GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES

Documents pareils
GUIDE POUR LA MISE SUR LE MARCHÉ DE DISPOSITIFS MÉDICAUX SUR MESURE APPLIQUE AU SECTEUR DENTAIRE

ACCORD SUR LES MESURES CONCERNANT LES INVESTISSEMENTS ET LIEES AU COMMERCE

E 5040 TREIZIÈME LÉGISLATURE SESSION ORDINAIRE DE

LE CONSEIL DES COMMUNAUTÉS EUROPÉENNES,

Proposition de DÉCISION DU CONSEIL

CONSEIL DE L'UNION EUROPÉENNE. Bruxelles, le 16 septembre 2013 (OR. en) 13152/13 Dossier interinstitutionnel: 2013/0282 (NLE) RECH 385 COEST 240

CONSEIL DE L'UNION EUROPÉENNE. Bruxelles, le 30 mars 2009 (OR. en) 7522/09 Dossier interinstitutionnel: 2009/0020 (CNS) VISA 96 AMLAT 28

Objet: Traitement fiscal des sociétés exerçant des transactions de financement intra-groupe

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Les transferts de données à caractère personnel hors Union européenne

COMMUNICATION DE LA COMMISSION RELATIVE A LA METHODOLOGIE D ANALYSE DES AIDES D ETAT LIEES A DES COUTS ECHOUES

Projet d'accord relatif à l'aide pour la défense mutuelle entre les États-Unis et la CED (Mai 1954)

[Contractant] [Agence spatiale européenne] Licence de propriété intellectuelle de l'esa pour les besoins propres de l'agence

AVIS DE MARCHE. Marché de services de nettoyage de bâtiments et services de gestion de propriétés

COMMUNICATION N D. 134

Décision 04/77/ILR du 6 juillet 2004

TRADUCTION EXTÉRIEURE NON RÉVISÉE

Convention européenne sur l'arbitrage commercial international. Genève, 21 avril 1961

Norme internationale d information financière 5 Actifs non courants détenus en vue de la vente et activités abandonnées

Orientations sur la solvabilité du groupe

Lignes directrices concernant les contrôles à l importation dans le domaine de la sécurité et de la conformité des produits

Conditions Générales d Intervention du CSTB pour la délivrance d une HOMOLOGATION COUVERTURE

Licence ODbL (Open Database Licence) - IdéesLibres.org

REGLEMENT DE LA CONSULTATION

LIGNES DIRECTRICES POUR L'ÉTABLISSEMENT D'UNE ENTENTE SUR LA COPROPRIÉTÉ D'UNE ASSURANCE-VIE

Traité établissant une Constitution pour l'europe

COM(2013) 737 final QUATORZIÈME LÉGISLATURE SESSION ORDINAIRE DE Le 13 novembre 2013 Le 13 novembre 2013

La responsabilité de l'administration des prestations reste celle de l'administrateur.

ACCORD INTERNATIONAL SUR LA VIANDE BOVINE

LICENCE SNCF OPEN DATA

Protocole de Montréal relatif à des substances qui appauvrissent la couche d'ozone

E 3233 DOUZIÈME LÉGISLATURE SESSION ORDINAIRE DE

CONTRAT DE MAINTENANCE "Matériel informatique"

Convention de Vienne sur le droit des traités entre Etats et organisations internationales ou entre organisations internationales

COMPTES ETRANGERS EN DINARS ET COMPTES ETRANGERS EN DEVISES CONVERTIBLES. sont subordonnés à l'autorisation de la Banque Centrale de Tunisie (1).

TABLE DES MATIERES. Section 1 : Retrait Section 2 : Renonciation Section 3 : Nullité

Garantir aux enfants une protection maximale. Commission européenne DG Entreprises et industrie

Keytrade Bank CONDITIONS SPECIFIQUES «PRODUITS D ASSURANCES»

Cas n COMP/M CREDIT MUTUEL/ MONABANQ. RÈGLEMENT (CE) n 139/2004 SUR LES CONCENTRATIONS

27. Procédures de l Assemblée concernant la non-coopération (ICC-ASP/10/Res.5, annexe)

CONDITIONS PARTICULIERES APPLIQUÉES PAR LA BANQUE NATIONALE DE BELGIQUE EN MATIÈRE DE CRÉANCES PRIVÉES LORSQU ELLE AGIT EN

