États-UnisChanger de région

Où se déroule votre événement ?

Trouvez votre salon et commandez
Contact

CONDITIONS GÉNÉRALES DE PROTECTION DES DONNÉES DE L'UE GES

Les présentes conditions générales de GES relatives à la protection des données dans l'UE sont composées des clauses contractuelles suivantes ("les clauses") afin de fournir des garanties adéquates en ce qui concerne la protection de la vie privée et des droits et libertés fondamentaux des individus pour le transfert par l'exportateur de données à l'importateur de données des données personnelles spécifiées dans l'addendum de GES relatif à la sécurité des données dans l'UE (l'"addendum") conclu entre GES et la contrepartie de l'addendum (GES et cette contrepartie collectivement, les "parties") :

Clause 1

Définitions

Aux fins des clauses :

  1. Les termes "données à caractère personnel", "catégories particulières de données", "traitement", "responsable du traitement", "sous-traitant", "personne concernée" et "autorité de contrôle"ont la même signification que dans la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après dénommée "la directive") ;
  2. l '"exportateur de données" est le responsable du traitement qui transfère les données à caractère personnel ;
  3. l '"importateur de données"est le responsable du traitement qui accepte de recevoir de l'exportateur de données des données à caractère personnel en vue de leur traitement ultérieur conformément aux présentes clauses et qui n'est pas soumis au système d'un pays tiers assurant une protection adéquate.

Article 2

Détails du transfert

Les détails du transfert, et en particulier les catégories de données à caractère personnel et les finalités pour lesquelles elles sont transférées, sont précisés dans l'addendum, qui fait partie intégrante des clauses et y est incorporé par référence.

Clause 3

Clause du tiers bénéficiaire

Les personnes concernées peuvent faire appliquer la présente clause, la clause 4, points b), c) et d). La clause 5, points a), b), c) et e), la clause 6, points 1 et 2, et les clauses 7, 9 et 11 en tant que tiers bénéficiaires. Les parties ne s'opposent pas à ce que les personnes concernées soient représentées par une association ou d'autres organes si elles le souhaitent et si le droit national le permet.

Article 4

Obligations de l'exportateur de données

L'exportateur de données accepte et garantit :

  1. que le traitement, y compris le transfert lui-même, des données à caractère personnel par lui a été et continuera d'être effectué, jusqu'au moment du transfert, conformément aux dispositions pertinentes de l'État membre dans lequel l'exportateur de données est établi (et, le cas échéant, a été notifié aux autorités compétentes de cet État) et qu'il n'enfreint pas les dispositions pertinentes de cet État ;
  2. que si le transfert concerne des catégories particulières de données, la personne concernée a été informée ou sera informée avant le transfert que ces données pourraient être transmises à un pays tiers n'offrant pas une protection adéquate ;
  3. de mettre à la disposition des personnes concernées qui en font la demande une copie des clauses ; et
  4. répondre dans un délai raisonnable et dans la mesure du possible aux demandes de l'autorité de contrôle concernant le traitement des données à caractère personnel pertinentes par l'importateur de données et à toute demande de la personne concernée concernant le traitement de ces données à caractère personnel par l'importateur de données.

Article 5

Obligations de l'importateur de données

L'importateur de données accepte et garantit :

  1. qu'il n'a aucune raison de croire que la législation qui lui est applicable l'empêche de remplir ses obligations en vertu du contrat et qu'en cas de modification de cette législation susceptible d'avoir un effet négatif important sur les garanties prévues par les clauses, il notifiera la modification à l'exportateur de données et à l'autorité de contrôle où l'exportateur de données est établi, auquel cas l'exportateur de données a le droit de suspendre le transfert de données et/ou de résilier le contrat ;
  2. traiter les données à caractère personnel conformément aux principes obligatoires de protection des données énoncés à l'annexe 2 ;

ou, si les parties en conviennent explicitement en cochant la case ci-dessous et sous réserve du respect des principes obligatoires en matière de protection des données énoncés à l'annexe 3, de traiter les données à tous autres égards conformément aux dispositions de la présente directive :

