« ATDP »)
ACCORD CADRE DE DÉLÉGATION DE TRAITEMENT DE DONNÉES PERSONNELLES n° XXX
(« ATDP »)
entre
Etat de Vaud
représenté par
la Direction générale du numérique et des systèmes d’information
(ci-après le « Responsable du traitement » ou « DGNSI ») et
< Nom complet du fournisseur>
< Adresse>
(ci-après « Sous-traitant » ou « Fournisseur »)
DGNSI – Xxxxxx xx Xxxxxxxxxx 0 – 0000 Xxxxxx – Tél. : 000 000 00 00
TABLE DES MATIERES
1 PRÉAMBULE 4
2 DÉFINITIONS 4
3 TRAITEMENT DE DONNÉES PERSONNELLES 5
4 GARANTIES DU SOUS-TRAITANT 6
5 SECRET DE FONCTION 6
6 SOUS-TRAITANT ULTÉRIEUR 6
7 COMMUNICATION TRANSFRONTIÈRE DES DONNÉES PERSONNELLES 7
8 SÉCURITÉ DES DONNÉES PERSONNELLES ET REGISTRE DES ACTIVITÉS DE TRAITEMENT / REGISTRE DES FICHIERS 8
9 SURVEILLANCE ET DROITS D’AUDIT 9
10 ANNONCE D’INCIDENT DE SÉCURITÉ 10
11 DROITS DE LA PERSONNE CONCERNÉE ET OBLIGATION DE COOPÉRATION ET D’ASSISTANCE DU SOUS- TRAITANT 11
12 RESPONSABILITÉ ET INDEMNISATION 11
13 DURÉE ET RÉSILIATION 12
14 RESTITUTION ET SUPPRESSION D’INFORMATIONS 12
15 CLAUSES FINALES 13
ANNEXE 1 – ACCORD SPÉCIFIQUE : DESCRIPTION DES PARTIES ET DU TRAITEMENT 15
1 CONTRAT PRINCIPAL 16
2 TRAITEMENT 16
3 DROITS ET OBLIGATIONS DU RESPONSABLE DU TRAITEMENT ET DES ENTITÉS LI€S DU RESPONSABLE DU TRAITEMENT 16
4 MESURES TECHNIQUES ET ORGANISATIONNELLES 16
5 SOUS-TRAITANTS ULTÉRIEURS AUTORISÉS 17
6 ANNEXES 17
7 SIGNATURES 17
ANNEXE 2 : CLAUSES CONTRACTUELLES TYPES (SOUS-TRAITANT) 19
Document | Version | Date | Etat | Auteur | Validé par | Visa |
Contrat cadre Services professionnels ACV | V1.1 | 12.02.2024 | Finalisé | PoJu | DGNSI | CTR |
1 PRÉAMBULE
CONSIDERANT QUE les Parties ont conclu le [date] le présent Accord Cadre de Sous-traitance (« ATDP » ou « Accord ») définissant les dispositions en vertu desquelles des données personnelles sont traitées par le Sous-traitant pour le compte du Responsable de traitement.
CONSIDERANT QUE les Parties concluent un ou plusieurs contrats (« Contrat Principal ») impliquant le traitement de données personnelles, tel que défini dans un Accord Spécifique prenant la forme de l’Annexe 1 (« Accord Spécifique »).
CONSIDERANT QUE le Sous-traitant pourra avoir accès à des données personnelles concernant des personnes identifiées ou identifiables en vertu du Contrat Principal (les « Données Personnelles ») – qu’elles soient physiques ou morales (la « Personne Concernée ») ;
CONSIDERANT QUE cet accès aux Données Personnelles est uniquement accordé au Sous-traitant dans le but d’exécuter ses obligations et tâches en vertu du Contrat Principal ;
CONSIDERANT QUE les Parties ont pour objectif, par le présent Accord Cadre de Sous-traitance, d’assurer une protection adéquate en application de toutes les lois en matière de protection des données qui seraient applicables au Responsable du Traitement, y compris et en particulier la loi vaudoise sur la protection des données personnelles du 11 septembre 2007(LPrD – BLV 172.65), de même que dans la mesure applicable le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (Règlement général sur la protection des données (« RGPD »)).
CONSIDERANT QUE les droits et obligations mises à la charge du Responsable du traitement et du Sous- traitant dans cet Accord Cadre seront également applicables à toute Entité affiliée du Responsable du traitement, respectivement tout Entité affiliée du Sous-traitant, y compris à leurs Sous-traitants ultérieur (tels que définis ci-dessous), lorsqu’ils sont amenés à traiter des Données Personnelles dans le cadre de l’exécution du Contrat Principal, et que les droits et obligations définies ci-dessous doivent être comprises et interprétées comme telles ;
CONSIDERANT QUE cet Accord Xxxxx fait partie intégrante du Contrat Principal, avec pour objectif de définir les conditions en application desquelles le Sous-traitant peut traiter les Données Personnelles pour le compte du Responsable du Traitement ;
A la lumière de ce qui précède, les Parties conviennent de ce qui suit :
2 DÉFINITIONS
2.1 Les termes recevant une majuscule dans le présent Accord recevront la définition qui leur est donnée ci-après (et des termes similaires seront interprétés avec le même sens) ou, en l’absence d’une telle définition, le sens qu’ils reçoivent dans le Contrat Principal :
2.1.1 « Autorité de contrôle » veut dire (a) l’autorité de surveillance de la LPrD (APDI), (b) toute autorité similaire qui serait responsable pour assurer le respect des Lois applicables dans tout autre État, dont la Suisse ;
2.1.2 « Clauses Contractuelles Types » veut dire les clauses contractuelles figurant en Annexe 2, incluant toute modification fondée sur la clause 15.5 de l’Accord;
2.1.3 « Entité affiliée » veut dire toute entité qui détient ou contrôle, est détenue ou contrôlée par, ou est détenue ou contrôlée en commun par ou avec le Responsable du traitement, respectivement le Sous-traitant, le contrôle étant défini comme la détention directe ou indirecte du capital, d'une participation financière ou des règles qui la régissent, ou du pouvoir de faire
appliquer les règles relatives à la protection des données personnelles, que ce soit par détention des droits de vote, par contrat ou de toute autre manière ;
2.1.4 « Lois applicables » veut dire la LPrD et son Règlement d’application, ainsi que toute autre loi applicable à laquelle le Responsable du Traitement et/ou le Sous-traitant pourrait être soumis en lien avec le traitement des Données Personnelles, notamment le RGPD. Dans le cas où le RGPD est applicable, les dispositions du présent Accord qui renvoient à la LPrD sont réputées faire également références aux dispositions correspondantes du RGPD.
2.1.5 « Services » veut dire les services et autres activités qui sont à fournir ou exécuter par ou pour le compte du Sous-traitant en faveur du Responsable du traitement, conformément au Contrat Principal ;
2.1.6 « Secret de fonction » veut dire le secret tel que protégé par l’art. 320 du Code pénal suisse ainsi que toute autre norme ayant le même intérêt juridique protégé ;
2.1.7 « Sous-traitant ultérieur » veut dire toute personne (y compris toute partie-tierce ainsi que toute Entité affiliée du Sous-traitant) qui est nommée par ou au nom du Sous-traitant en vue de traiter les Données Personnelles pour le compte du Responsable du traitement en lien avec le Contrat Principal, dont ceux initialement mentionnés dans l’Annexe 3 à l’Accord ;
2.1.8 « Communication transfrontière de Données personnelles » veut dire le transfert de Données Personnelles directement ou indirectement en dehors du territoire Suisse.
3 TRAITEMENT DE DONNÉES PERSONNELLES
3.1 Le Responsable du traitement instruit le Sous-traitant de traiter les Données Personnelles dans la mesure qui est raisonnablement requise pour les Services, ceci en conformité stricte avec cet Accord ainsi que les Lois applicables et, cas échéant, le secret de fonction (art. 320 CP). Dans la mesure où il considèrerait que de telles instructions enfreindraient une ou plusieurs Lois applicables ou que d’autres formes de traitement que ceux autorisés par le Responsable du traitement s’avéreraient nécessaires pour assurer la bonne exécution du Contrat Principal ou se conformer aux Lois applicables, le Sous-traitant en informera immédiatement le Responsable du traitement en vue d’obtenir son accord écrit préalable avant de procéder audit traitement.
3.2 Tout transfert des Données Personnelles hors du lieu admis pour le traitement tel que précisé en dans l’Accord Spécifique (Annexe 1) requerra le consentement écrit préalable du Responsable du traitement.
3.3 Toute personne qui est autorisée à effectuer le traitement des Données Personnelles pour le Sous-traitant (qu’il s’agisse d’employés ou tout Sous-traitant ultérieur conformément à la clause 6 de cet Accord) sera soumise à une stricte obligation de confidentialité en lien avec les Données Personnelles ainsi que toute information qui y serait liée et verra son attention attirée sur les obligations résultant du présent Accord, étant précisé que cet accès sera limité aux seules personnes dont l’exécution des Services en dépendent pour assurer la bonne exécution du Contrat Principal.
3.4 Le Responsable du traitement peut apporter toute modification et tout ajout raisonnable à l’Accord Spécifique (Annexe 1) par notification écrite adressée au Sous-traitant, dans tous les
cas et en tout temps où cela serait considéré comme nécessaire par le Responsable du traitement afin de respecter toutes les exigences imposées par les Lois applicables.
