Entre,
Contrat de transfert de données à caractère personnel
Entre,
La SAS OPPOSETEL, Société par actions simplifiées inscrite au RCS de Nanterre sous le numéro 818 731 200, au capital de 100 000€
Située au 00-00, xxxxxxxxx Xxxxxx-Xxxx - 00000 XXXXXX - Xxxxxx Représentée SARL HSK PARTNERS, Présidente
(Ci-après dénommé "l'exportateur de données")
d'une part, et
Nom et caractéristiques de l’organisation :............................................................................................................
...............................................................................................................................................................................
Adresse : ...............................................................................................................................................................
...............................................................................................................................................................................
Représenté par ......................................................................................................................................................
En sa qualité de ayant pouvoir à cet effet
Téléphone : .................................................... Courrier électronique : ..................................................................
(Ci-après dénommé "l'importateur de données")
d'autre part,
PREAMBULE :
La SAS OPPOSETEL a été désignée par arrêté du 25 février 2016 pour gérer la liste d’opposition au démarchage téléphonique.
Dans le cadre de cette activité, la SAS OPPOSETEL confronte les fichiers de prospection des professionnels à la liste d’opposition afin d’actualiser ces fichiers, en supprimant les coordonnées des consommateurs inscrits sur ladite liste d’opposition.
Une fois cette opération réalisée, la SAS OPPOSETEL communique ce fichier actualisé aux professionnels concernés, qu’elle en rend destinataires.
Dans ce cadre, lorsqu’une société française ou européenne a recours pour ses opérations de prospection commerciale par téléphone et l’actualisation de ses fichiers au regard la liste d’opposition, au service d’un ou de plusieurs sous-traitants, la société française ou européenne (l’importateur de données) peut demander à la SAS OPPOSETEL (l’exportateur de données) de communiquer directement le fichier actualisé à son ou ses sous-traitants établis dans un pays n’assurant pas un niveau de protection suffisant de la vie privée et des libertés et des droits fondamentaux des personnes à l’égard du traitement des données à caractère personnel.
Le ou les sous-traitants agissent sur instruction de la société française ou européenne, responsable du traitement, et effectuent pour son compte des opérations de prospection commerciale par téléphone auprès de consommateurs résidant sur le territoire français.
Le présent contrat a pour objet d’encadrer les transferts de données à caractère personnel dans cette situation.
ARTICLE 1 : OBJET DU CONTRAT
L’objet des présentes est d'offrir des garanties adéquates concernant la protection de la vie privée et les libertés et droits fondamentaux des personnes lors du transfert des données à caractère personnel visées dans l'appendice 1, par l'exportateur de données vers le sous-traitant de l'importateur de données, qui est situé dans un pays n’ayant pas un niveau de protection adéquat relatif à la protection des données à caractère personnel.
ARTICLE 2 : DEFINITIONS
Au sens des présentes :
(a) "données à caractère personnel", "catégories spéciales de données", "traiter/traitement", "responsable du traitement", "sous-traitant", "personne concernée" et "autorité de contrôle" ont la même signification que dans la directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après dénommée "la directive");
(b) "l'exportateur de données", est le responsable du traitement qui transfère les données à caractère personnel ;
(c) "l'importateur de données", est le responsable du traitement qui accepte de recevoir les données à caractère personnel de l'exportateur de données pour les traiter ultérieurement conformément aux présentes clauses.
(d) le « sous-traitant », désigne le prestataire de service qui effectue les opérations de prospection commerciale et le cas échéant les opérations de confrontation à la liste d’opposition au démarchage téléphonique, le tout en agissant exclusivement et uniquement pour le compte et selon les instructions de l’importateur de donnés. Ce sous-traitant n'est pas soumis au mécanisme d'un pays tiers assurant une protection adéquate.
ARTICLE 3 : DETAILS DU TRANSFERT
Les détails du transfert, et en particulier les catégories de données à caractère personnel et les finalités pour lesquelles elles sont transférées, sont spécifiés dans l'appendice 1 qui fait partie intégrante des présentes.
ARTICLE 4 : CLAUSE DU TIERS BENEFICIAIRE
Les personnes concernées peuvent faire appliquer la présente clause ainsi que l’article 5 (b) et (c), l’article 6 (a), (b), (c), (d), (e), (f), (g), l’article 7 (1), (2), les articles 8, 10 et 12 en tant que tiers bénéficiaires. Les parties ne s'opposent pas à ce que les personnes concernées soient représentées par une association ou d'autres organismes si elles le souhaitent et si le droit national le permet.