RÈGLEMENT (CE) N 987/2009

Luxembourg, le 9 mars 2011

(Actes non législatifs) RÈGLEMENTS

ANNEXE 3: Demande d émission et/ou de modification d un crédit documentaire à l'importation

GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES

Article L du code des assurances modifié par la loi n du 17 décembre 2007 elle même intervenue après la loi du 5 mars 2007

L 114/8 Journal officiel de l Union européenne

CONSEIL DE L'UNION EUROPÉENNE. Bruxelles, le 28 mai 2010 (OR. en) 9633/10 Dossier interinstitutionnel: 2010/0096 (NLE)

LES FONDS LIES AU SECTEUR DES ASSURANCES. Création d'un Fonds de Garantie des Assurés

ACCORD SUR LES SAUVEGARDES

CONVENTION DE PARTENARIAT AGENCES

CONTRAT DE STOCKAGE. relatif au stockage obligatoire d engrais azotés. passé entre

AVIS DE MARCHE SERVICES

La coordination des soins de santé en Europe

AVIS DE CHANGE N 5 DU MINISTRE DU PLAN ET DES FINANCES RELATIF AUX COMPTES DE NON-RESIDENTS. ( Publié au J.O.R.T. du 5 octobre 1982 )

DOCUMENT DE TRAVAIL DES SERVICES DE LA COMMISSION RÉSUMÉ DE L ANALYSE D IMPACT. accompagnant la

Siréas asbl Service International de Recherche, d Education et d Action Sociale

L assurance Santé des entreprises Des garanties innovantes à moindre coût

CHAPITRE 4. APPLICATION DE LA NOTION D ETABLISSEMENT STABLE

Règlement sur les critères d'obtention des titres de courtier d'assurance associé et de courtier d'assurance agréé

NC 06 Norme comptable relative aux Immobilisations incorporelles

COMMISSION EUROPÉENNE. Bruxelles, le 19-VII-2006 C(2006)3217 final

ETUDE COMPARATIVE : PROPOSITION DE DIRECTIVE RELATIVE AU DROIT DES CONSOMMATEURS PAR RAPPORT AU DROIT COMMUNAUTAIRE ET AU DROIT FRANÇAIS POSITIF

A) Les modifications du champ d'application du Règlement n 1346

Instituut der Bedrijfsrevisoren Institut des Reviseurs d'entreprises

ACTES PRIS EN APPLICATION DU TITRE VI DU TRAITÉ UE

D039942/02 P A R L E G O U V E R N E M E N T, À L A S S E M B L É E N A T I O N A L E E T A U S É N A T.

CODE PROFESSIONNEL. déontologie

MODULE 7 - COMPTABILITÉ

CHAPITRE Ier. - Définitions.

CONSOMMATION Proposition de directive relative aux droits des consommateurs Position et Amendements de la CGPME

CONTRAT DE LICENCE D UTILISATION DU LOGICIEL MORPH M SOUS LA FORME MORPH M PYTHON

LICENCE SNCF OPEN DATA

CONTRAT OBSEQUES ET TUTELLE : UN ARRET* PRECISE LES MODALITES D APPLICATION

Statuts et Règlements. Personne-ressource : Prière de transmettre aux intéressés dans votre société

AVIS DE MARCHE SERVICES

AVIS DE MARCHÉ FSE. Section I : Pouvoir adjudicateur. Section II : Objet du marché. I.1) Nom, adresses et point(s) de contact

TPE/PME : comment me situer et justifier de mon statut?