4 GARANTIES DU SOUS-TRAITANT
4.1 Le Sous-traitant garantit que toutes les Données personnelles qu’il sera amené à traiter dans le cadre du Contrat Principal le seront uniquement afin de permettre son exécution et conformément aux Lois applicables, respectivement dans le respect du Secret de fonction
5 SECRET DE FONCTION
5.1.1 Le Sous-traitant s’engage à prendre toutes les mesures techniques et organisationnelles nécessaires pour assurer le respect du secret de fonction ancré à l’art. 320 CP auquel les parties sont toutes deux soumises, le Sous-traitant en tant qu’auxiliaire du Responsable du traitement. Le Sous-traitant ne peut à aucun moment donner accès aux, ou autrement communiquer, ces données d’une façon qui enfreindrait le secret de fonction. Il s’engage en particulier à :
a) Former les Intervenants et Entités affiliée appelés à intervenir dans le cadre de l’exécution du Traitement sur le secret de fonction auquel ils sont tenus et sa signification ;
b) Prendre les mesures contractuelles nécessaires au respect dudit secret avec les susnommés ;
c) Prendre à ses frais dans la limite du raisonnable les mesures techniques et organisationnelles que le Responsable du traitement juge essentielles pour assurer le respect du secret de fonction.
5.1.2 Le Sous-traitant s’assure également du respect effectif du secret de fonction par ses sous- traitants ultérieurs.
5.1.3 Le Sous-traitant comprend que toute violation du secret de fonction par ses soins ou soupçon d’une telle violation dûment documentée et non réfutée de manière convaincante par le Sous- traitant entraîne le droit pour le Responsable du traitement de résilier avec effet immédiat l’Accord, sans que le Responsable du traitement encoure quelque responsabilité que ce soit de ce fait. Le Sous-traitant s’engage en cette hypothèse à rembourser au Responsable du traitement tous les montants qui auraient été prépayés pour la période faisant suite à cette résiliation.
5.1.4 Si le Sous-traitant fait l’objet d’une action ou d’une procédure légale tendant à la communication d’une information soumise au secret de fonction, ou si le Sous-traitant reçoit un ordre basé sur des dispositions légales ou réglementaires de procéder à une telle communication, le Sous-traitant informera immédiatement le Responsable du traitement de ces circonstances, et, à la demande du Responsable du traitement, coopérera avec le Responsable du traitement pour s’opposer à cette communication.
6 SOUS-TRAITANT ULTÉRIEUR
6.1 Le recours à tout Sous-traitant ultérieur, y compris à toute Entité affiliée du Sous-traitant, exige l’accord écrit préalable du Responsable du traitement et ne peut intervenir que dans la mesure nécessaire pour assurer la bonne exécution du Contrat Principal, à l’exclusion de toute autre
finalité. Le Sous-traitant communiquera au Responsable du traitement le nom et toute information jugée utile par ce dernier pour lui permettre de donner son accord.
6.2 Le Sous-traitant ultérieur ne sera lui-même pas autorisé à sous-traiter à son tour tout ou une partie du traitement des Données Personnelles, à moins de disposer de l’accord écrit préalable du Responsable du traitement.
6.3 Le Sous-traitant devra en tout temps s’assurer que : (i) le Sous-traitant ultérieur est capable d’assurer et de fournir le niveau de protection des Données Personnelles qui est requis par le Contrat Principal ainsi que cet Accord, en particulier en s’assurant que le Sous-traitant a correctement et intégralement été informé et formé en lien avec la protection des données et aux exigences posées par le Secret de fonction ; (ii) le transfert des données au Sous-traitant ultérieur et leur traitement par ce dernier respecte entièrement les exigences et conditions du Secret de fonction ; (iii) sa relation avec tout Sous-traitant ultérieur autorisé est formalisé par un accord écrit intégrant des termes qui offrent au-moins un niveau de protection aux Données personnelles qui est similaire à celui offert dans le présent Accord et qui respecte toutes les exigences des Lois applicables, y compris selon l’art. 18 LPrD ; (iv) tout traitement impliquant une Communication transfrontière des données personnelles est subordonné à l’exécution des Clauses Contractuelles Types (Annexe 2) incorporées à l’Accord avec le Sous-traitant ultérieur si l’Etat de destination n’assure pas un niveau de protection adéquat, ceci avant tout traitement des Données personnelles, et qu’une telle Communication transfrontalière est pleinement compatible et respecte en tous points les exigences liées au Secret de fonction ; (v) il fournira au Responsable du traitement les copies de tout contrat avec le Sous-traitant ultérieur conformément à la présente Xxxxxx.
6.4 Le Sous-traitant demeurera pleinement responsable envers le Responsable du traitement pour la bonne exécution des obligations liées au traitement, de même que pour tout préjudice potentiel qui serait causé à la Personne concernée et/ou au Responsable du traitement, y compris (s’agissant du Responsable du traitement) dans le cas de prétentions soulevées à son encontre par la Personne concernée.
6.5 Le Responsable du traitement autorise expressément le Sous-traitant à engager les personnes et entités listées dans l’Accord Spécifique (Annexe 1) comme Sous-traitants ultérieurs.
7 COMMUNICATION TRANSFRONTIÈRE DES DONNÉES PERSONNELLES
7.1 Les Clauses contractuelles Types (Annexe 2) n’ont aucune portée juridique, lorsque les prestations de service prévus par le Contrat Principal ont pour seul lieu de traitement la Suisse, tant pour le Responsable de traitement, pour le Sous-traitant ainsi que ses Sous-traitants ultérieurs. En principe, le Sous-traitant et ses Sous-traitants ultérieurs doivent traiter les Données personnelles en Suisse.
7.2 Par exception à ce principe, des Données personnelles peuvent être communiquées hors de Suisse si (i) l’État de destination assure un niveau de protection adéquat pour le transfert considéré ou si (ii) les Parties ont signé des Clauses Contractuelles Types (Annexe 2). Le Sous-traitant confirme que les Clauses Contractuelles Types sont suffisantes pour permettre la communication transfrontière des données, au moyen d’une appréciation des risques liées au transfert suivant la méthodologie fournie par le Responsable du traitement.
7.3 Le Sous-traitant assure que tout Sous-traitant ultérieur (qu’il s’agisse d’une partie tierce ou d’une Entité affiliée) est lié par les Clauses Contractuelles Types (Annexe 2).
7.4 Aucune donnée qui serait couverte par le Secret de fonction ne peut par principe être transférée en-dehors de Suisse par le Sous-traitant. Si le Sous-traitant estime qu’un tel transfert est néanmoins compatible avec le Secret de fonction, il doit en informer le Responsable du traitement avant tout transfert et obtenir son consentement écrit par rapport
au transfert. Ce dernier ne peut dans tous les cas intervenir qu’à la condition qu’il soit compatible avec le Secret de fonction et respecte toutes les conditions nécessaires qui y sont liées.
7.5 Si une Communication transfrontière de données personnelles est possible et légale conformément à toutes les Lois applicables y compris en l’absence de Clauses Contractuelles Types (Annexe 2), les Parties peuvent choisir de ne pas signer de telles Clauses Contractuelles Types et de justifier le transfert des Données Personnelles par d’autres fondements légaux. Cela ne libérera toutefois pas le Sous-traitant de son obligation d’assurer la légalité de toute Communication transfrontière. Il demeure dans tous les cas lié par les restrictions relatives au Secret de fonction.
8 SÉCURITÉ DES DONNÉES PERSONNELLES ET REGISTRE DES ACTIVITÉS DE TRAITEMENT / REGISTRE DES FICHIERS
8.1 Préalablement à tout traitement des Données Personnelles, le Sous-traitant devra s’assurer que toutes les mesures appropriées techniques et organisationnelles ont été prises afin d’assurer la protection des Données Personnelles vis-à-vis de tout traitement non-autorisé, leur perte, dommage ou destruction.
8.2 En particulier, le Sous-traitant doit mettre en œuvre les moyens qui sont décrits dans l’Accord Spécifique (Annexe 1) intégrant la Politique générale de sécurité des Systèmes d'information (« PGSSI »), en prenant en sus les mesures nécessaires compte tenu de la nature des Données Personnelles traitées et des circonstances du traitement, parmi lesquelles, notamment : (i) la pseudonymisation et le chiffrement des Données Personnelles ; (ii) la possibilité d’assurer en tout temps la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; (iii) la possibilité de rétablir la disponibilité des Données Personnelles et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ; (iv) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
8.3 Le Sous-traitant devra tenir un registre des activités de traitement, qui devra inclure des informations sur : (i) le nom et les coordonnées du Sous-traitant, du Responsable du traitement, de tous leurs représentants ainsi que, dans la mesure applicable, du délégué à la protection des données ; (ii) les catégories de traitements mis en œuvre ; (iii) dans la mesure nécessaire, les transferts de Données Personnelles vers un pays tiers ou une organisation internationale, avec les mesures mises en œuvre pour cette Communication transfrontière ;
(iv) une description générale des mesures de sécurité techniques et organisationnelles mentionnées dans la présente clause ainsi que dans l’Accord Spécifique (Annexe 1).
8.4 Le registre des personnes autorisées à exécuter le traitement des Données personnelles, qui doit être tenu par le Sous-traitant, devra contenir au-moins les informations suivantes : (i) le nom complet de la personne traitant les Données Personnelles ; (ii) la date d’octroi et de fin de l’autorisation d’accéder aux Données Personnelles, ainsi que l’étendue de cette autorisation ;
(iii) dans la mesure nécessaire, une référence spécifique au fait que les Données Personnelles sont traitées d’une façon impliquant une prise de décision automatisée.
