clause 14.
(b) L’importateur de données accepte de consigner par écrit son évaluation juridique et toute contestation de la demande de divulgation et, dans la mesure où les lois du pays de destination le permettent, de mettre la documentation à la disposition de l’exportateur de données. Il la met également à la disposition de l’autorité de contrôle compétente sur demande. L’exportateur de données transmet l’évaluation au responsable du traitement.
(c) L’importateur de données s’engage à fournir la quantité minimale d’informations autorisée lorsqu’il répond à une demande de divulgation, en se fondant sur une interprétation raisonnable de la demande.
ARTICLE IV – DISPOSITIONS FINALES
Clause 16
Non-respect des Clauses et résiliation
(a) L’importateur de données informe rapidement l’exportateur de données s’il n’est pas en mesure de respecter les présentes Clauses, quelle qu’en soit la raison.
(b) Si l’importateur de données ne respecte pas les présentes Clauses ou n’est pas en mesure de les respecter, l’exportateur de données suspend le transfert de données personnelles vers l’importateur de données jusqu’à ce qu’il soit à nouveau en mesure de les respecter ou jusqu’à ce que le contrat soit résilié. Cette disposition ne porte pas atteinte au point (f) de la Clause 14.
(c) L’exportateur de données est en droit de résilier le contrat, dans la mesure où celui-ci porte sur le traitement de données personnelles conformément aux présentes Clauses, si :
(i) l’exportateur de données a suspendu le transfert de données personnelles vers l’importateur de données conformément au paragraphe (b) et le respect des présentes clauses n’est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d’un mois à compter de la suspension ;
(ii) l’importateur de données enfreint de manière substantielle ou persistante les présentes Clauses ; ou
(iii) l’importateur de données ne se conforme pas à une décision contraignante d’un tribunal compétent ou d’une autorité de contrôle concernant les obligations qui lui incombent en vertu des présentes Clauses.
Dans ces cas, elle informe l’autorité de contrôle compétente et le responsable du traitement de ce non-respect. Si le contrat prévoit la participation de plus de deux Parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la Partie concernée, à moins que les Parties n’en aient convenu autrement.
(d) Les données personnelles qui ont été transférées avant la résiliation du contrat conformément au paragraphe c) sont, au choix de l’exportateur de données, immédiatement restituées à l’exportateur de données ou supprimées dans leur intégralité. Cela vaut également pour toutes les copies de ces données. L’importateur de données confirme la suppression des données à l’exportateur de données. L’importateur de données doit continuer à veiller au respect des présentes Clauses jusqu’à ce que les données soient supprimées ou restituées. Si la législation locale applicable à l’importateur de données interdit la restitution ou la suppression des données personnelles, l’importateur de données certifie qu’il continuera à veiller au respect des présentes Clauses et qu’il ne traitera les données que dans la mesure et pour la durée requises par ladite législation locale.
(e) Chacune des Parties peut révoquer son consentement à être liée par les présentes Clauses si (i) la Commission européenne adopte une décision en vertu du paragraphe 3 de l’article 45 du règlement (UE) 2016/679 relatif au transfert de données personnelles visées par les présentes Clauses ; ou (ii) le règlement (UE) 2016/679 s’inscrit dans le cadre juridique du pays vers lequel les données personnelles sont transférées. La présente Clause ne saurait remettre en cause les autres obligations applicables au traitement des données en question en vertu du règlement (UE) 2016/679.
Clause 17
Législation applicable
Les présentes clauses sont régies par la législation de l’un des États membres de l’Union européenne, sous réserve que ce droit permette aux tiers bénéficiaires de se prévaloir de leurs droits. Les Parties reconnaissent que cette législation est celle de la République d’Irlande.
Clause 18
Attribution de compétence
(a) Tout litige découlant des présentes Clauses sera soumis à la compétence des tribunaux d’un État membre de l’Union européenne.
(b) Les Parties conviennent que ces tribunaux seront ceux de la République d’Irlande.
(c) Une personne concernée peut également intenter une action en justice contre l’exportateur et/ou l’importateur de données devant les tribunaux de l’État membre dans lequel elle a sa résidence habituelle.
(d) Les Parties reconnaissent la compétence de ces tribunaux.
ANNEXE I
- LISTE DES PARTIES
Exportateur(s) de données :
Nom : entité identifiée comme « Client » dans l’ATD ou l’Accord.