DOCUMENT DE CONSULTATION

Désignation/mise en place des points focaux nationaux RSI

Les partenaires du projet EJE, qui réunit les organisations représentatives de la profession

RECOURS COLLECTIFS - LA COMPÉTENCE RATIONE MATERIAE : UNE QUESTION PRÉLIMINAIRE

MODALITÉS D APPLICATION DE LA «POLITIQUE RELATIVE À LA RECONNAISSANCE

Guide du mini-guichet unique en matière de TVA

Cahier des clauses administratives particulières

Guide d identité visuelle 2014/2020

COMMISSION BANCAIRE ET FINANCIERE

AVIS RENDU EN VERTU DE L'ARTICLE 228 DU TRAITÉ CE. Prise de position de la Cour

LICENCE D UTILISATION DE LA DO NOT CALL ME LIST : CONDITIONS GENERALES

Procédure à suivre pour accéder aux applications sécurisées

CONTRAT DE MAINTENANCE INTERcom

Régime cadre exempté de notification N SA relatif aux aides à la recherche, au développement et à l innovation (RDI) pour la période

RECUEIL DE LEGISLATION. S o m m a i r e PROFESSIONELS DU SECTEUR DES ASSURANCES

PLAN DE WARRANTS 2014 EMISSION ET CONDITIONS D EXERCICE

PROGRAMMES D ENTRETIEN

N Q.)~ ARRET COUJ~ D'APPEL D'AMIENS ARR~=T DU 06 AVRIL 2006 PARTIES EN CAUSE: : &L: INTIMEE DEBATS PPELANTE RG :,05/00092 SA A: PARIS.

DEC 15/2015 ASSEMBLÉE NATIONALE SÉNAT

ACCORD SUR LES RELATIONS CINÉMATOGRAPHIQUES ENTRE LE GOUVERNEMENT DU CANADA ET LE GOUVERNEMENT DE L'ESPAGNE

Transcription:

GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES 00070/2010/FR WP 176 Liste des questions les plus fréquentes soulevées par l'entrée en vigueur de la décision 2010/87/UE de la Commission du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil Adoptée le 12 juillet 2010 Ce groupe de travail a été institué en vertu de l'article 29 de la directive 95/46/CE. Il s'agit d'un organe consultatif européen indépendant traitant des questions de protection des données et de la vie privée. Ses missions sont décrites à l'article 30 de la directive 95/46/CE et à l'article 15 de la directive 2002/58/CE. Le secrétariat est assuré par la direction C (Droits fondamentaux et citoyenneté de l'union) de la direction générale de la justice de la Commission européenne, B-1049 Bruxelles, Belgique, bureau n LX-46 01/190. Site internet: http://ec.europa.eu/justice/policies/privacy/index_en.htm

Le 5 février 2010, la Commission européenne a adopté une décision mettant à jour les clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers qui n assurent pas un niveau de protection adéquat des données (clauses contractuelles «responsable du traitement vers sous-traitant»). La nouvelle décision 2010/87/UE réglemente les transferts de données entre responsables du traitement des données établis dans l EEE et sous-traitants établis hors de l'eee et énumère les conditions à remplir par la sous-traitance ultérieure de données entre ces sous-traitants et des sous-traitants ultérieurs établis hors de l'eee. La liste des questions les plus fréquentes qui suit et qui a été dressée par le groupe de travail passe en revue certaines questions soulevées par l'application de ces nouvelles clauses types depuis leur entrée en vigueur le 15 mai 2010. Ce document reflète la position harmonisée des autorités européennes chargées de la protection des données. Cette liste ne prétend pas à l'exhaustivité et pourra être mise à jour si nécessaire. 2

I. Questions relatives à un sous-traitant établi dans l'eee Responsable EEE Sous-traitant EEE Sous-traitant ultérieur hors EEE 1) Les clauses types de la décision 2010/87/UE s'appliquent-elles en cas de transfert de données à caractère personnel d'un responsable du traitement établi dans l'eee vers un sous-traitant établi dans l'eee, puis vers un sous-traitant ultérieur établi hors de l'eee? Non. Comme l'indique le considérant 23, la décision de la Commission s applique exclusivement à la sous-traitance, par un sous-traitant établi dans un pays tiers, de ses services de traitement à un sous-traitant ultérieur établi dans un pays tiers. 2) Est-il quand même possible d'utiliser telles quelles les clauses types de la décision 2010/87/UE en cas de transfert de données à caractère personnel d'un responsable du traitement établi dans l'eee vers un sous-traitant établi dans l'eee, puis vers un sous-traitant ultérieur établi hors de l'eee? Non, cela n'est pas possible. Premièrement, on ne saurait considérer le sous-traitant établi dans l'eee comme un «importateur de données» au sens des clauses types de la décision 2010/87/UE, étant donné que la définition exige qu'il soit établi hors de l'eee. Deuxièmement, les obligations qui incombent à l'importateur en vertu des clauses types de la décision 2010/87/UE ne sont pas adaptées à un sous-traitant établi dans l'eee (notamment au regard du régime juridique applicable et du régime de responsabilité civile du sous-traitant). Troisièmement, on ne saurait considérer le sous-traitant établi dans l'eee comme un «exportateur de données» au sens des clauses types de la décision 2010/87/UE, puisque ce dernier agit par définition en tant que responsable du traitement de données. En conclusion, le groupe de travail estime qu'un sous-traitant établi dans l'eee ne doit pas être considéré comme une partie aux fins des clauses types de la décision 2010/87/UE. 3