8.5 Le Sous-traitant s’engage à collaborer et à mettre à la disposition du Responsable du traitement (ainsi que, dans la mesure utile, toute Entité affiliée du Responsable du traitement), dans une mesure raisonnablement exigible, toute information qui serait nécessaire pour établir
la conformité et/ou le respect de l’art. 8 du Règlement d'application de la loi du 11 septembre 2007 sur la protection des données personnelles et/ou toute autre exigence posée par l’APDI.
9 SURVEILLANCE ET DROITS D’AUDIT
9.1 En général
9.1.1 Sur requête, le Sous-traitant met à disposition du Responsable du traitement toute information qui serait nécessaire pour établir le respect du présent Accord. A la demande du Responsable du traitement, le Sous-traitant lui fait parvenir ces informations. Notamment, le Sous-traitant documente par écrit les mesures techniques et organisationnelles prises afin de garantir la protection des données et la sécurité de l’information telles qu’applicables selon la loi et selon le présent Accord.
9.2 Droit d’audit du Responsable du traitement
9.2.1 Le Sous-traitant accorde au Responsable du traitement, de même qu’à toute personne autorisée par celui-ci, le droit de mener - s’il le souhaite mais au maximum deux fois par an – des audits auprès du Sous-traitant (ainsi que, dans la mesure utile, toute Entité affiliée du Sous-traitant et/ou tout Sous-traitant ultérieur) en lien avec les Données Personnelles, afin de vérifier le respect de ses obligations prévues dans le présent Accord et dans les Lois applicables. Un tel droit existera en particulier, sans limitation, en lien avec toutes les procédures et pratiques de sécurité.
9.3 Autorités de surveillance
9.3.1 Le Sous-traitant comprend qu'en tant qu'entité publique, le Responsable du traitement, ses agents et représentants sont soumis au contrôle possible des autorités de surveillances que sont l’Autorité de protection des données et à l’information de l’État de Vaud (APDI), le Contrôle Cantonal des Finances (CCF) ainsi que la Cour des comptes (CC) (« Autorités »). Ces contrôles peuvent exiger que le Sous-traitant soit audité pour s'assurer du respect par le Responsable du traitement de ses obligations. Dans l’hypothèse où une Autorité déciderait de procéder à un tel audit, le Responsable du traitement communiquera au Sous-traitant un avis écrit, identifiant le Contrat Principal et les services y relatifs.
9.4 Modalités des audits
9.4.1 Le Responsable du traitement assure que ces droits d’audit peuvent valablement être exercés envers toute Entité affiliée du Sous-traitant et/ou tout Sous-traitant ultérieur. Le Responsable du traitement s’efforcera dans la mesure du possible de faire en sorte qu’un plan d'audit décrivant la portée, la durée et la date de début de l'audit soit proposé et adressé au préalable au Sous-traitant. L’audit devra également être supervisé par le Sous-traitant, sauf accord écrit contraire. Le Responsable du traitement fera en sorte, dans la mesure du possible, à ce que l'audit soit effectué pendant les heures de bureau normales et sans entraîner une interruption importante, déraisonnable ou excessive des activités du Sous-traitant. A l'issue de l'audit, et sauf disposition légale l’interdisant, le Responsable du traitement remettra au Sous-traitant une copie du rapport d'audit, qui devra être traité comme une Information Confidentielle. Si une lacune est constatée dans le cadre d’un tel audit, le Sous-traitant supportera seul l’entier des coûts subis par le Responsable du traitement au titre de cet audit. La Clause 9.5 est réservée.
9.5 Recours
9.5.1 Après un audit au sens de la présente Xxxxxx, le Responsable du traitement discutera des résultats avec le Sous-traitant (sauf si une telle divulgation s’avérait contraire aux intérêts du Responsable du traitement) et, si nécessaire, les Parties conviendront d'un plan (ainsi que d'un
calendrier pour le mettre en œuvre) afin de résoudre tout problème identifié dans l'audit, ce aux frais du Sous-traitant et sans préjudice des autres droits du Responsable du traitement.
9.6 Peine conventionnelle
9.6.1 Dans l’hypothèse où les résultats de l’audit mené en application de la présente Xxxxxx révéleraient des manquements de la part du Sous-traitant (ainsi que, dans la mesure utile, toute Entité affiliée du Sous-traitant et /ou tout Sous-traitant ultérieur), le Sous-traitant devra verser au Responsable de traitement une peine conventionnelle correspondant à dix pourcents (10%) du coût total par infraction, TVA incluse, mais au moins à 3000 francs par cas. Le paiement de la peine conventionnelle ne libère par le Sous-traitant de ses obligations contractuelles. Demeure réservée l’action en dommages et intérêts sur lesquels la peine conventionnelle dûment reçue par le Responsable de traitement est imputable.
10 ANNONCE D’INCIDENT DE SÉCURITÉ
10.1 Le Sous-traitant (ainsi que, dans la mesure applicable, toute entité affiliée du Sous-traitant et/ou tout Sous-traitant ultérieur) s’engage à notifier immédiatement le Responsable du traitement et la DGNSI, mais au plus tard dans un délai de 48 heures, aussitôt qu’il prend connaissance d’un incident en matière de sécurité susceptible d’avoir un impact sur les Donnée Personnelles, sans frais supplémentaires pour le Responsable du traitement ou pour la Personne concernée, ce y compris lorsque le traitement a été confié (en tout ou partie) à un Sous-traitant ultérieur.
10.2 Dans ce cadre, le Sous-traitant s’engage à collaborer avec le Responsable du traitement et/ou avec la DGNSI pour :
10.2.1 immédiatement mettre en œuvre une enquête raisonnable visant effectuer une évaluation des risques ainsi qu’une analyse des causes profondes visant à identifier et comprendre les raisons et circonstances de la violation ainsi que ses conséquences possibles ;
10.2.2 indiquer en particulier les attaques tentées ou fructueuses, ainsi que toute compromission technique réelle ou redoutée de systèmes, données ou informations, avec le cas échéant les dommages engendrés ;
10.2.3 prendre toutes les mesures nécessaires pour éviter, contenir et limiter l’impact de la violation de sécurité ;
10.2.4 aussitôt que possible, fournir au Responsable du traitement ainsi qu’à la DGNSI toutes les informations nécessaires pour lui permettre de respecter toutes ses propres obligations de notification et d’information en lien avec la violation de sécurité à l’égard de la Personne concernée, conformément à toutes les Lois applicables – une telle information doit être donnée dans un rapport écrit adressé au Responsable du traitement ainsi qu’à la DGNSI et devrait, dans toute la mesure du possible, inclure les éléments d’information suivants : (i) la description de la violation, y compris (dans la mesure du possible) une référence explicite aux catégories et nombre de personnes affectées par la violation, de même que le nombre d’événements liés à cette violation ; (ii) le nom et les coordonnées de la personne auprès de laquelle des informations supplémentaires sur la violation peuvent être obtenues ; (iii) la description des conséquences possibles de la violation ; et (iv) la description des mesures prises ou à prendre pour remédier à la violation, qui seront documentées de la façon décrite ci-dessus ;
10.2.5 documenter dans le détail toutes les mesures prises pour remédier à la violation, ceci d’une façon respectant les exigences usuelles en matière d’admission des preuves ;
10.2.6 rassembler et conserver toutes les preuves concernant la découverte, la cause, la vulnérabilité, les mesures prises pour remédier à l’incident et l’impact d’une telle violation, ceci d’une façon respectant les exigences usuelles en matière d’admission des preuves, et accorder au Responsable du traitement et/ou à la DGNSI un plein accès à l’ensemble des analyses,
rapports d’enquêtes et autres constatations (documents, données, données de journal, objet, etc.) permettant d’analyser incident ;
10.2.7 si le Responsable du traitement ou toute Entité affiliée du Responsable du traitement, ou encore la DGNSI, décide d’ouvrir une enquête concernant la violation de sécurité (ou requiert qu’une telle enquête soit ouverte), ou est sujet à une enquête similaire, assister entièrement et coopérer à une telle enquête.
11 DROITS DE LA PERSONNE CONCERNÉE ET OBLIGATION DE COOPÉRATION ET D’ASSISTANCE DU SOUS-TRAITANT
11.1 Le Responsable du traitement s’assurera que la Personne concernée reçoive toutes les informations nécessaires conformément aux Lois applicables.
11.2 Le Sous-traitant (ainsi que tout Sous-traitant ultérieur) devra coopérer entièrement et sans délai avec le Responsable du traitement en lien avec son obligation de fournir toute prestation et toute information auxquelles le Responsable du traitement serait tenu en lien avec le traitement des Données personnelles, que ce soit envers la Personne concernée ou tout tiers. Cela couvrira en particulier toute prétention émise par la Personne concernée (droit d’accès, rectification, suppression, opposition, limitation, portabilité, etc.) et/ou une Autorité de contrôle en application des Lois applicables (en particulier l’art. 38 LPrD). Le Sous-traitant devra s’assurer que toutes les mesures techniques et organisationnelles sont prises afin de pouvoir répondre rapidement et intégralement à de telles requêtes.
11.3 Le Sous-traitant (ainsi que tout Sous-traitant ultérieur) devra communiquer immédiatement au Responsable du traitement toute requête ou toute demande qu’il recevrait en lien avec le traitement des Données personnelles, et attendre les instructions du Responsable du traitement en lien avec de telles requêtes ou demandes avant d’y donner suite.
11.4 Le Sous-traitant fournira une assistance raisonnable au Responsable du traitement et/ou à la DGNSI, en lien avec toute analyse d’impact relative à la protection des données qui serait requise. La même obligation s’appliquera à toute consultation et tout échange qui interviendrait avec une autorité de contrôle, ainsi que toute autre autorité, que le Responsable du traitement considérerait nécessaire en application des Lois applicables.