Adresse : adresse du client telle qu’elle est indiquée dans l’ATD ou l’Accord.
Nom, fonction et coordonnées de l’interlocuteur : Les coordonnées du Client, telles qu’indiquées dans l’ATD ou l’Accord.
Activités relatives aux données transférées en vertu des présentes Clauses : activités indiquées à l’Article 2.3 et à l’Annexe 1 de l’ATD.
Signature et date : en signant l’accord et l’ATD, et en utilisant les services pour les transferts vers l’EEE, l’exportateur de données est réputé avoir signé les présentes Clauses contractuelles types et leurs Annexes respectives.
Rôle (responsable du traitement/sous-traitant) : Sous-traitant
Importateur(s) de données :
Nom : monday.com tel qu’identifié dans l’ATD.
Adresse : adresse de monday.com telle qu’indiquée dans l’Accord.
Nom, fonction et coordonnées de l’interlocuteur : coordonnées de monday.com indiquées dans l’Accord.
Activités se rapportant aux données transférées en vertu des présentes Clauses :
activités prévues par l’Article 2.3 et l’Annexe 1 de l’ATD.
Signature et date : en signant l’accord et l’ATD, et en effectuant des transferts dans l’EEE en tant qu’importateur de données au nom de l’exportateur de données, l’importateur de données est réputé avoir signé les présentes Clauses contractuelles types et leurs Annexes respectives.
Rôle (responsable du traitement/sous-traitant) : Sous-traitant
- DESCRIPTION DU TRANSFERT
Catégories de personnes concernées dont les données personnelles sont transférées
Les catégories de personnes concernées sont décrites à l’Annexe 1 (détails du traitement) de l’ATD.
Catégories de données personnelles transférées
Les catégories de données personnelles sont décrites à l’Annexe 1 (Détails du traitement) de l’ATD.
Données sensibles transférées (le cas échéant) et restrictions ou garde-fous appliqués qui tiennent pleinement compte de la nature des données et des risques encourus, tels que, par exemple, une limitation stricte de la finalité, des restrictions d’accès (notamment en limitant l’accès au seul personnel ayant suivi une formation spécialisée), la tenue d’un registre d’accès aux données, des restrictions concernant les transferts indirects ou des mesures de sécurité supplémentaires.
Les Parties n’ont pas l’intention de transférer des Données sensibles, sauf dans les conditions prévues à l’Article 2.5 de l’ATD.
La fréquence du transfert (par ex. si les données sont transférées de manière ponctuelle ou continue).
Les données à caractère personnel sont transférées de manière continue en fonction de l’utilisation des Services par le Client et de la transmission de données personnelles dans le cadre de ceux-ci.
Nature du traitement
La nature du traitement est décrite à l’Annexe 1 (Détails du traitement) de l’ATD.
Finalité(s) du transfert et du traitement subséquent des données
La finalité du traitement est décrite à l’Annexe 1 (Détails du traitement) de l’ATD.
La durée de conservation des données personnelles ou, si cela n’est pas possible, les critères utilisés pour déterminer cette durée
Les données personnelles sont conservées pendant toute la durée de l’Accord, sauf disposition contraire de l’accord et/ou de l’ATD.
Pour les transferts vers les sous-traitants et sous-traitants indirects, préciser également l’objet, la nature et la durée du traitement.
En ce qui concerne les transferts aux Sous-traitants indirects, l’objet et la nature du traitement sont indiqués sur le lien mentionné à l’article 5.2.1 de l’ATD. La durée du traitement par les Sous-traitants indirects correspond à la durée de l’Accord, sauf disposition contraire de l’Accord et/ou de l’ATD.
- AUTORITÉ DE CONTRÔLE COMPÉTENTE
Identifier la ou les autorité(s) de contrôle compétente(s) conformément à la Clause 13
L’autorité de contrôle compétente de l’exportateur de données sera déterminée conformément au RGPD.
ANNEXE II
MESURES TECHNIQUES ET OPÉRATIONNELLES, NOTAMMENT CELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES
Description des mesures techniques et opérationnelles mises en œuvre par le ou les importateur(s) de données (y compris toute certification appropriée) pour garantir un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pesant sur les droits et les libertés des personnes physiques
Les mesures techniques et opérationnelles (y compris les certifications détenues par l’importateur de données) ainsi que la portée et l’étendue de l’assistance nécessaire pour répondre aux demandes des personnes concernées sont décrites dans le RGPD et dans la documentation de sécurité.