3) Dans ces conditions, comment encadrer juridiquement les transferts effectués par un sous-traitant établi dans l'eee vers un sous-traitant ultérieur établi hors de l'eee? Dans l'attente de l'éventuelle adoption d'un nouvel instrument législatif distinct et spécifique permettant aux sous-traitants établis dans l'union de sous-traiter des activités de traitement à des sous-traitants établis dans un pays tiers (sous-traitance internationale ultérieure) (voir document de travail 161), le groupe de travail a retenu trois possibilités différentes (au choix de l'entreprise): a. contrats directs entre les responsables du traitement établis dans l'eee et les sous-traitants établis hors de l'eee; b. mandat exprès par lequel un responsable du traitement établi dans l'eee donne à un sous-traitant établi dans l'eee le pouvoir d'utiliser les clauses types de la décision 2010/87/UE en son nom et pour son compte; c. contrats ad hoc. a. Contrats directs entre les responsables du traitement établis dans l'eee et les sous-traitants établis hors de l'eee Les clauses types peuvent être signées directement par le responsable du traitement établi dans l'eee et le sous-traitant établi hors de l'eee. Dans ce cas, le sous-traitant établi hors de l'eee doit signer les clauses de la décision 2010/87/UE en qualité d'importateur de données et non de sous-traitant ultérieur. Les modalités de la relation contractuelle entre le sous-traitant établi dans l'eee et le responsable du traitement établi dans l'eee seront fixées dans l'accord de prestation de services qui sera conclu entre les deux parties et qui contiendra les instructions données par le responsable du traitement établi dans l'eee au sous-traitant établi dans l'eee ainsi que toutes les dispositions pertinentes des articles 16 et 17 de la directive UE. b. Mandat exprès par lequel un responsable du traitement établi dans l'eee donne à un sous-traitant établi dans l'eee le pouvoir d'utiliser les clauses types de la décision 2010/87/UE en son nom et pour son compte Une autre solution, qui produit les mêmes effets juridiques que la première solution, mais avec des modalités différentes, serait d'inclure dans l'accord de prestation de services un mandat exprès donnant pouvoir au sous-traitant établi dans l'eee de signer les clauses types de la décision 2010/87/UE avec le sous-traitant ultérieur établi hors de l'eee au nom et pour le compte du responsable du traitement établi dans l'eee. Ce dernier reste l'exportateur de données, le sous-traitant ultérieur étant, quant à lui, l'importateur de données. Le responsable du traitement devrait en outre marquer au préalable son accord avec le contenu des appendices 1 et 2 des clauses types de la décision 2010/87/UE. Comme nous l'expliquons à la question II, point 1), il appartient à l'exportateur de données de décider si le mandat sera général (autorisant de manière générale la sous-traitance ultérieure des données visées aux appendices 1 et 2) ou spécifique (mandat spécifique pour toute nouvelle activité de sous-traitance ultérieure). 4