11.5 Le Sous-traitant fournira une assistance raisonnable au Responsable du traitement en lien avec toute autre requête et/ou action qui porterait sur les Données Personnelles, en particulier en application de la Loi vaudoise sur l’information (« LInfo ») ou de la Loi vaudoise sur l’archivage (« LArch »).
11.6 Toute obligation du Sous-traitant conformément à cette présente clause devra être exécutée sans frais supplémentaires. Le Sous-traitant doit par ailleurs s’assurer que tout Sous-traitant ultérieur offre les mêmes garanties en termes de coopération et d’assistance, aux mêmes conditions.
12 RESPONSABILITÉ ET INDEMNISATION
12.1.1 En cas de violation des obligations et/ou garanties prévues dans le présent Accord, le Sous- traitant devra indemniser entièrement le Responsable du traitement, ses agents, employés et
toute Entité affiliée du Responsable du traitement pour toute perte, coût, dommage ou préjudice, quelle qu’en soit la forme découlant directement ou indirectement de cette violation.
12.1.2 Le Responsable du traitement restera en tout temps libre de déterminer, à son seul choix, si et comment répondre et/ou contester une prétention et/ou une responsabilité issue ou liée au traitement des Données personnelles par le Sous-traitant ou tout Sous-traitant ultérieur.
13 DURÉE ET RÉSILIATION
13.1 L’Accord Cadre est de durée indéterminée ; chaque Accord Spécifique est conclu pour la même durée que le Contrat Principal et prendra automatiquement fin au même moment que le Contrat Principal.
13.2 Nonobstant ce qui précède, toutes les obligations du Sous-traitant issues du présent Accord continueront de s’appliquer entièrement aussi longtemps que le Sous-traitant (et tout Sous- traitant ultérieur) continue de détenir des Données personnelles.
13.3 En complément à la clause 13.2 ci-dessus, les clauses suivantes continueront de s’appliquer sans limitation dans le temps, dans la mesure utile et pertinente : 3.1, 3.3, 9, 10, 11, 12, 14.4, 14.6, 15.7
13.4 Le Responsable du traitement peut suspendre tout transfert de Données personnelles et/ou tout traitement, et peut résilier le présent Accord avec effet immédiat par notification écrite, pour toute violation par le Sous-traitant de toute obligation découlant du présent Accord et/ou de toute Loi applicable si ce dernier ne l’a pas corrigé dans les 30 jours suivant la réception de l’avis écrit. Le même droit existera en cas de requête ou demande d’une autorité compétente, ainsi que dans tous cas où le traitement des Données personnelles ne serait plus possible et/ou serait limité, en particulier en raison d’un changement des Lois applicables ou de toute autre circonstance.
13.5 Dans les mêmes cas que ceux visés par la Clause 13.4 supra, le Responsable du traitement pourra résilier avec effet immédiat également le Contrat Principal.
13.6 Dans les cas de résiliation immédiate conforme à la présente clause, aucune indemnité ne sera due au Sous-traitant, que ce soit directement ou en lien avec le Sous-traitant ultérieur. Tout montant payé d’avance par le Responsable du traitement sera restitué pro rata temporis.
14 RESTITUTION ET SUPPRESSION D’INFORMATIONS
14.1 Le Sous-traitant devra, à l’issue du Contrat Principal et/ou sur requête de la Personne concernée ou du Responsable du traitement et/ou dès que requis conformément aux Lois applicables, restituer les Données personnelles au Responsable du traitement dans un format usuellement reconnu et/ou les supprimer d’une façon sécurisée, selon ce qui sera requis par le Responsable du traitement, y compris en ce qui a trait aux éventuelles copies et back-up, et assurer le respect de cette disposition par tout Sous-traitant ultérieur. Toute suppression des Données Personnelles ne peut intervenir qu’après information préalable du Responsable du traitement et accord écrit de sa part.
14.2 Le Sous-traitant devra, à l’issue du Contrat Principal et/ou sur requête écrite de la Personne concernée ou du Responsable du traitement et/ou dès que requis conformément aux Lois applicables, fournir une attestation écrite qu’il ne conserve aucune pièce ni copie des Données Personnelles, quelle qu’en soit la forme, tant personnellement qu’au-travers de tout Sous-
traitant ultérieur, et/ou que toutes les Données personnelles ont été supprimées conformément au présent Accord et aux Lois applicables.
14.3 Toute action nécessaire selon la présente section devra être mise en œuvre immédiatement, mais au plus tard dans les 30 jours.
14.4 Xxxxx demande de la Personne concernée devra être immédiatement communiquée au Responsable du traitement pour obtenir ses instructions.
14.5 Si le Sous-traitant est obligé, en application des Lois applicables, de conserver des Données personnelles nonobstant les obligations prévues ci-dessus, il devra immédiatement en informer le Responsable du traitement, de même qu’assurer en tout temps la confidentialité des Données personnelles et le respect des Lois applicables, en particulier pour ce qui est de leur sécurité. Aucun autre but que celui poursuivi conformément et de la façon requise par les Lois applicables ne pourra être poursuivi.
14.6 Les obligations de confidentialité et de protection des données imposées par le présent Accord continueront de s’appliquer conformément au présent Accord y compris après la restitution et/ou la suppression de tout matériel, support et autres éléments contenant des Données personnelles.
15 CLAUSES FINALES
15.1 Cet Accord est fait en deux exemplaires originaux, en français.
15.2 Tout changement au présent Accord devra revêtir et respecter la forme écrite.
15.3 Rien dans le présent Accord ne limite les obligations du Sous-traitant issues du Contrat Principal en lien avec la protection des Données personnelles, ni n’autorise le Sous-traitant à traiter (directement ou par tout Sous-traitant ultérieur) des Données personnelles d’une façon qui ne serait pas autorisée par le Contrat Principal.
15.4 Dans le cas d’une contradiction ou d’une incohérence entre cet Accord et les Clauses Contractuelles Types, les Clauses Contractuelles Types l’emporteront. Dans le cas d’une contradiction ou d’une incohérence entre cet Accord et le Contrat Principal, ou avec tout autre accord liant les Parties (y compris après la conclusion du présent Accord), les clauses du présent Accord l’emporteront, à-moins que les Parties n’aient convenu autrement explicitement par écrit.
15.5 Dans le cas d’un changement des Clauses Contractuelles Types (Annexe 2) qui serait nécessaire au-regard des Lois applicables (notamment suite à une décision d’une autorité compétente ou judiciaire), le Sous-traitant s’engage à signer toute nouvelle version des Clauses Contractuelles Types qui serait demandée par le Responsable du traitement. Si un tel changement affecte une ou plusieurs clauses identifiables des Clauses Contractuelles Types, leur nouvelle version sera directement applicable entre les Parties, sans qu’une signature ne soit nécessaire. La présente clause, ainsi que les engagements qui y sont pris, s’appliquent également à tout Sous-traitant ultérieur et/ou toute Entité liée du Sous-traitant. Le Responsable du traitement peut également exiger toute autre modification de l’Accord qui serait requise afin d’assurer le respect des Lois applicables et/ou se conformer à une décision d’une autorité.
15.6 Si une ou plusieurs dispositions du présent Accord s’avère nulle ou inexécutable, le reste de l’Accord restera pleinement en force et valable. La ou les clauses qui sont nulles ou inexécutables seront soit (i) modifiées de la façon nécessaire pour en assurer la validité et l’exécution, tout en respectant le plus possible la volonté des Parties, soit (si cela n’est pas
possible) (ii) interprétées de façon à retenir qu’elles n’avaient jamais été inclues dans le présent Accord. Cette nullité ou inexécutabilité n’affectera pas le Contrat Principal.
15.7 Cet Accord sera intégralement soumis au droit suisse. Le for exclusif pour tout litige ou prétention issu ou en lien avec le présent Accord (y compris en ce qui concerne son existence, sa validité et sa résiliation, ainsi que les conséquences en découlant) sera à Lausanne, Suisse.
Pour [le sous-traitant] : Pour [le responsable du traitement] :
Lieu, Date
...…........................, le ............................
Lieu, Date
Xxxxxx, le .........................................
(signature et timbre fournisseur)
(signature et timbre client)
Nom, prénom, fonction
...…........................................................
Nom, prénom, fonction
Nom, Prénom, Directeur XXX
(2è signature)
(2è signature)
Nom, prénom, fonction
...…........................................................
Nom, prénom, fonction
Nom, Prénom, Directeur XXX
ANNEXE 1 – ACCORD SPÉCIFIQUE : DESCRIPTION DES PARTIES
ET DU TRAITEMENT
N° XXX_yy.nn
avec yy: année; nn: numérotation en continue (ligne à supprimer)
soumis à l’Accord Cadre de délégation de traitement de données
personnelles N° XXX
(PO n° 45xxxxxxxx) Numéro de commande
entre
Etat de Vaud
représenté par
la Direction générale du numérique et des systèmes d’information
(ci-après le « Responsable du traitement » ou « DGNSI ») et
< Nom complet du fournisseur>
< Adresse>
(ci-après « Sous-traitant » ou « Fournisseur »)
Document | Version | Date | Etat | Auteur | Validé par | Visa |
1 CONTRAT PRINCIPAL
1.1 Les Parties ont conclu le [date] le contrat [numéro de référence du contrat] impliquant le traitement de données pour [description] (« Contrat Principal »)
2 TRAITEMENT
2.1 Objet et durée du traitement des Données personnelles
2.1.1 [Description]
2.2 Lieu du traitement
2.2.1 Suisse uniquement, [insérer la localité]
2.3 Nature et finalité du traitement des Données personnelles
2.3.1 [Description]
2.4 Types de Données personnelles traitées
2.4.1 [Description]
2.5 Catégories des Personnes concernées
2.5.1 [Description]
3 DROITS ET OBLIGATIONS DU RESPONSABLE DU TRAITEMENT ET DES ENTITÉS LI€S DU RESPONSABLE DU TRAITEMENT
3.1 Les droits et obligations du Responsable du traitement et des Entités liées du Responsable du traitement sont détaillés dans le Contrat Principal et dans l’Accord.