Pour les transferts vers des sous-traitants et sous-traitans indirects, décrivez également les mesures techniques et opérationnelles à prendre par le sous-traitant ou le sous-traitant indirect pour pouvoir fournir une assistance au responsable du traitement et, pour les transferts d’un sous-traitant à un sous-traitant indirect, à l’exportateur de données.
Les mesures techniques et opérationnelles que l’importateur de données imposera aux sous-traitants sont décrites dans l’ATD.
ANNEXE III
TRANSFERTS TRANSFRONTALIERS AU ROYAUME-UNI
Tableau 1 : Les Parties : comme indiqué à l’Annexe I.A.
Tableau 2 : CCT sélectionnées, modules et Clauses sélectionnées : comme indiqué à l’Annexe I.
Tableau 3 : Informations sur les Annexes : les informations qui doivent être fournies pour les modules sélectionnés, conformément aux Annexes des CCT de l’UE (autres que les Parties), et qui, pour la présente Annexe III, figurent à l’Annexe I.
Conclusion de la présente Annexe III :
- Chacune des Parties accepte d’être liée par les conditions énoncées dans la présente Annexe III, sous réserve que l’autre Partie accepte également d’être liée par la présente Annexe III.
- Bien que l’Annexe I.A et la Clause 7 des CCT de l’UE requièrent la signature des parties, aux fins des transferts vers le Royaume-Uni, les Parties peuvent conclure la présente Annexe III de toute manière qui la rende juridiquement contraignante pour les Parties et qui permette aux personnes concernées de faire valoir leurs droits tels que définis dans la présente Annexe III. Le fait de conclure la présente Annexe III aura le même effet que la signature des CCT de l’UE et de toute partie de celles-ci.
Interprétation de la présente annexe III :
- Lorsque la présente Annexe III utilise des termes définis dans les CCT de l’UE, ces termes ont la même signification que dans celles-ci. En outre, les termes suivants ont la signification suivante :
Addendum aux CCT de l’UE | La ou les versions des CCT de l’UE auxquelles la présente annexe III est annexée, comme indiqué dans le tableau 2, y compris les informations relatives à l’Appendice. |
Informations sur les Annexes | Comme indiqué dans le tableau 3. |
Garanties appropriées | Le niveau de protection des données personnelles et des droits des personnes concernées, requis par les lois britanniques sur la protection des données lorsque les parties effectuent un transfert au Royaume-Uni en se fondant sur des clauses types de protection des données en vertu du point (d) du paragraphe 2 de l’article 46 du RGPD britannique. |
Clauses contractuelles types | Tel que défini dans l’ATD |
ICO | Le préposé à la protection des données. |
Annexe III | La présente annexe III, qui se compose de la présente annexe III intégrant l’addendum aux CCT de l’UE. |
Addendum pour le Royaume-Uni | Tel que défini dans l’ATD |
Lois britanniques sur la protection des donnée | Toutes les lois relatives à la protection des données, au traitement des données personnelles, à la vie privée et/ou aux communications électroniques actuellement en vigueur au Royaume-Uni, dont le RGPD britannique et la loi sur la protection des données de 2018. |
RGPD britannique | Tel que défini dans l’article 3 de la loi sur la protection des données de 2018. |
Royaume-Uni | Le Royaume-Uni de Grande-Bretagne et d’Irlande du Nord. |
Transfert vers le Royaume-Uni | Transfert au sens du chapitre V du RGPD britannique. |
- La présente Annexe III doit toujours être interprétée d’une manière qui soit compatible avec les lois britanniques sur la protection des données et qui permette aux Parties de s’acquitter de leur obligation de fournir les garanties appropriées.
- Si les dispositions prévues par l’addendum des CCT de l’UE modifient celles-ci d’une manière non prévue par celles-ci ou par la présente Annexe III, ces modifications ne seront pas incorporées dans la présente Annexe III et la disposition équivalente des CCT de l’UE s’y substituera.
- En cas de divergence ou de conflit entre les lois britanniques sur la protection des données et la présente Annexe III, ce sont les lois britanniques sur la protection des données qui prévalent.
- Si la signification de la présente Annexe III n’est pas claire ou si plusieurs significations sont possibles, c’est la signification la plus proche des lois britanniques sur la protection des données qui prévaut.