c. Contrats ad hoc Aux termes de la deuxième phrase du considérant 23 de la décision de la Commission, «les États membres sont libres de tenir compte ou non du fait que les principes et garanties des clauses contractuelles types énoncées dans la présente décision ont été utilisés pour sous-traiter des activités à un sous-traitant ultérieur établi dans un pays tiers dans le but d'assurer une protection adéquate des droits des personnes concernées dont les données à caractère personnel sont transférées dans le cadre d'activités de sous-traitance ultérieure». Les contrats ad hoc doivent donc contenir les principes et garanties énoncés dans les clauses types de la décision 2010/87/UE (comme la clause du tiers bénéficiaire). En principe, le responsable du traitement établi dans l'eee et le sous-traitant ultérieur établi hors de l'eee devraient être liés par les mêmes obligations et règles en matière de responsabilité civile que celles prévues dans les clauses types de la décision 2010/87/UE. Le régime juridique applicable au sous-traitant établi dans l'eee devrait être conforme à celui établi par la directive UE. Le sous-traitant établi dans l'eee ne saurait notamment se soustraire aux responsabilités qui devraient lui incomber vis-à-vis de la personne concernée en vertu des dispositions de droit interne transposant la directive 95/46/CE. Le contrat permettra en revanche au sous-traitant établi dans l'eee d'appliquer sa propre législation aux mesures techniques et de sécurité, alors que le sous-traitant ultérieur établi hors de l'eee devra respecter la législation nationale du responsable du traitement. Toute autorité chargée de la protection des données peut évaluer les contrats ad hoc qui lui sont soumis et a le droit d'autoriser les transferts sur la base desdits contrats. 5

II. Questions relatives à un sous-traitant établi hors de l'eee Responsable EEE Sous-traitant hors EEE Sous-traitant ultérieur hors EEE 1) L accord écrit préalable du responsable du traitement (clause 11, paragraphe 1) autorisant la sous-traitance ultérieure peut-il être général, ou toute nouvelle sous-traitance ultérieure doit-elle être autorisée séparément? Les clauses types de la décision 2010/87/UE ne donnent pas d'indications à ce sujet. Le groupe de travail considère qu'il appartient au responsable du traitement de décider si un accord général préalable suffit ou si toute sous-traitance ultérieure doit faire l'objet d'un accord spécifique. Cette décision dépendra probablement du contexte du traitement, du type de données (sensibles ou non) et de la position du responsable du traitement vis-à-vis d'un tel choix. Certains responsables du traitement peuvent décider qu'un contrôle préalable et complet de l'identité de chaque sous-traitant ultérieur est nécessaire, alors que d'autres considéreront qu'une information préalable [clause 5, point h)], l'obligation de communiquer l'accord de sous-traitance [clause 5, point j)] et la garantie d'avoir le même niveau de protection (clause 11, paragraphe 1) suffisent. 2) Que faut-il entendre par «une copie de tout accord de sous-traitance ultérieure» [clause 5, point j)]? L'accord dont il est question ici est celui visé à la clause 11, paragraphe 1 (un accord écrit conclu entre l'importateur de données et le sous-traitant ultérieur établi hors de l'eee, qui impose à ce dernier les mêmes obligations que celles qui incombent à l importateur de données conformément aux clauses contractuelles types). C'est pourquoi l'importateur de données n'est pas automatiquement tenu d'envoyer tous les documents relatifs aux accords de sous-traitance ultérieure, mais uniquement ceux portant sur les dispositions contractuelles en matière de protection des données (y compris les mesures de sécurité). 6