4 MESURES TECHNIQUES ET ORGANISATIONNELLES
4.1 En complément à toutes mesures qui seraient déjà acceptées par le Sous-traitant, le Sous- traitant s’engage à mettre en place et maintenir les mesures mentionnées dans la présente clause visant à assurer la protection des données.
4.2 Contrôle des accès aux Données personnelles
4.2.1 [Description]
4.3 Contrôle des communications et transferts
4.3.1 [Description]
4.4 Mesures organisationnelles
4.4.1 [Description]
4.5 [Etc.]
4.5.1 [Etc.]
5 SOUS-TRAITANTS ULTÉRIEURS AUTORISÉS
5.1 Liste des Sous-traitants ultérieurs autorisés au moment de la signature de l’Accord ainsi que leur localisation.
Nom du service | Raison sociale sous- traitant ultérieur | Type de prestation sous- traitée | Adresse | Pays |
XXXX | ||||
6 ANNEXES
6.1.1 Font partie intégrante du présent Accord Spécifique les annexes suivantes :
6.1.2 Annexe 1 : Clauses contractuelles types (sous-traitants)
6.1.3 Annexe 2 : PGSSI
6.1.4 Annexe 3 : [éventuellement les mesures techniques et organisationnelles du Sous-traitant ainsi que la liste des Sous-traitants ultérieurs autorisés]
7 SIGNATURES
Le présent Accord Spécifique est établi en deux exemplaires à Renens.
Chaque partie reçoit un original signé.
Pour le fournisseur : Pour le client / la DGNSI :
Lieu, Date
...…........................, le ............................
Lieu, Date
Xxxxxx, le .........................................
(signature et timbre fournisseur)
(signature et timbre client)
Nom, prénom, fonction
...…........................................................
Nom, prénom, fonction
Nom, Prénom, Directeur XXX
(2è signature)
(2è signature)
Nom, prénom, fonction
...…........................................................
Nom, prénom, fonction
Nom, Prénom, Directeur XXX
ANNEXE 2 : CLAUSES CONTRACTUELLES TYPES (SOUS-TRAITANT)
SECTION I
Clause 1
Finalités et champ d’application
a) Les présentes clauses contractuelles types visent à garantir le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)1 en cas de transfert de données à caractère personnel vers un pays tiers.
b) Les parties:
i) la ou les personnes physiques ou morales, la ou les autorités publiques, la ou les agences ou autre(s) organisme(s) (ci-après la ou les «entités») qui transfèrent les données à caractère personnel, mentionnés à l’annexe I.A. (ci-après l’«exportateur de données»), et
ii) la ou les entités d’un pays tiers qui reçoivent les données à caractère personnel de l’exportateur de données, directement ou indirectement par l’intermédiaire d’une autre entité également partie aux présentes clauses, mentionnées à l’annexe I.A. (ci-après l’«importateur de données»)
sont convenues des présentes clauses contractuelles types (ci-après les «clauses»).
c) Les présentes clauses s’appliquent au transfert de données à caractère personnel précisé à l’annexe I.B.
d) L’appendice aux présentes clauses, qui contient les annexes qui y sont mentionnées, fait partie intégrante des présentes clauses.
Clause 2
Xxxxx et invariabilité des clauses
a) Les présentes clauses établissent des garanties appropriées, notamment des droits opposables pour la personne concernée et des voies de droit effectives, en vertu de l’article 46, paragraphe 1, et de l’article
1 Si l’exportateur de données est un sous-traitant soumis au règlement (UE) 2016/679 agissant pour le compte d’une institution ou d’un organe de l’Union en tant que responsable du traitement, le recours aux présentes clauses lors du recrutement d’un autre sous-traitant (sous-traitance ultérieure) qui n’est pas soumis au règlement (UE) 2016/679 garantit également le respect de l’article 29, paragraphe 4, du règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39), dans la mesure où les présentes clauses et les obligations en matière de protection des données fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant conformément à l’article 29, paragraphe 3, du règlement (UE) 2018/1725 sont alignées. Ce sera en particulier le cas lorsque le responsable du traitement et le sous-traitant se fondent sur les clauses contractuelles types qui figurent dans la décision 2021/915.
46, paragraphe 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données de responsables du traitement à sous- traitants et/ou de sous-traitants à sous-traitants, des clauses contractuelles types en vertu de l’article 28, paragraphe 7, du règlement (UE) 2016/679, à condition qu’elles ne soient pas modifiées, sauf pour sélectionner le ou les modules appropriés ou pour ajouter ou mettre à jour des informations dans l’appendice. Cela n’empêche pas les parties d’inclure les clauses contractuelles types prévues dans les présentes clauses dans un contrat plus large et/ou d’ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les présentes clauses et qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées.
b) Les présentes clauses sont sans préjudice des obligations auxquelles l’exportateur de données est soumis en vertu du règlement (UE) 2016/679.
Clause 3
Tiers bénéficiaires
a) Les personnes concernées peuvent invoquer et faire appliquer les présentes clauses, en tant que tiers bénéficiaires, contre l’exportateur et/ou l’importateur de données, avec les exceptions suivantes:
i) clause 1, clause 2, clause 3, clause 6, clause 7;
ii) clause 8 — module 1: clause 8.5, paragraphe e), et clause 8.9, paragraphe b); module 2: clause 8.1, paragraphe b), clause 8.9, paragraphes a), c), d) et e); module 3: clause 8.1, paragraphes a), c) et d) et clause 8.9, paragraphes a), c), d), e), f) et g); module 4: clause 8.1, paragraphe b), et clause 8.3, paragraphe b);
iii) clause 9 — module 2: clause 9, paragraphes a), c), d) et e); module 3: clause 9, paragraphes a) c), d) et e);
iv) clause 12 — module 1: clause 12, paragraphes a) et d); modules 2 et 3: clause 12, paragraphes a), d) et f);
v) clause 13;
vi) clause 15.1, paragraphes c), d) et e);
vii) clause 16, paragraphe e);
viii) clause 18 — modules 1, 2 et 3: clause 18, paragraphes a) et b); module 4: clause 18.
b) Le paragraphe a) est sans préjudice des droits des personnes concernées au titre du règlement (UE) 2016/679.
Clause 4
Interprétation
a) Lorsque les présentes clauses utilisent des termes définis dans le règlement (UE) 2016/679, ceux-ci ont la même signification que dans ledit règlement.
b) Les présentes clauses sont lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679.
c) Les présentes clauses ne sont pas interprétées dans un sens contraire aux droits et obligations prévus dans le règlement (UE) 2016/679.
Clause 5
Hiérarchie
En cas de contradiction entre les présentes clauses et les dispositions des accords connexes entre les parties existant au moment où les présentes clauses sont convenues, ou souscrites par la suite, les présentes clauses prévalent.
Clause 6
Description du ou des transferts
Les détails du ou des transferts, en particulier les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles le sont, sont précisés à l’annexe I.B.
Clause 7 — Facultative
Clause d’adhésion
a) Une entité qui n’est pas partie aux présentes clauses peut, avec l’accord des parties, y adhérer à tout moment, soit en tant qu’exportateur de données soit en tant qu’importateur de données, en remplissant l’appendice et en signant l’annexe I.A.
b) Une fois l’appendice rempli et l’annexe I.A. signée, l’entité adhérente devient partie aux présentes clauses et a les droits et obligations d’un exportateur de données ou d’un importateur de données selon sa désignation dans l’annexe I.A.
c) L’entité adhérente n’a aucun droit ni obligation découlant des présentes clauses pour la période antérieure à son adhésion à celles-ci.
SECTION II — OBLIGATIONS DES PARTIES
Clause 8
Garanties en matière de protection des données
L’exportateur de données garantit qu’il a entrepris des démarches raisonnables pour s’assurer que l’importateur de données est à même, par la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire aux obligations qui lui incombent en vertu des présentes clauses.
8.1. Instructions
a) L’importateur de données ne traite les données à caractère personnel que sur instructions documentées de l’exportateur de données. L’exportateur de données peut donner ces instructions pendant toute la durée du contrat.
b) S’il n’est pas en mesure de suivre ces instructions, l’importateur de données en informe immédiatement l’exportateur de données.
8.2. Limitation des finalités
L’importateur de données traite les données à caractère personnel uniquement pour la ou les finalités spécifiques du transfert, telles que précisées à l’annexe I.B, sauf en cas d’instructions supplémentaires de l’exportateur de données.
8.3. Transparence
Sur demande, l’exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes clauses, notamment de l’appendice tel que rempli par les parties. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les mesures décrites à l’annexe II et les données à caractère personnel, l’exportateur de données peut occulter une partie du texte de l’appendice aux présentes clauses avant d’en communiquer une copie, mais fournit un résumé valable s’il serait autrement impossible, pour la personne concernée, d’en comprendre le contenu ou d’exercer ses droits. Les parties fournissent à la personne concernée, à la demande de celle-ci, les motifs des occultations, dans la mesure du possible sans révéler les informations occultées. Cette clause est sans préjudice des obligations qui incombent à l’exportateur de données en vertu des articles 13 et 14 du règlement (UE) 2016/679.
