Annexe 9
concernées, les clauses contractuelles types doivent permettre aux autorités de contrôle de soumettre les importateurs de données à des vérifications et, lorsque cela
s’avère approprié, de prendre des décisions auxquelles ces derniers devront se plier.
Les autorités de contrôle doivent avoir la faculté d’interdire ou de suspendre un transfert de données ou un ensemble de transferts basé sur les clauses contractuelles types
dans les cas exceptionnels où il est établi qu’un transfert basé sur des termes contractuels risque d’altérer considérablement les garanties et les obligations offrant un niveau de protection adéquat à la personne concernée.
(9) À l’avenir, la Commission pourra également examiner si les clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants de données établis dans des pays tiers n’offrant pas un niveau adéquat de
protection des données, présentées par des organisations commerciales ou d’autres
parties concernées, offrent des garanties suffisantes conformément à l’article 26, paragraphe 2, de la directive 95/46/CE.
(10) La divulgation de données à caractère personnel à un sous-traitant de
données établi en dehors de la Communauté constitue un échange international protégé en vertu du chapitre IV de la directive 95/46/CE. En conséquence, la présente
décision ne couvre pas le transfert de données à caractère personnel effectué par des
responsables du traitement établis dans la Communauté vers des responsables du
traitement établis en dehors de la Communauté qui relèvent du champ d’application
de la décision 2001/497/CE de la Commission du 15 juin 2001 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des
pays tiers en vertu de la directive 95/46/CE 1.
(11) Les clauses contractuelles types doivent prévoir les mesures techniques
et d’organisation assurant un niveau de sécurité adapté aux risques liés au traitement
et à la nature des données à protéger que doit mettre en œuvre un sous-traitant établi
dans un pays tiers n’offrant pas un niveau de protection adéquat. Les parties doivent
prévoir dans le contrat les mesures techniques et d’organisation qui, eu égard au
droit applicable à la protection des données, au niveau technologique et au coût de
mise en œuvre, sont nécessaires pour protéger les données à caractère personnel
contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé ou toute autre forme illicite de traitement.
(12) Afin de faciliter les flux de données provenant de la Communauté, il est
souhaitable que les sous-traitants offrant des services de traitement des données à
plusieurs responsables du traitement des données de la Communauté soient autorisés
à appliquer les mêmes mesures techniques et d’organisation liées à la sécurité, quel
que soit l’État membre d’où provient le transfert de données, notamment dans les cas
où l’importateur de données reçoit, pour un traitement ultérieur, des données originaires de différents établissements de l’exportateur de données dans la Communauté.
(13) Il convient de définir les informations minimales que les parties doivent
prévoir dans le contrat relatif au transfert. Les États membres doivent conserver la faculté de spécifier les informations que les parties doivent fournir. L’application de la
présente décision doit être évaluée à la lumière de l’expérience acquise.
(14) L’importateur de données doit traiter les données à caractère personnel
transférées pour le compte exclusif de l’exportateur de données et selon ses instructions et les obligations incluses dans les clauses. En particulier, l’importateur de données ne doit divulguer les données à caractère personnel à un tiers que
conformément à certaines conditions. L’exportateur de données doit charger l’impor1 JO L 181 du 4 juillet 2001, p. 19.
e
CNIL 22 rapport d'activité 2001
333