3) Quels sont les types de «changements de transferts et d'activités de traitement de données faisant l objet du contrat» visés par l'article 7 de la décision UE? Conformément à l'article 7, paragraphe 2, tout contrat conclu en vertu de la version antérieure des clauses types (2002/16/CE) reste en vigueur dans son intégralité et n'est pas affecté par l'abrogation de la décision de 2002, à moins que les transferts et les activités de traitement de données faisant l objet du contrat aient changé. Le cas échéant, les parties sont tenues de conclure un nouveau contrat conforme aux clauses types de la décision 2010/87/UE. Selon le groupe de travail, on se trouve dans cette situation lorsqu'un changement doit être apporté à l'appendice 1 (changement de partie, de personnes concernées, de catégories de données et de traitement). Si tel est le cas, les parties peuvent décider de conclure un nouveau contrat conforme aux clauses types de la décision 2010/87/UE ou de conserver le contrat qu'elles ont signé antérieurement en vertu des clauses types de la décision 2002/16/CE. Toutefois, étant donné que ces dernières sont remplacées par les nouvelles clauses types, elles ne seront plus considérées comme des clauses types mais comme un contrat ad hoc. 4) En cas de transfert de données d'un importateur vers différents sous-traitants établis hors de l'eee (en vertu d'un contrat global conclu avec l'exportateur de données), ces derniers doivent-ils être considérés comme des sous-traitants ultérieurs ou comme des importateurs de données supplémentaires? Aux termes de la définition donnée dans les clauses types de la décision 2010/87/UE, on entend par soustraitant ultérieur tout sous-traitant engagé par l importateur de données ou par tout autre sous-traitant ultérieur de celui-ci. Si tous les sous-traitants établis hors de l EEE sont engagés par l exportateur de données, ils peuvent tous signer les clauses types en qualité d importateurs de données. Si des sous-traitants établis hors de l EEE sont engagés par l importateur de données, ils signeront le contrat en qualité de sous-traitants ultérieurs. Dans ce cas, conformément à la clause 11, paragraphe 1, l importateur de données reste pleinement responsable envers l exportateur de données du respect, par le sous-traitant ultérieur, des obligations qui lui incombent en vertu de l accord écrit conclu avec ce soustraitant. 5) En cas de transfert de données d'un importateur vers un sous-traitant ultérieur qui fournit des services à l importateur pour le compte de plusieurs exportateurs, est-il possible à l importateur de données et au sous-traitant ultérieur de conclure un contrat unique? Non. Il n est pas possible de regrouper tous les contrats en un seul. L appendice 1 du contrat sera toujours différent étant donné que l identité des exportateurs de données, et probablement aussi les catégories de données, les personnes concernées et la description de l activité de traitement ne seront pas les mêmes. 7

Les parties peuvent néanmoins décider de signer chaque contrat en faisant référence à des accords plus généraux, comme les clauses types de la décision 2010/87/UE et, éventuellement, leur appendice 2 sur les mesures techniques (à condition qu elles soient identiques pour les différents contrats, qu elles soient acceptées par l importateur de données et qu elles satisfassent aux exigences des exportateurs de données). 6) Si le sous-traitant ultérieur cosigne le contrat conclu entre l exportateur de données et l importateur de données, la condition d un accord écrit entre l importateur de données et le sous-traitant ultérieur de données, imposant à ce dernier les mêmes obligations que celles qui incombent à l importateur de données conformément aux clauses du contrat initial conclu entre l exportateur et l importateur de données (clause 11, paragraphe 1), est-elle remplie? Comme l indique clairement la 9 e note de bas de page des clauses types de la décision 2010/87/UE, cette condition peut être réputée remplie si le sous-traitant ultérieur est cosignataire du contrat conclu entre l exportateur de données et l importateur de données conformément aux clauses types. Dans ce cas, les parties ajouteront à la fin du contrat (au niveau de la signature) un champ intitulé «Au nom du sous-traitant ultérieur», avec les rubriques suivantes: «Nom (écrit en toutes lettres)», «Fonction», «Adresse», «Autres informations nécessaires pour rendre le contrat contraignant (le cas échéant)», «Signature», «sceau de l organisation». 7) Est-il possible d ajouter des clauses commerciales aux clauses types? Comme l indique clairement la clause 10, les parties ne doivent pas modifier les clauses types, mais elles restent libres d inclure d autres clauses à caractère commercial qu elles jugent nécessaires, à condition qu elles ne contredisent pas les clauses types. 8) Les exportateurs de données sont-ils tenus de déposer une copie des accords de sous-traitance ultérieure conclus entre leurs importateurs de données et leurs sous-traitants ultérieurs auprès des autorités de contrôle de la protection des données, même s ils ne sont pas partie auxdits accords? Conformément à la clause 11, paragraphe 4, l exportateur de données tient une liste des accords de sous-traitance ultérieure qui lui sont notifiés par l importateur de données conformément à la clause 5, point j) et veille à ce que cette liste soit mise à la disposition de son autorité de contrôle de la protection des données. L exportateur de données est uniquement tenu de déposer une copie du contrat auquel il est partie (conformément à la clause 8, paragraphe 1). 8

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back