8.4. Exactitude
Si l’importateur de données se rend compte que les données à caractère personnel qu’il a reçues sont inexactes, ou sont obsolètes, il en informe l’exportateur de données dans les meilleurs délais. Dans ce cas, l’importateur de données coopère avec l’exportateur de données pour effacer ou rectifier les données.
8.5. Durée du traitement et effacement ou restitution des données
Le traitement par l’importateur de données n’a lieu que pendant la durée précisée à l’annexe I.B. Au terme de la prestation des services de traitement, l’importateur de données, à la convenance de l’exportateur de données, efface toutes les données à caractère personnel traitées pour le compte de ce dernier et lui en apporte la preuve, ou lui restitue toutes les données à caractère personnel traitées pour son compte et efface les copies existantes. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel, ce dernier garantit qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données à caractère personnel que dans la mesure où et aussi longtemps que cette législation locale l’exige. Ceci est sans préjudice de la clause 14, en particulier de l’obligation imposée à l’importateur de données par la clause 14, paragraphe e), d’informer l’exportateur de données, pendant toute la durée du contrat, s’il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences de la clause 14, paragraphe a).
8.6. Sécurité du traitement
a) L’importateur de données et, durant la transmission, l’exportateur de données mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données, notamment pour les protéger d’une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à ces données (ci-
après la «violation de données à caractère personnel»). Lors de l’évaluation du niveau de sécurité approprié, les parties tiennent dûment compte de l’état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement ainsi que des risques inhérents au traitement pour les personnes concernées. Les parties envisagent en particulier de recourir au chiffrement ou à la pseudonymisation, notamment pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d’attribuer les données à caractère personnel à une personne concernée précise restent, dans la mesure du possible, sous le contrôle exclusif de l’exportateur de données. Pour s’acquitter des obligations qui lui incombent en vertu du présent paragraphe, l’importateur de données met au moins en œuvre les mesures techniques et organisationnelles précisées à l’annexe II. Il procède à des contrôles réguliers pour s’assurer que ces mesures continuent d’offrir le niveau de sécurité approprié.
b) L’importateur de données ne donne l’accès aux données à caractère personnel aux membres de son personnel que dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Il veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
c) En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l’importateur de données au titre des présentes clauses, ce dernier prend des mesures appropriées pour remédier à la violation, y compris des mesures visant à en atténuer les effets négatifs. L’importateur de données informe également l’exportateur de données de cette violation dans les meilleurs délais après en avoir eu connaissance. Cette notification contient les coordonnées d’un point de contact auprès duquel il est possible d’obtenir plus d’informations, ainsi qu’une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données à caractère personnel concernés), de ses conséquences probables et des mesures prises ou proposées pour y remédier, y compris, le cas échéant, des mesures visant à en atténuer les effets négatifs potentiels. Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et les autres informations sont fournies par la suite, dans les meilleurs délais, à mesure qu’elles deviennent disponibles.
d) L’importateur de données coopère avec l’exportateur de données et l’aide afin de lui permettre de respecter les obligations qui lui incombent en vertu du règlement (UE) 2016/679, notamment celle d’informer l’autorité de contrôle compétente et les personnes concernées, compte tenu de la nature du traitement et des informations à la disposition de l’importateur de données.
8.7. Données sensibles
Lorsque le transfert concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, des données génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne, ou des données relatives à des condamnations pénales et à des infractions (ci-après les «données sensibles»), l’importateur de données applique les restrictions particulières et/ou les garanties supplémentaires décrites à l’annexe I.B.
8.8. Transferts ultérieurs
L’importateur de données ne divulgue les données à caractère personnel à un tiers que sur instructions documentées de l’exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l’Union européenne2 (dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après «transfert ultérieur»), que si le tiers est lié par les présentes clauses ou accepte de l’être, en vertu du module approprié, ou si:
i) le transfert ultérieur est effectué vers un pays bénéficiant d’une décision d’adéquation en vertu de l’article 45 du règlement (UE) 2016/679 qui couvre le transfert ultérieur;
ii) le tiers offre d’une autre manière des garanties appropriées conformément aux articles 46 ou 47 du règlement (UE) 2016/679 en ce qui concerne le traitement en question;
iii) le transfert ultérieur est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice dans le contexte de procédures administratives, réglementaires ou judiciaires spécifiques; ou
iv) le transfert ultérieur est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.
Tout transfert ultérieur est soumis au respect, par l’importateur de données, de toutes les autres garanties au titre des présentes clauses, en particulier de la limitation des finalités.
8.9. Documentation et conformité
a) L’importateur de données traite rapidement et de manière appropriée les demandes de renseignements de l’exportateur de données concernant le traitement au titre des présentes clauses.
b) Les parties sont en mesure de démontrer le respect des présentes clauses. En particulier, l’importateur de données conserve une trace documentaire appropriée des activités de traitement menées pour le compte de l’exportateur de données.
c) L’importateur de données met à la disposition de l’exportateur de données toutes les informations nécessaires pour démontrer le respect des obligations prévues par les présentes clauses et, à la demande de l’exportateur de données, pour permettre la réalisation d’audits des activités de traitement couvertes par les présentes clauses, et contribuer à ces audits, à intervalles raisonnables ou s’il existe des indications de non-respect. Lorsqu’il décide d’un examen ou d’un audit, l’exportateur de données peut tenir compte des certifications pertinentes détenues par l’importateur de données.
d) L’exportateur de données peut choisir de procéder à l’audit lui-même ou de mandater un auditeur indépendant. Les audits peuvent également comprendre des inspections dans les locaux ou les installations physiques de l’importateur de données et sont, le cas échéant, effectués avec un préavis raisonnable.
2 L’accord sur l’Espace économique européen (accord EEE) prévoit l’extension du marché intérieur de l’Union européenne aux trois pays de l’EEE que sont l’Islande, le Liechtenstein et la Norvège. La législation de l’Union en matière de protection des données, notamment le règlement (UE) 2016/679, est couverte par l’accord EEE et a été intégrée dans l’annexe XI de celui-ci. Dès lors, une divulgation par l’importateur de données à un tiers situé dans l’EEE ne peut être qualifiée de transfert ultérieur aux fins des présentes clauses.
e) Les parties mettent à la disposition de l’autorité de contrôle compétente, à la demande de celle-ci, les informations mentionnées aux paragraphes b) et c), y compris les résultats de tout audit.
Clause 9
Recours à des sous-traitants ultérieurs
a) OPTION 1: AUTORISATION PRÉALABLE SPÉCIFIQUE — L’importateur de données ne sous-traite aucune des activités de traitement qu’il mène pour le compte de l’exportateur de données au titre des présentes clauses à un sous-traitant ultérieur sans l’autorisation écrite préalable spécifique de l’exportateur de données. L’importateur de données soumet la demande d’autorisation spécifique au moins [précisez le délai] avant le recrutement du sous-traitant ultérieur, avec les informations nécessaires pour permettre à l’exportateur de données de se prononcer sur l’autorisation. La liste des sous-traitants ultérieurs déjà autorisés par l’exportateur de données est disponible à l’annexe III. Les parties tiennent cette annexe à jour.
b) Lorsque l’importateur de données recrute un sous-traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte de l’exportateur de données), il le fait au moyen d’un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l’importateur de données au titre des présentes clauses, notamment en ce qui concerne les droits du tiers bénéficiaire pour les personnes concernées3. Les parties conviennent qu’en respectant la présente clause, l’importateur de données satisfait aux obligations qui lui incombent en vertu de la clause 8.8. L’importateur de données veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu des présentes clauses.
c) L’importateur de données fournit à l’exportateur de données, à la demande de celui-ci, une copie du contrat avec le sous- traitant ultérieur et de ses éventuelles modifications ultérieures. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les données à caractère personnel, l’importateur de données peut occulter une partie du texte du contrat avant d’en communiquer une copie.
d) L’importateur de données reste pleinement responsable à l’égard de l’exportateur de données de l’exécution des obligations qui incombent au sous-traitant ultérieur en vertu du contrat qu’il a conclu avec lui. L’importateur de données notifie à l’exportateur de données tout manquement du sous-traitant ultérieur aux obligations qui lui incombent en vertu dudit contrat.
e) L’importateur de données convient avec le sous-traitant ultérieur d’une clause du tiers bénéficiaire en vertu de laquelle, dans les cas où l’importateur de données a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable, l’exportateur de données a le droit de résilier le contrat du sous-traitant ultérieur et de donner instruction à ce dernier d’effacer ou de restituer les données à caractère personnel.
3 Cette exigence peut être satisfaite par l’adhésion du sous-traitant ultérieur aux présentes clauses en vertu du module approprié, conformément à la clause 7.
Clause 10
Droits des personnes concernées
a) L’importateur de données informe rapidement l’exportateur de données de toute demande reçue d’une personne concernée. Il ne répond pas lui-même à cette demande, à moins d’y avoir été autorisé par l’exportateur de données.
b) L’importateur de données aide l’exportateur de données à s’acquitter de son obligation de répondre aux demandes de personnes concernées désireuses d’exercer leurs droits en vertu du règlement (UE) 2016/679. À cet égard, les parties indiquent à l’annexe II les mesures techniques et organisationnelles appropriées, compte tenu de la nature du traitement, au moyen desquelles l’aide sera fournie, ainsi que la portée et l’étendue de l’aide requise.
c) Lorsqu’il s’acquitte des obligations qui lui incombent en vertu des paragraphes a) et b), l’importateur de données se conforme aux instructions de l’exportateur de données.
Clause 11
Voies de recours
a) L’importateur de données informe les personnes concernées, sous une forme transparente et aisément accessible, au moyen d’une notification individuelle ou sur son site web, d’un point de contact autorisé à traiter les réclamations. Il traite sans délai toute réclamation reçue d’une personne concernée.