ARTICLE 5 : OBLIGATIONS DE L'EXPORTATEUR DE DONNEES
L'exportateur de données accepte et garantit ce qui suit :
(a) le traitement des données à caractère personnel effectué par ses soins, y compris le transfert proprement dit, a été et continuera d'être, jusqu'au moment du transfert, effectué conformément à la règlementation française relative à la protection des données à caractère personnel ;
(b) il mettra à la disposition des personnes concernées, si elles le demandent, une copie des présentes clauses telles que convenues et
(c) il répondra, dans des délais raisonnables et dans la mesure du possible, aux demandes de renseignements de l'autorité de contrôle relatives au traitement des données pertinentes à caractère personnel effectué par l'importateur et à toute demande de la personne concernée quant au traitement de ses données à caractère personnel par l'importateur.
ARTICLE 6 : OBLIGATIONS DE L'IMPORTATEUR DE DONNEES
L'importateur de données accepte et garantit ce qui suit :
(a) il n'a aucune raison de croire que la législation concernant son sous-traitant l'empêche de remplir les obligations prévues par le contrat,
(b) en cas de modification de cette législation susceptible d'avoir des conséquences négatives importantes sur les garanties offertes par les clauses, il communiquera le changement à l'exportateur de données et à l'autorité de contrôle où l'exportateur de données est établi, auquel cas, l'exportateur de données a le droit de suspendre le transfert des données et/ou de résilier le contrat;
(c) son sous-traitant traitera les données à caractère personnel pour son compte et selon ses instructions conformément à l'ensemble des principes obligatoires de protection des données figurant dans l'appendice 2 ;
(d) l’importateur de données, et le cas échéant par le biais de son sous-traitant, traitera de manière appropriée et en temps opportun toutes les demandes de renseignements raisonnables émanant de l'exportateur de données ou des personnes concernées et relatives au traitement, effectué par ses soins ou pour son compte, des données à caractère personnel qui font l'objet du transfert et il coopérera avec l'autorité de contrôle compétente lors de toutes les demandes de renseignements de cette dernière et se rangera à l'avis de cette même autorité en ce qui concerne le traitement des données transférées ;
(e) à la demande de l'exportateur de données, il soumettra ses moyens de traitement de données ou ceux de son sous-traitant à une vérification qui sera effectuée par l'exportateur de données ou un organe de contrôle composé de membres indépendants possédant les qualifications professionnelles requises, choisi par l'exportateur de données et le cas échéant avec l'accord de l'autorité de contrôle;
(f) il mettra à la disposition des personnes concernées, si elles le demandent, une copie des présentes clauses telles que convenues, et il signalera le bureau qui traite les plaintes.
(g) il s’assure que son sous-traitant présente des garanties suffisantes conformément aux dispositions de l’article 35 de la loi du 6 janvier 1978 modifiée et en application des clauses contractuelles de responsable de traitement à sous-traitant conclues avec le sous-traitant pour le transfert initial de données à caractère personnel (Clauses résultant de la décision de la Commission européenne du 5 février 2010).
ARTICLE 7 RESPONSABILITE
1. Les parties conviennent que les personnes concernées ayant subi un dommage du fait d'une violation des dispositions visées à l’article 4 ont le droit d'obtenir des parties réparation du préjudice subi. Les parties conviennent qu'elles ne peuvent être exonérées de cette responsabilité que si elles prouvent que l'action incompatible avec les obligations prévues par les présentes clauses n'est imputable à aucune d'entre elles.
2. L'exportateur de données et l'importateur de données conviennent d'être solidairement responsables des dommages subis par les personnes concernées résultant d'une violation visée au paragraphe 1. En cas d'une telle violation, la personne concernée peut poursuivre en justice l'exportateur de données, l'importateur de données ou les deux à la fois.
3. Les parties conviennent que si l'une d'entre elles est tenue responsable d'une violation visée au paragraphe 1 commise par l'autre partie, la seconde partie dédommagera, dans la mesure où elle est responsable, la première partie de tout coût, charge, dommage, dépense ou perte encourue par la première partie*.
ARTICLE 8 MEDIATION ET JURIDICTION
1. Les parties conviennent que dans le cas d'un litige entre une personne concernée et l'une ou l'autre des parties qui n'est pas résolu à l'amiable et pour lequel la personne concernée invoque la disposition du tiers bénéficiaire visée à l’article 4, elles acceptent la décision de la personne concernée :
(a) de soumettre le litige à la médiation d'une personne indépendante ou, le cas échéant, de l'autorité de contrôle ;
(b) de porter le litige devant les tribunaux de l'État membre où l'exportateur de données est établi ;
2. Les parties conviennent que d'un commun accord entre une personne concernée et la partie en question, un litige peut être porté devant un organe d'arbitrage si cette partie est établie dans un pays qui a ratifié la convention de New York sur la reconnaissance et l'exécution des sentences arbitrales.