- Toute référence à la législation (ou à des dispositions spécifiques de celle-ci) signifie que la législation (ou la disposition spécifique) est susceptible d’être modifiée ultérieurement. Il en va de même si cette législation (ou l’une de ses dispositions) a été renforcée, réadoptée et/ou remplacée après l’entrée en vigueur du présent ATD.
Hiérarchie :
- Bien que la clause 5 des CCT de l’UE stipule que celles-ci prévalent sur tous les accords connexes entre les Parties, les Parties conviennent que, pour un transfert du Royaume-Uni, la hiérarchie de l’Article10 ci-dessous prévaudra.
- En cas de divergence ou de conflit entre la présente Annexe III et l’addendum aux CCT de l’UE (le cas échéant), la présente Annexe III prévaut sur l’addendum aux CCT de l’UE, sauf si (et dans la mesure où) les dispositions divergentes ou conflictuelles de celui-ci offrent une plus grande protection aux personnes concernées, auquel cas ces dispositions prévaudront sur celles de la présente Annexe III.
- Lorsque la présente Annexe III intègre l’Addendum aux CCT de l’UE ayant été conclu pour protéger les transferts relevant du Règlement général sur la protection des données (UE) 2016/679, les Parties reconnaissent qu’aucune disposition de la présente Annexe III n’a d’incidence sur cet Addendum.
Incorporation et modifications des CCT de l’UE:
- La présente Annexe III incorpore l’Addendum aux CCT de l’UE modifié dans la mesure nécessaire pour que :
- Ensemble, ils régissent les transferts de données entre l’exportateur de données et l’importateur de données, dans la mesure des lois britanniques sur la protection des données qui s’appliquent au traitement effectué par l’exportateur de données lors de ce transfert de données, et ils prévoient des garanties appropriées pour ces transferts de données ;
- Les Articles 9 à 11 annulent la Clause 5 (Hiérarchie) des CCT de l’UE ; et
- La présente Annexe III (y compris l’Addendum aux CCT de l’UE qui y est incorporé) est (1) régie par les lois de l’Angleterre et du Pays de Galles et (2) tout litige en découlant est résolu par les tribunaux de l’Angleterre et du Pays de Galles dans chaque cas, à moins que les lois et/ou les tribunaux d’Écosse ou d’Irlande du Nord n’aient été expressément choisis par les Parties.
- À moins que les Parties n’aient convenu d’autres modifications répondant aux exigences de la section 12 ci-dessus, les dispositions de l’Article 15 ci-dessous s’appliquent.
- Aucune modification ne peut être apportée aux CCT de l’UE si ce n’est pour satisfaire aux exigences de l’Article 12 ci-dessus.
- Les modifications suivantes sont apportées à l’addendum aux CCT de l’UE (aux fins de l’Article 12 ci-dessus) :
- Les références aux « Clauses » renvoient à la présente Annexe III, qui intègre l’addendum aux CCT de l’UE ;
- Dans la Clause 2, supprimer les mots :
« et, en ce qui concerne les transferts de données entre les responsables du traitement et les sous-traitants et/ou entre les sous-traitants et les sous-traitants indirects, des clauses contractuelles types conformément au paragraphe 7 de
l’article 28 du règlement (UE) 2016/679 » ;
- La Clause 6 (Description du (des) transfert(s)) est remplacée par ce qui suit :
« Les modalités du ou des transfert(s), notamment les catégories de données personnelles transférées et la ou les finalité(s) pour lesquelles elles sont transférées, sont précisées à l’Annexe I.B dans la mesure où les lois britanniques sur la protection des données s’appliquent au traitement effectué par l’exportateur de données lors de ce transfert. »
- La Clause 8.8 est remplacée par ce qui suit :
« Le transfert est à destination d’un pays bénéficiant d’une décision d’adéquation en vertu de l’article 17A du RGPD britannique dont relève ce transfert ;
- Les termes »Règlement (UE) 2016/679« , « Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données personnelles et à la libre circulation de ces données (règlement général sur la protection des données) » et « ce règlement » sont tous remplacés par « lois britanniques sur la protection des données ». Les références à des articles spécifiques du « Règlement (UE) 2016/679 » sont remplacées par l’article équivalent de la législation britannique sur la protection des données ;
- Les références au règlement (UE) 2018/1725 sont supprimées ;