L’importateur de données convient que les personnes concernées peuvent également introduire, sans frais, une réclamation auprès d’un organe de règlement des litiges indépendant4. Il informe les personnes concernées, de la manière indiquée au paragraphe a), de ce mécanisme de recours et du fait qu’elles ne sont pas tenues d’y recourir ni de respecter une hiérarchie dans les recours.]
b) En cas de litige entre une personne concernée et l’une des parties portant sur le respect des présentes clauses, cette partie met tout en œuvre pour parvenir à un règlement à l’amiable dans les meilleurs délais. Les parties se tiennent mutuellement informées de ces litiges et, s’il y a lieu, coopèrent pour les résoudre.
c) Lorsque la personne concernée invoque un droit du tiers bénéficiaire en vertu de la clause 3, l’importateur de données accepte la décision de la personne concernée:
i) d’introduire une réclamation auprès de l’autorité de contrôle de l’État membre dans lequel se trouve sa résidence habituelle ou son lieu de travail, ou auprès de l’autorité de contrôle compétente au sens de la clause 13;
ii) de renvoyer le litige devant les juridictions compétentes au sens de la clause 18.
4 L’importateur de données ne peut proposer un règlement des litiges indépendant par une instance d’arbitrage que s’il est établi dans un pays qui a ratifié la convention de New York pour la reconnaissance et l’exécution des sentences arbitrales étrangères.
d) Les parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions énoncées à l’article 80, paragraphe 1, du règlement (UE) 2016/679.
e) L’importateur de données se conforme à une décision qui est contraignante en vertu du droit applicable de l’Union ou d’un État membre.
f) L’importateur de données convient que le choix effectué par la personne concernée ne remettra pas en cause le droit procédural et matériel de cette dernière d’obtenir réparation conformément à la législation applicable.
Clause 12
Responsabilité
a) Chaque partie est responsable envers la ou les autres parties des dommages qu’elle cause à l’autre ou aux autres parties du fait d’un manquement aux présentes clauses.
b) L’importateur de données est responsable à l’égard de la personne concernée, et la personne concernée a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’importateur de données ou son sous- traitant ultérieur du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses.
c) Nonobstant le paragraphe b), l’exportateur de données est responsable à l’égard de la personne concernée et celle-ci a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’exportateur de données ou l’importateur de données (ou son sous-traitant ultérieur) du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses. Ceci est sans préjudice de la responsabilité de l’exportateur de données et, si l’exportateur de données est un sous-traitant agissant pour le compte d’un responsable du traitement, de la responsabilité de ce dernier au titre du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas.
d) Les parties conviennent que, si l’exportateur de données est reconnu responsable, en vertu du paragraphe c), du dommage causé par l’importateur de données (ou son sous-traitant ultérieur), il a le droit de réclamer auprès de l’importateur de données la part de la réparation correspondant à la responsabilité de celui-ci dans le dommage.
e) Lorsque plusieurs parties sont responsables d’un dommage causé à la personne concernée du fait d’une violation des présentes clauses, toutes les parties responsables le sont conjointement et solidairement et la personne concernée a le droit d’intenter une action en justice contre n’importe laquelle de ces parties.
f) Les parties conviennent que, si la responsabilité d’une d’entre elles est reconnue en vertu du paragraphe e), celle-ci a le droit de réclamer auprès de l’autre ou des autres parties la part de la réparation correspondant à sa/leur responsabilité dans le dommage.
g) L’importateur de données ne peut invoquer le comportement d’un sous-traitant ultérieur pour échapper à sa propre responsabilité.
Clause 13
Contrôle
a) [Si l’exportateur de données est établi dans un État membre de l’Union:] L’autorité de contrôle chargée de garantir le respect, par l’exportateur de données, du règlement (UE) 2016/679 en ce qui concerne le transfert de données, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité de contrôle compétente.
[Si l’exportateur de données n’est pas établi dans un État membre de l’Union, mais relève du champ d’application territorial du règlement (UE) 2016/679 en vertu de son article 3, paragraphe 2, et a désigné un représentant en vertu de l’article 27, paragraphe 1, dudit règlement:] L’autorité de contrôle de l’État membre dans lequel le représentant au sens de l’article 27, paragraphe 1, du règlement (UE) 2016/679 est établi, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité de contrôle compétente.
[Si l’exportateur de données n’est pas établi dans un État membre de l’Union, mais relève du champ d’application territorial du règlement (UE) 2016/679 en vertu de son article 3, paragraphe 2 sans toutefois avoir à désigner un représentant en vertu de l’article 27, paragraphe 2, du règlement (UE) 2016/679:] L’autorité de contrôle d’un des États membres dans lesquels se trouvent les personnes concernées dont les données à caractère personnel sont transférées au titre des présentes clauses en lien avec l’offre de biens ou de services ou dont le comportement fait l’objet d’un suivi, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité compétente.
L’importateur de données accepte de se soumettre à la juridiction de l’autorité de contrôle compétente et de coopérer avec elle dans le cadre de toute procédure visant à garantir le respect des présentes clauses. En particulier, l’importateur de données accepte de répondre aux demandes de renseignements, de se soumettre à des audits et de se conformer aux mesures adoptées par l’autorité de contrôle, notamment aux mesures correctrices et compensatoires. Il confirme par écrit à l’autorité de contrôle que les mesures nécessaires ont été prises.
SECTION III — LÉGISLATIONS LOCALES ET OBLIGATIONS EN CAS D’ACCÈS DES AUTORITÉS PUBLIQUES
Clause 14
Législations et pratiques locales ayant une incidence sur le respect des clauses
a) Les parties garantissent qu’elles n’ont aucune raison de croire que la législation et les pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l’importateur de données, notamment les exigences en matière de divulgation de données à caractère personnel ou les mesures autorisant l’accès des autorités publiques à ces données, empêchent l’importateur de données de s’acquitter des obligations qui lui incombent en vertu des présentes clauses. Cette disposition repose sur l’idée que les législations et les pratiques qui respectent l’essence des libertés et droits fondamentaux et qui n’excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour préserver un des objectifs énumérés à l’article 23, paragraphe 1, du règlement (UE) 2016/679 ne sont pas en contradiction avec les présentes clauses.
b) Les parties déclarent qu’en fournissant la garantie mentionnée au paragraphe a), elles ont dûment tenu compte, en particulier, des éléments suivants:
i) des circonstances particulières du transfert, parmi lesquelles la longueur de la chaîne de traitement, le nombre d’acteurs concernés et les canaux de transmission utilisés; les transferts ultérieurs prévus; le type de destinataire; la finalité du traitement; les catégories et le format des données à caractère personnel transférées; le secteur économique dans lequel le transfert a lieu et le lieu de stockage des données transférées;
ii) des législations et des pratiques du pays tiers de destination – notamment celles qui exigent la divulgation de données aux autorités publiques ou qui autorisent l’accès de ces dernières aux données – pertinentes au regard des circonstances particulières du transfert, ainsi que des limitations et des garanties applicables5;
iii) de toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les garanties prévues par les présentes clauses, y compris les mesures appliquées pendant la transmission et au traitement des données à caractère personnel dans le pays de destination.
c) L’importateur de données garantit que, lors de l’évaluation au titre du paragraphe b), il a déployé tous les efforts possibles pour fournir des informations pertinentes à l’exportateur de données et convient qu’il continuera à coopérer avec ce dernier pour garantir le respect des présentes clauses.
d) Les parties conviennent de conserver une trace documentaire de l’évaluation au titre du paragraphe b) et de mettre cette évaluation à la disposition de l’autorité de contrôle compétente si celle-ci en fait la demande.
e) L’importateur de données accepte d’informer sans délai l’exportateur de données si, après avoir souscrit aux présentes clauses et pendant la durée du contrat, il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences du paragraphe a), notamment à la suite d’une modification de la législation du pays tiers ou d’une mesure (telle qu’une demande de divulgation) indiquant une application pratique de cette législation qui n’est pas conforme aux exigences du paragraphe a).
f) À la suite d’une notification au titre du paragraphe e), ou si l’exportateur de données a d’autres raisons de croire que l’importateur de données ne peut plus s’acquitter des obligations qui lui incombent en vertu des présentes clauses, l’exportateur de données définit sans délai les mesures appropriées (par exemple des mesures techniques ou organisationnelles visant à garantir la sécurité et la confidentialité) qu’il doit adopter et/ou qui doivent être adoptées par l’importateur de données pour remédier à la
5 En ce qui concerne l’incidence de ces législations et pratiques sur le respect des présentes clauses, différents éléments peuvent être considérés comme faisant partie d’une évaluation globale. Ces éléments peuvent inclure une expérience concrète, documentée et pertinente de cas antérieurs de demandes de divulgation émanant d’autorités publiques, ou l’absence de telles demandes, couvrant un laps de temps suffisamment représentatif. Il peut s’agir de registres internes ou d’autres documents établis de manière continue conformément au principe de diligence raisonnable et certifiés à un niveau hiérarchique élevé, pour autant que ces informations puissent être partagées légalement avec des tiers. Lorsque cette expérience pratique est invoquée pour conclure que l’importateur de données ne sera pas empêché de respecter les présentes clauses, il y a lieu de l’étayer par d’autres éléments pertinents et objectifs, et il appartient aux parties d’examiner avec soin si ces éléments, pris dans leur ensemble, ont un poids suffisant, du point de vue de leur fiabilité et de leur représentativité, pour soutenir cette conclusion. En particulier, les parties doivent s’assurer que leur expérience pratique est corroborée et non contredite par des informations fiables accessibles au public ou disponibles d’une autre manière sur l’existence ou l’absence de demandes dans le même secteur et/ou sur l’application pratique du droit, comme la jurisprudence et les rapports d’organes de contrôle indépendants.
situation. L’exportateur de données suspend le transfert de données s’il estime qu’aucune garantie appropriée ne peut être fournie pour ce transfert ou si l’autorité de contrôle compétente lui en donne l’instruction. Dans ce cas, l’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses.
g) Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement. Lorsque le contrat est résilié en vertu de la présente clause, la clause 16, paragraphes d) et e), s’applique.