3. Les parties conviennent que les paragraphes 1 et 2 s'appliquent sans préjudice du droit procédural ou matériel de la personne concernée d'obtenir réparation conformément à d'autres dispositions du droit national ou international.
ARTICLE 9 COOPERATION AVEC LES AUTORITES DE CONTROLE
Les parties conviennent de déposer une copie du présent contrat auprès de l'autorité de contrôle si un tel dépôt est prévu par le droit national.
ARTICLE 10 RESILIATION DU CONTRAT
Les parties conviennent que la résiliation des présentes à quelque moment, dans quelque circonstance et pour quelque raison que ce soit ne les exonère pas des obligations et/ou conditions prévues par les présentes clauses à l'égard du traitement des données transférées.
ARTICLE 11 DROIT APPLICABLE
Le présent contrat est régi par le droit de l'État membre dans lequel l'exportateur de données est établi à savoir le droit français.
ARTICLE 12 MODIFICATION DU CONTRAT
Les parties s'engagent à ne pas modifier les termes des présentes clauses.
Au nom de l'exportateur de données :
Nom : Xxxx Xxxxxxxx représentant légal de la SARL HSK PARTNERS, Fonction : Présidente d’OPPOSETEL
Adresse : 00-00, xxxxxxxxx Xxxxxx-Xxxx - 00000 XXXXXX - Xxxxxx
Au nom de l'importateur de données :
Nom : .....................................................................................................................................................................
Fonction : ...............................................................................................................................................................
Adresse :................................................................................................................................................................
...............................................................................................................................................................................
Signature et Sceau de l’organisation
Appendice 1
Le présent appendice fait partie des clauses et doit être complété et signé par les parties
Exportateur de données
L'exportateur de données est : la société Opposetel titulaire d’une délégation de service public est chargée de la constitution et de l’administration de liste d’opposition au démarchage téléphonique prévue par le code de la consommation.
Importateur de données
L'importateur de données est :
...............................................................................................................................................................................
Sous-traitant de l’Importateur de données
Le Sous-traitant de l’Importateur de données est :
...............................................................................................................................................................................
...............................................................................................................................................................................
...............................................................................................................................................................................
(veuillez préciser brièvement les activités du sous-traitant qui présentent un intérêt pour le transfert)
...............................................................................................................................................................................
...............................................................................................................................................................................
Personnes concernées
Les données à caractère personnel transférées concernent les catégories suivantes de personnes concernées : les consommateurs français inscrits sur la liste d’opposition au démarchage téléphonique prévue par le code de la consommation
Finalités du transfert
Le transfert est nécessaire pour les finalités suivantes : mise à jour des fichiers de prospection des professionnels au regard de la liste d’opposition au démarchage téléphonique.
Catégories de données
Les données à caractère personnel transférées et figurant dans le fichier actualisé sont :
- numéro de téléphone
- un identifiant (ex : suite de numéros…)
- le cas échéant, l’information selon laquelle le numéro de téléphone n’a pas pu être traité
Données sensibles
Les données à caractère personnel transférées concernent les catégories suivantes de données sensibles : aucune donnée sensible.
Destinataires
Les données à caractère personnel transférées ne peuvent être divulguées qu'auprès des destinataires suivants ou des catégories suivantes de destinataires : aucun destinataire.
Limite de conservation
Les fichiers de données à caractère personnel de l’importateur de données ne sont pas conservés par Opposetel après le traitement de confrontation à la liste d’opposition. Un archivage à titre probatoire des empreintes des fichiers échangés avec l’importateur de données ou son sous-traitant est effectué pendant 5 ans.
Les fichiers de données à caractère personnel transférés par Opposetel au sous-traitant ne peuvent pas être conservés par l’importateur de données et/ou son sous-traitant en base active plus de 3 mois à compter de la confrontation à la liste d’opposition.
L’importateur ou le sous-traitant peut ensuite conserver le fichier dans une base d’archive intermédiaire à des fins probatoires pendant la durée légale de prescription.
EXPORTATEUR DE DONNEES IMPORTATEUR DE DONNEES
Nom : Xxxx Xxxxxxxx Nom : ...........................................................
Signature et Sceau de l’organisation
APPENDICE 2
Principes obligatoires de protection des données visés au paragraphe 1 de l’article 6 (c)
Ils s'appliquent sous réserve des exigences impératives de la législation nationale applicables à l'importateur de données qui ne vont pas au-delà de ce qui est nécessaire dans une société démocratique sur la base de l'un des intérêts énumérés à l'article 13, paragraphe 1, de la directive 95/46/CE, c'est-à-dire, si elles constituent une mesure nécessaire pour sauvegarder la sécurité de l'Etat, la défense, la sécurité publique, la prévention, la recherche, la détection et la poursuite d'infractions pénales ou de manquements à la déontologie dans le cas de professions réglementées, un intérêt économique ou financier d'un Etat ou la protection de la personne concernée ou des droits et libertés d'autrui.
