Décisions de la Commission européenne
Clause 4
Obligations de l’exportateur de données
L’exportateur de données accepte et garantit ce qui suit :
a) le traitement, y compris le transfert proprement dit des données à caractère personnel, a été et continuera d’être effectué conformément aux dispositions pertinentes du
droit applicable à la protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l’État membre dans lequel l’exportateur de données est établi)
et n’enfreint pas les dispositions pertinentes dudit État ;
b) il a chargé, et chargera pendant toute la durée des services de traitement de données à caractère personnel, l’importateur de données de traiter les données à caractère personnel transférées pour le compte exclusif de l’exportateur de données et
conformément au droit applicable à la protection des données et aux présentes clauses ;
c) l’importateur de données offre suffisamment de garanties compte tenu des mesures
techniques et d’organisation liées à la sécurité spécifiées dans l’appendice 2 du présent contrat ;
d) après l’évaluation des exigences du droit applicable à la protection des données,
les mesures de sécurité sont adéquates pour protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé, notamment lorsque le traitement suppose la
transmission de données par réseau, et contre toute autre forme illicite de traitement
et elles assurent un niveau de sécurité adapté aux risques liés au traitement et à la nature des données à protéger, eu égard au niveau technologique et au coût de mise en
œuvre ;
e) il veillera au respect des mesures de sécurité ;
f) si le transfert porte sur des catégories particulières de données, la personne
concernée a été informée ou sera informée avant le transfert ou dès que possible
après le transfert que ses données pourraient être transmises à un pays tiers n’offrant
pas un niveau de protection adéquat ;
g) il accepte de transmettre la notification reçue de l’importateur de données conformément à la clause 5, point b), à l’autorité de contrôle de la protection des données
s’il décide de poursuivre le transfert ou de lever sa suspension ;
h) il mettra à la disposition des personnes concernées, si elles le demandent, une
copie des clauses figurant dans la présente annexe, à l’exception de l’appendice 2
qui sera remplacé par une description sommaire des mesures de sécurité.
Clause 5
Obligations de l’importateur de données
1
L’importateur de données accepte et garantit ce qui suit :
a) il traitera les données à caractère personnel pour le compte exclusif de l’exportateur de données, conformément aux instructions de ce dernier et aux clauses ; s’il est
dans l’incapacité de s’y conformer pour quelque raison que ce soit, il accepte d’infor1 Les exigences impératives de la législation nationale le concernant et qui ne vont pas au-delà de celles qui
sont nécessaires dans une société démocratique pour l’un des intérêts énoncés à l’article 13 de la directive 95/46/CE, c’est-à-dire si elles constituent une mesure nécessaire pour sauvegarder la sûreté de
l’État ; la défense ; la sécurité publique ; la prévention, la recherche, la détection et la poursuite d’infractions pénales ou de manquements à la déontologie dans le cas de professions réglementées ; un intérêt
économique ou financier important d’un État membre ou la protection de la personne concernée ou des
droits et libertés d’autrui, ne vont pas à l’encontre des clauses contractuelles types. Parmi les exemples de
ces exigences impératives qui ne vont pas au-delà de celles qui sont nécessaires dans une société démocratique figurent, notamment, les sanctions reconnues sur le plan international, les obligations de déclaration fiscale et les obligations de déclaration de lutte contre le blanchiment des capitaux.
338
e
CNIL 22 rapport d'activité 2001