Clause 15
Obligations de l’importateur de données en cas d’accès des autorités publiques
15.1. Notification
a) L’importateur de données convient d’informer sans délai l’exportateur de données et, si possible, la personne concernée (si nécessaire avec l’aide de l’exportateur de données):
i) s’il reçoit une demande juridiquement contraignante d’une autorité publique, y compris judiciaire, en vertu de la législation du pays de destination en vue de la divulgation de données à caractère personnel transférées au titre des présentes clauses; cette notification comprend des informations sur les données à caractère personnel demandées, l’autorité requérante, la base juridique de la demande et la réponse fournie; ou
ii) s’il a connaissance d’un quelconque accès direct des autorités publiques aux données à caractère personnel transférées au titre des présentes clauses en vertu de la législation du pays de destination; cette notification comprend toutes les informations dont l’importateur de données dispose.
b) Si la législation du pays de destination interdit à l’importateur de données d’informer l’exportateur de données et/ou la personne concernée, l’importateur de données convient de tout mettre en œuvre pour obtenir une levée de cette interdiction, en vue de communiquer autant d’informations que possible, dans les meilleurs délais. L’importateur de données accepte de garder une trace documentaire des efforts qu’il a déployés afin de pouvoir en apporter la preuve à l’exportateur de données, si celui-ci lui en fait la demande.
c) Lorsque la législation du pays de destination le permet, l’importateur de données accepte de fournir à l’exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d’informations utiles que possible sur les demandes reçues (notamment le nombre de demandes, le type de données demandées, la ou les autorités requérantes, la contestation ou non des demandes et l’issue de ces contestations, etc.).
d) L’importateur de données accepte de conserver les informations mentionnées aux paragraphes a) à
c) pendant la durée du contrat et de les mettre à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande.
e) Les paragraphes a) à c) sont sans préjudice de l’obligation incombant à l’importateur de données, en vertu de la clause 14, paragraphe e), et de la clause 16, d’informer sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses.
15.2. Contrôle de la légalité et minimisation des données
a) L’importateur de données accepte de contrôler la légalité de la demande de divulgation, en particulier de vérifier si elle s’inscrit dans les limites des pouvoirs conférés à l’autorité publique requérante, et de la contester si, après une évaluation minutieuse, il conclut qu’il existe des motifs raisonnables de considérer qu’elle est illégale en vertu de la législation du pays de destination, des obligations applicables en vertu du droit international et des principes de courtoisie internationale. L’importateur de données exerce les possibilités d’appel ultérieures dans les mêmes conditions. Lorsqu’il conteste une demande, l’importateur de données demande des mesures provisoires visant à suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente se prononce sur son bien- fondé. Il ne divulgue pas les données à caractère personnel demandées tant qu’il n’est pas obligé de le faire en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations incombant à l’importateur de données en vertu de la clause 14, paragraphe e).
b) L’importateur de données accepte de garder une trace documentaire de son évaluation juridique ainsi que de toute contestation de la demande de divulgation et, dans la mesure où la législation du pays de destination le permet, de mettre les documents concernés à la disposition de l’exportateur de données. Il les met également à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande.
c) L’importateur de données accepte de fournir le minimum d’informations autorisé lorsqu’il répond à une demande de divulgation, sur la base d’une interprétation raisonnable de la demande.
SECTION IV — DISPOSITIONS FINALES
Clause 16
Non-respect des clauses et résiliation
a) L’importateur de données informe sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses, quelle qu’en soit la raison.
b) Dans le cas où l’importateur de données enfreint les présentes clauses ou n’est pas en mesure de les respecter, l’exportateur de données suspend le transfert de données à caractère personnel à l’importateur de données jusqu’à ce que le respect des présentes clauses soit à nouveau garanti ou que le contrat soit résilié. Ceci est sans préjudice de la clause 14, paragraphe f).
c) L’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses, lorsque:
i) l’exportateur de données a suspendu le transfert de données à caractère personnel à l’importateur de données en vertu du paragraphe b) et que le respect des présentes clauses n’est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d’un mois à compter de la suspension;
ii) l’importateur de données enfreint gravement ou de manière persistante les présentes clauses; ou
iii) l’importateur de données ne se conforme pas à une décision contraignante d’une juridiction ou d’une autorité de contrôle compétente concernant les obligations qui lui incombent au titre des présentes clauses.
Dans ces cas, il informe l’autorité de contrôle compétente de ce non- respect. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement.
d) Les données à caractère personnel qui ont été transférées avant la résiliation du contrat au titre du paragraphe c) sont immédiatement restituées à l’exportateur de données ou effacées dans leur intégralité, à la convenance de celui-ci. Il en va de même pour toute copie des données. L’importateur de données apporte la preuve de l’effacement des données à l’exportateur de données. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel transférées, ce dernier garantit qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données que dans la mesure où et aussi longtemps que cette législation locale l’exige.
e) Chaque partie peut révoquer son consentement à être liée par les présentes clauses i) si la Commission européenne adopte une décision en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auquel les présentes clauses s’appliquent; ou ii) si le règlement (UE) 2016/679 est intégré dans le cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Ceci est sans préjudice des autres obligations qui s’appliquent au traitement en question en vertu du règlement (UE) 2016/679.
Clause 17
Droit applicable
Les présentes clauses sont régies par le droit Suisse et doivent être interprétés au regard du droit Suisse ainsi regard du règlement (UE) 2016/679.
Clause 18
Élection de for et juridiction
a) Les parties conviennent qu’il s’agit des juridictions de la Suisse, à Lausanne .
b) La personne concernée peut également poursuivre l’exportateur et/ou l’importateur de données devant les juridictions de l’État membre dans lequel elle a sa résidence habituelle.
c) Les parties acceptent de se soumettre à la compétence de ces juridictions.
APPENDICE
NOTE EXPLICATIVE:
Il doit être possible de distinguer clairement les informations applicables à chaque transfert ou catégorie de transferts et, à cet égard, de déterminer le ou les rôles respectifs des parties en tant qu’exportateur(s) et/ou importateur(s) de données. Il n’est pas forcément nécessaire de remplir et de signer des appendices distincts pour chaque transfert/catégorie de transferts et/ou relation contractuelle, si cette transparence peut être garantie au moyen d’un seul appendice. Toutefois, si cela est nécessaire pour garantir une clarté suffisante, il convient d’utiliser des appendices distincts.
ANNEXE I
A. LISTE DES PARTIES
Exportateur(s) de données: [Identité et coordonnées du ou des exportateurs de données et, le cas échéant, de leur délégué à la protection des données et/ou de leur représentant dans l’Union européenne]
1. Nom: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adresse: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Nom, fonction et coordonnées de la personne de contact: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Activités en rapport avec les données transférées au titre des présentes clauses: . . . . . . . . . . . . . . . . . . . . . . . . . .
Signature et date: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Rôle (responsable du traitement/sous-traitant): . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Importateur(s) de données: [Identité et coordonnées du ou des importateurs de données, y compris de toute personne de contact chargée de la protection des données]
1. Nom: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adresse: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Nom, fonction et coordonnées de la personne de contact: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Activités en rapport avec les données transférées au titre des présentes clauses: . . . . . . . . . . . . . . . . . . . . . . . . . .
Signature et date: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Rôle (responsable du traitement/sous-traitant): . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
B. DESCRIPTION DU TRANSFERT
La présente ANNEXE I.B. des présentes clauses est remplacée par l’ANNEXE 1 Détails concernant les Données Personnelles traitées par le Sous-traitant ci-dessus [p.13].
C. AUTORITÉ DE CONTRÔLE COMPÉTENTE
Les autorités de contrôles et de surveillance compétentes sont les suivantes :
• L’Autorité de protection des données et à l’information de l’Etat de Vaud (APDI),
• Le Contrôle Cantonal des Finances (CCF)
• La Cour des comptes (CC).
ANNEXE II
MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES
La présente ANNEXE II des présentes clauses est remplacée par l’ANNEXE 2 Description des mesures de sécurité techniques et organisationnelles ci-dessus [p.14].
ANNEXE III
La présente ANNEXE III des présentes clauses est remplacée par l’ANNEXE 2 Description des mesures de sécurité techniques et organisationnelles ci-dessous.
ANNEXE IV
Avenant aux Clauses contractuelles types – Spécificité Suisse
1. La clarification de l’article 2 peut être comprise dans le présent avenant aux Clauses contractuelles types qui s’applique dans la mesure où la loi vaudoise du 11 septembre 2007 sur la protection des données personnelles (LPrD ; BLV 172.65) est également applicable. Ainsi, l’avenant n’entrera pas en conflit avec la règle générale de la Clause 2 a) des Clauses contractuelles types selon laquelle celles-ci ne doivent pas être modifiées afin de constituer un fondement valable pour les transferts effectués selon le RGPD.
2. La référence aux États membres de l’Union européenne des présentes clauses ne doit pas être interprétée de telle manière à ce que les personnes concernées (en Suisse) voient leurs droits restreints à cause de leur résidence habituelle en Suisse.