1) Limitation des transferts à une finalité spécifique
Les données ne doivent être traitées et utilisées ou communiquées ultérieurement que pour les finalités spécifiques indiquées dans l'appendice 1 aux présentes clauses. Elles ne doivent pas être conservées plus longtemps que nécessaire aux fins pour lesquelles elles sont transférées.
2) Qualité et proportionnalité des données
Les données doivent être exactes et, au besoin, actualisées. Elles doivent être adéquates, pertinentes et non excessives au regard des finalités auxquelles obéit leur transfert ou leur traitement ultérieur.
3) Transparence
Les personnes concernées doivent recevoir des informations sur les finalités du traitement et sur l'identité du responsable de ce traitement dans le pays tiers ainsi que d'autres informations, dans la mesure où elles sont nécessaires pour assurer un traitement loyal, à moins que ces informations aient déjà été fournies par l'exportateur de données.
4) Sécurité et confidentialité
Le responsable du traitement doit prendre des mesures de sécurité, sur le plan technique et au niveau de l'organisation, qui soient appropriées au regard des risques présentés par le traitement, comme l'accès non autorisé. Toute personne agissant sous l'autorité du responsable du traitement, y compris un sous-traitant, ne doit traiter les données que sur instructions du responsable.
5) Droits d'accès, de rectification, d'effacement et d'opposition
Comme le prévoit l'article 12 de la directive 95/46/CE, la personne concernée doit avoir le droit d'accéder à toutes les données traitées qui la concernent et le cas échéant, d'obtenir leur rectification, leur effacement ou leur verrouillage lorsqu'il apparaît que leur traitement ne respecte pas les principes fixés dans le présent appendice, notamment parce que ces données sont incomplètes ou inexactes. Elle doit également être en mesure de s'opposer au traitement des données la concernant pour des raisons impérieuses et légitimes concernant sa situation personnelle.
6) Restrictions aux transferts ultérieurs
Les transferts ultérieurs de données à caractère personnel effectués par l'importateur de données vers un autre responsable du traitement établi dans un pays tiers n'offrant pas un niveau de protection adéquat ou non couverts par une décision de la Commission adoptée conformément à l'article 25, paragraphe 6, de la directive 95/46/CE ne peuvent être autorisés que si:
a) les personnes concernées ont, dans le cas de catégories spéciales de données, indubitablement accepté le transfert ultérieur ou, dans les autres cas, la possibilité de s'y opposer.
Les informations minimales à fournir aux personnes concernées doivent contenir dans un langage qui leur soit compréhensible :
– l'objectif du transfert ultérieur,
– l'identification de l'exportateur de données établi dans la Communauté,
– les catégories des destinataires ultérieurs des données et les pays de destination, et
– une remarque expliquant qu'après le transfert ultérieur, les données peuvent être traitées par un responsable du traitement établi dans un pays qui ne présente pas un niveau approprié de protection de la vie privée des personnes,
ou
b) l'exportateur de données et l'importateur de données acceptent les clauses d'un autre responsable du traitement qui devient alors partie aux clauses et souscrit aux mêmes obligations que l'importateur de données.
7) Catégories particulières de données
Lorsque des données qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les données relatives à la santé et à la vie sexuelle et des données relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté sont traitées, des mesures de protection supplémentaires doivent être prévues au sens de la directive 95/46/CE, notamment des mesures de sécurité appropriées telles que procéder à un cryptage approfondi pour la transmission ou répertorier l'accès aux données sensibles.
8) Marketing direct
Lorsque des données sont traitées à des fins de marketing direct, des procédures efficaces doivent exister, permettant à la personne concernée de "s'opposer" à ce que les données la concernant soient, à un moment ou à un autre, utilisées à une telle fin.
9) Décisions individuelles automatisées
Les personnes concernées ont le droit de ne pas être soumises à une décision prise uniquement sur la base du traitement automatisé de données, à moins que d'autres mesures ne soient prises pour sauvegarder les intérêts légitimes de la personne comme le prévoit l'article 15, paragraphe 2, de la directive 95/46/CE. Lorsque la finalité du transfert est la prise d'une décision automatisée, au sens de l'article 15 de la directive 95/46/CE qui produit des effets juridiques à l'égard de la personne ou qui affecte de manière significative, et qui est prise sur le seul fondement d'un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité, tels que son rendement professionnel, son crédit, sa fiabilité, son comportement, etc, la personne doit avoir le droit de connaître la logique qui sous-tend cette décision.