Annexe 9
Article 2
La présente décision concerne uniquement le caractère adéquat de la protection fournie par les clauses contractuelles types figurant en annexe pour le transfert de données à caractère personnel. Elle n’affecte pas l’application d’autres
dispositions nationales mettant en œuvre la directive 95/46/CE qui se rapportent au
traitement de données à caractère personnel dans les États membres.
La présente décision s’applique au transfert de données à caractère personnel par des responsables du traitement établis dans la Communauté à des destinataires établis en dehors du territoire de la Communauté qui agissent exclusivement en
tant que sous-traitants.
Article 3
1 — Aux fins de la présente décision :
a) les définitions contenues dans la directive 95/46/CE s’appliquent ;
b) les « catégories particulières de données » sont les données visées à l’article 8 de
ladite directive ;
c) l’« autorité de contrôle » est l’autorité visée à l’article 28 de ladite directive ;
d) l’« exportateur de données » est le responsable du traitement qui transfère les données à caractère personnel ;
e) l’« importateur de données » est le sous-traitant établi dans un pays tiers qui accepte de recevoir de l’exportateur de données des données à caractère personnel
destinées à être traitées pour le compte de ce dernier après le transfert conformément
à ses instructions et aux conditions de la présente décision et qui n’est pas soumis au
système d’un pays tiers assurant une protection adéquate ;
f) le « droit applicable à la protection des données » est la législation protégeant les
libertés et droits fondamentaux des personnes physiques, notamment le droit à la vie
privée à l’égard du traitement des données à caractère personnel, et s’appliquant à
un responsable du traitement dans le pays où l’exportateur de données est établi ;
g) les « mesures techniques et d’organisation liées à la sécurité » sont les mesures
destinées à protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé, notamment lorsque le traitement suppose la transmission de données par
réseau, et contre toute autre forme illicite de traitement.
Article 4
1 — Sans préjudice de leurs pouvoirs de prendre des mesures visant à assurer le respect des dispositions nationales adoptées conformément aux chapitres II, III,
V et VI de la directive 95/46/CE, les autorités compétentes des États membres peuvent exercer les pouvoirs dont elles disposent pour interdire ou suspendre les flux de
données vers des pays tiers afin de protéger les individus à l’égard du traitement de
leurs données à caractère personnel, et ce dans les cas où :
a) il est établi que le droit auquel l’importateur de données est soumis oblige ce dernier à déroger au droit applicable à la protection des données au-delà des limitations
nécessaires dans une société démocratique pour l’une des raisons énoncées à l’article 13 de la directive 95/46/CE lorsque ces obligations risquent d’altérer considérablement les garanties offertes par le droit applicable à la protection des données et
les clauses contractuelles types, ou ;
b) une autorité compétente a établi que l’importateur de données n’a pas respecté les
clauses contractuelles figurant en annexe, ou ;
e
CNIL 22 rapport d'activité 2001
335