- Les termes « Union européenne », à « Union », à « UE », à « État membre de l’UE », à « État membre » et à « UE ou État membre » sont toutes remplacées par « Royaume-Uni » ;
- La clause 13(a) et la partie C de l’Annexe I ne sont pas utilisées ;
- Les termes « autorité de contrôle compétente » et « autorité de contrôle » sont tous deux remplacés par « préposé à la protection des données » ;
- Dans la Clause 16(e), le paragraphe (i) est remplacé par :
« le secrétaire d’État établit des règlements conformément à l’article 17A de la loi sur la protection des données de 2018 régissant le transfert des données personnelles auxquelles ces clauses s’appliquent ; » ;
- La Clause 17 est remplacée par ce qui suit :
« Ces clauses sont régies par les lois de l’Angleterre et du Pays de Galles » ;
- La Clause 18 est remplacée par ce qui suit :
« Tout litige découlant des présentes Clauses sera soumis à la compétence des tribunaux d’Angleterre et du Pays de Galles. Une personne concernée peut également intenter une action en justice contre l’exportateur et/ou l’importateur de données devant les tribunaux de tout pays du Royaume-Uni. Les Parties reconnaissent la compétence de ces tribunaux. » ; et
- Les notes de bas de page des CCT de l’UE ne sont pas incluses dans la présente Annexe III, à l’exception des notes de bas de page 8, 9, 10 et 11.
Amendements à la présente Annexe III :
- Les Parties peuvent convenir de modifier la Clause 17 et/ou 18 de la présente Annexe III pour faire référence à la législation et/ou aux tribunaux d’Écosse ou d’Irlande du Nord.
- Si les Parties souhaitent modifier le format des informations figurant dans les tableaux 1, 2 ou 3 de la présente Annexe III, elles peuvent le faire en convenant de la modification par écrit, à condition que cette modification ne réduise pas les Garanties appropriées.
- L’ICO pourra publier ponctuellement une version révisée des Annexes pour le Royaume-Uni, qui :
- apporte des modifications raisonnables et proportionnées aux Annexes pour le Royaume-Uni, notamment en corrigeant les erreurs qui y figurent ; et/ou
- reflète les changements apportés aux lois britanniques sur la protection des données ;
Les Annexes révisées pour le Royaume-Uni indiquent la date à partir de laquelle les changements apportés prennent effet et la nécessité ou non pour les Parties de réexaminer la présente Annexe III, ainsi que les informations y afférentes. La présente Annexe III est automatiquement modifiée comme indiqué dans les Annexes pour le Royaume-Uni révisées à partir de la date d’entrée en vigueur indiquée.
- Si l’ICO publie une révision des Annexes pour le Royaume-Uni en vertu de l’Article 18, si une Partie, en conséquence directe de ces modifications, subit une augmentation importante, disproportionnée et démontrable de :
- ses coûts directs liés à l’exécution de ses obligations au titre de la présente Annexe III ; et/ou
- ses risques au titre de la présente Annexe III,
et si, dans les deux cas, elle a d’abord pris des mesures raisonnables pour réduire ces coûts ou ces risques afin qu’ils ne soient ni importants ni disproportionnés, cette Partie peut dénoncer la présente Annexe III à l’issue d’une période de préavis raisonnable, en notifiant par écrit cette période à l’autre Partie avant la date d’entrée en vigueur des Annexes pour le Royaume Uni révisées.
- Les Parties n’ont pas besoin du consentement d’un tiers pour apporter des modifications à la présente Annexe III, mais toute modification doit être effectuée conformément à ses dispositions.
ANNEXE IV
TRANSFERTS TRANSFRONTALIERS EN SUISSE
Les Parties conviennent que les CCT de l’UE, telles que modifiées par l’Annexe I, seront ajustées comme indiqué ci-dessous lorsque la Loi fédérale sur la protection des données du 19 juin 1992 (« LPD », et dans sa version révisée au 25 septembre 2020, le « LPD révisée ») s’applique aux transferts vers la Suisse :
- Les références aux CCT de l’UE désignent les CCT de l’UE telles que modifiées par l’Annexe IV ;
- Le Préposé fédéral à la protection des données et à la transparence (« PFPDT ») est la seule autorité de surveillance des transferts vers la Suisse exclusivement soumis au LPD ;
- Les termes « Règlement général sur la protection des données » ou « Règlement (UE) 2016/679 » tels qu’utilisés dans les CCT de l’UE doivent être interprétés comme incluant le LPD pour ce qui est des Transferts vers la Suisse.
