Annexe 9
La Commission examinera à l’avenir également si les clauses contractuelles
types présentées par des organisations commerciales ou d’autres parties concernées
offrent des garanties suffisantes conformément à l’article 26, paragraphe 2, de la directive 95/46/CE.
Tandis que les parties doivent être libres de convenir des règles de protection des données de fond que l’importateur de données doit respecter, certains principes de protection des données doivent s’appliquer en tout état de cause.
Les données ne doivent être traitées et ensuite utilisées ou être communiquées à d’autres qu’à des fins déterminées et ne doivent pas être conservées plus
longtemps que nécessaire.
Conformément à l’article 12 de la directive 95/46/CE la personne
concernée doit avoir un droit d’accès à toutes les données la concernant et le cas
échéant un droit de rectification, d’effacement ou d’opposition à certaines données.
D’autres transferts de données à caractère personnel à un autre responsable
du traitement établi dans un pays tiers ne doivent être permis que sous certaines
conditions, visant en particulier à garantir que les personnes concernées reçoivent
des informations correctes et ont la possibilité de s’opposer, ou dans certains cas de
retirer leur consentement.
Outre l’appréciation de la conformité des transferts vers des pays tiers avec
le droit national, les autorités de contrôle doivent également jouer un rôle-clé dans ce
mécanisme contractuel en garantissant la protection adéquate des données à caractère personnel après le transfert. Dans les circonstances particulières, les autorités de
contrôle des États membres doivent conserver la faculté d’interdire ou de suspendre
un transfert de données ou un ensemble de transferts basé sur des clauses contractuelles types dans les cas exceptionnels où il est établi qu’un transfert basé sur des termes
contractuels risque d’altérer considérablement les garanties offrant un niveau de protection adéquat à la personne concernée.
Les clauses contractuelles types doivent être exécutoires, non seulement par
les organisations parties au contrat mais également par les personnes concernées,
en particulier lorsque ces dernières subissent un dommage en raison d’une rupture du
contrat.
Le droit régissant le contrat doit être le droit de l’État membre dans lequel
l’exportateur de données est établi qui autorise un tiers bénéficiaire à faire exécuter
un contrat. Les personnes concernées doivent pouvoir être représentées par des associations ou d’autres organismes si elles le souhaitent et si le droit national l’autorise.
Pour réduire les difficultés d’ordre pratique que les personnes concernées
pourraient rencontrer lorsqu’elles tentent de faire appliquer leurs droits en vertu de
ces clauses contractuelles types, l’exportateur de données et l’importateur de données doivent être solidairement responsables des dommages résultant de toute violation des dispositions soumises à la clause du tiers bénéficiaire.
La personne concernée a le droit d’exercer un recours et d’obtenir réparation de l’exportateur de données, de l’importateur de données ou des deux pour tout
dommage résultant de toute action incompatible avec les obligations prévues par les
clauses contractuelles types. Les deux parties peuvent être exonérées de cette responsabilité si elles prouvent que ni l’une ni l’autre n’étaient responsables.
La responsabilité solidaire ne s’étend pas aux dispositions non couvertes par
la clause du tiers bénéficiaire et elle ne doit pas rendre une partie responsable du
traitement illicite effectué par l’autre partie. Bien qu’un dédommagement mutuel
entre les parties ne soit pas obligatoire pour garantir le niveau adéquat de protection
des personnes concernées et que cette disposition puisse donc être supprimée, elle
e
CNIL 22 rapport d'activité 2001
321