Décisions de la Commission européenne
— une remarque expliquant qu’après le transfert ultérieur, les données peuvent être
traitées par un responsable du traitement établi dans un pays qui ne présente pas un
niveau approprié de protection de la vie privée des personnes ;
ou
b) l’exportateur de données et l’importateur de données acceptent les clauses d’un autre responsable du traitement qui devient alors partie aux clauses et souscrit aux mêmes obligations que l’importateur de données.
7) Catégories particulières de données
Lorsque des données qui révèlent l’origine raciale ou ethnique, les opinions
politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale,
les données relatives à la santé et à la vie sexuelle et des données relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté sont traitées, des mesures de protection supplémentaires doivent être prévues au sens de la directive
95/46/CE, notamment des mesures de sécurité appropriées telles que procéder à un
cryptage approfondi pour la transmission ou répertorier l’accès aux données sensibles.
8) Marketing direct
Lorsque des données sont traitées à des fins de marketing direct, des procédures efficaces doivent exister, permettant à la personne concernée de « s’opposer »
à ce que les données la concernant soient, à un moment ou à un autre, utilisées à une
telle fin.
9) Décisions individuelles automatisées
Les personnes concernées ont le droit de ne pas être soumises à une décision
prise uniquement sur la base du traitement automatisé de données, à moins que d’autres mesures ne soient prises pour sauvegarder les intérêts légitimes de la personne
comme le prévoit l’article 15, paragraphe 2, de la directive 95/46/CE. Lorsque la finalité du transfert est la prise d’une décision automatisée, au sens de l’article 15 de
la directive 95/46/CE qui produit des effets juridiques à l’égard de la personne ou
qui affecte de manière significative, et qui est prise sur le seul fondement d’un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité,
tels que son rendement professionnel, son crédit, sa fiabilité, son comportement, etc,
la personne doit avoir le droit de connaître la logique qui sous-tend cette décision.
APPENDICE 3 aux clauses contractuelles types
Principes obligatoires de protection des données visés au paragraphe 2 de
la clause 5 (b)
1) Limitation des transferts à une finalité spécifique
Les données ne doivent être traitées et utilisées ou communiquées ultérieurement que pour les finalités spécifiques indiquées dans l’appendice 1 aux présentes
clauses. Elles ne doivent pas être conservées plus longtemps que nécessaire aux fins
pour lesquelles elles sont transférées.
2) Droits d’accès, de rectification, d’effacement et d’opposition
Comme le prévoit l’article 12 de la directive 95/46/CE, la personne
concernée doit avoir le droit d’accéder à toutes les données traitées qui la concernent et le cas échéant, d’obtenir leur rectification, leur effacement ou leur verrouillage lorsqu’il apparaît que leur traitement ne respecte pas les principes fixés dans le
présent appendice parce que les données sont incomplètes ou inexactes. Elle doit
également être en mesure de s’opposer au traitement des données la concernant
pour des raisons impérieuses et légitimes concernant sa situation personnelle.
330
e
CNIL 22 rapport d'activité 2001