- Les références au règlement (UE) 2018/1725 sont supprimées ;
- Les transferts vers la Suisse qui relèvent à la fois du LPD et du RGPD sont gérés par l’autorité de contrôle de l’UE mentionnée à l’Annexe I ;
- Les termes « Union », « UE » et « État membre de l’UE » ne doivent pas être interprétés de manière à empêcher les personnes concernées en Suisse d’exercer leurs droits dans leur lieu de résidence habituel (la Suisse), en vertu du point (c) de la Clause 18 des CCT de l’UE ;
- Lorsque les transferts vers la Suisse sont exclusivement soumis au LPD, toutes les références au GDPR dans les CCT de l’UE doivent être interprétées comme des références au LPD ;
- Lorsque les transferts vers la Suisse sont soumis à la fois au LPD et au RGPD de l’UE, toutes les références au RGPD dans les CCT de l’UE doivent être comprises comme des références au LPD dans la mesure où les transferts vers la Suisse sont soumis au LPD ;
- Les CCT suisses protègent également les données personnelles des personnes morales jusqu’à l’entrée en vigueur du LPD révisé.
ANNEXE V
GARANTIES SUPPLÉMENTAIRES
- En cas de transfert pour lequel les clauses contractuelles types s’appliquent, les parties conviennent de les compléter par les garanties et déclarations suivantes, le cas échéant :
(a) L’importateur de données met en place et maintient, conformément aux bonnes pratiques du secteur, des mesures visant à empêcher l’interception des données personnelles (notamment lors de leur transfert de l’exportateur de données à l’importateur de données et entre les différents systèmes et services). Pour cela, il doit mettre en place et maintenir un système de protection du réseau destiné à empêcher les pirates d’intercepter les données et à chiffrer les données personnelles en transit et au repos,afin d’empêcher les pirates de les lire.
(b) L’importateur de données fera des efforts commercialement raisonnables pour refuser, dans le respect des lois en vigueur, toute demande de surveillance massive des données personnelles protégées en vertu du RGPD, du RGPD britannique ou du LPD, notamment en vertu de l’article 702 du Foreign Intelligence Surveillance Act des États-Unis (« FISA ») ;
(c) Si l’importateur de données apprend qu’une autorité gouvernementale (y compris les forces de l’ordre) souhaite accéder à tout ou partie des Données personnelles ou en obtenir une copie, que ce soit à titre volontaire ou obligatoire, alors, à moins d’une interdiction légale ou d’une obligation légale contraire :
(i) L’importateur de données informe l’autorité gouvernementale en question qu’il est un sous-traitant des Données personnelles et que l’exportateur de données ne l’a pas autorisé à les lui communiquer. Il l’informe également que toute demande d’accès aux Données personnelles doit être adressée ou signifiée par écrit à l’exportateur de données ;
(ii) L’importateur de données utilisera des mécanismes juridiques commercialement raisonnables pour contester toute demande d’accès aux Données personnelles qui sont sous le contrôle de l’importateur de données. Sans préjudice de ce qui précède, (a) l’exportateur de données admet que cette contestation n’est pas toujours raisonnable ou possible compte tenu de la nature, de la portée, du contexte et des finalités de l’accès prévu par l’autorité gouvernementale, et (b) si, compte tenu de la nature, de la portée, du contexte et des finalités de l’accès prévu par l’autorité gouvernementale aux Données personnelles, l’importateur de données estime raisonnablement et de bonne foi qu’il est urgent d’y accéder pour se prémunir contre un risque imminent de préjudice grave envers toute personne physique ou morale, le présent paragraphe (e)(II) est sans effet. Dans ce cas, l’importateur de données doit informer dès que possible l’exportateur de données de l’accès aux données par l’autorité gouvernementale et lui communiquer toutes les informations utiles à ce sujet, sauf si la loi le lui interdit.
- Tous les 12 mois, l’importateur de données informe l’exportateur de données, à la demande écrite de ce dernier, des types de demandes légales contraignantes d’obtention de Données personnelles qu’il a reçues, uniquement dans la mesure où ces demandes ont été reçues, incluant les ordres et directives de sécurité nationale, ce qui englobe toute procédure engagée en vertu de la section 702 du FISA.