  • les dispositions pertinentes de la législation nationale (jointes à ces clauses) protégeant les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la vie privée en ce qui concerne le traitement des données à caractère personnel, applicables à un responsable du traitement des données dans le pays dans lequel l'exportateur de données est établi, ou
  • les dispositions pertinentes de toute décision de la Commission au titre de l'article 25, paragraphe 6, de la directive 95/46/CE constatant qu'un pays tiers assure une protection adéquate dans certains secteurs d'activité, uniquement si l'importateur de données est établi dans ce pays tiers et n'est pas couvert par ces dispositions, dans la mesure où ces dispositions sont de nature à les rendre applicables dans le secteur du transfert ;
  1. de traiter rapidement et correctement toutes les demandes raisonnables de l'exportateur de données ou de la personne concernée concernant son traitement des données à caractère personnel faisant l'objet du transfert, de coopérer avec l'autorité de contrôle compétente dans le cadre de toutes ses enquêtes et de se conformer à l'avis de l'autorité de contrôle en ce qui concerne le traitement des données transférées ;
  2. à la demande de l'exportateur de données, soumettre ses installations de traitement des données à un audit qui est effectué par l'exportateur de données ou par un organisme de contrôle composé de membres indépendants et possédant les qualifications professionnelles requises, choisi par l'exportateur de données, le cas échéant, en accord avec l'autorité de contrôle ;
  3. de mettre à la disposition de la personne concernée, sur demande, une copie des clauses et d'indiquer le bureau qui traite les plaintes.

Article 6

Responsabilité

  1. Les parties conviennent qu'une personne concernée qui a subi un préjudice du fait d'une violation des dispositions visées à la clause 3 a le droit d'être indemnisée par les parties pour le préjudice subi. Les parties conviennent qu'elles ne peuvent être exonérées de cette responsabilité que si elles prouvent qu'aucune d'entre elles n'est responsable de la violation de ces dispositions.
  2. L'exportateur de données et l'importateur de données conviennent qu'ils seront conjointement et solidairement responsables des dommages causés à la personne concernée par toute violation visée au paragraphe 1. Dans le cas d'une telle violation, l'exportateur de données ou l'importateur de données ou les deux.

Article 7

Médiation et compétence

  1. Les parties conviennent que si un litige entre une personne concernée et l'une ou l'autre des parties n'est pas résolu à l'amiable et que la personne concernée invoque la clause du tiers bénéficiaire prévue à la clause 3, elles acceptent la décision de la personne concernée :
    1. de soumettre le litige à la médiation d'une personne indépendante ou, le cas échéant, de l'autorité de contrôle ;
    2. de porter le litige devant les tribunaux de l'État membre dans lequel l'exportateur de données est établi.
  1. Les parties conviennent que, par accord entre une personne concernée et la partie concernée, un litige peut être soumis à une instance d'arbitrage, si cette partie est établie dans un pays qui a ratifié la convention de New York sur l'exécution des sentences arbitrales.
  2. Les parties conviennent que les paragraphes 1 et 2 s'appliquent sans préjudice des droits substantiels ou procéduraux de la personne concernée de demander réparation conformément à d'autres dispositions du droit national ou international.

Article 8

Coopération avec les autorités de contrôle

Les parties conviennent de déposer une copie du présent contrat auprès de l'autorité de contrôle si celle-ci en fait la demande ou si ce dépôt est requis par le droit national.

Article 9

Résiliation des clauses

Les parties conviennent que la résiliation des clauses à tout moment, en toutes circonstances et pour quelque raison que ce soit ne les dispense pas des obligations et/ou conditions prévues par les clauses en ce qui concerne le traitement des données transférées.

Article 10

Omission intentionnelle

Article 11

Modification du contrat

Les parties s'engagent à ne pas varier ou modifier les termes des clauses.

Annexe 1

Omission intentionnelle.

Annexe 2

aux clauses contractuelles types

Principes obligatoires de protection des données visés au premier paragraphe de la clause 5(b)

Ces principes de protection des données doivent être lus et interprétés à la lumière des dispositions (principes et exceptions pertinentes) de la directive 95/46/CE.

Elles s'appliquent sous réserve des exigences impératives de la législation nationale applicable à l'importateur de données qui ne vont pas au-delà de ce qui est nécessaire dans une société démocratique sur la base de l'un des intérêts énumérés à l'article 13, paragraphe 1, de la directive 95/46/CE, c'est-à-dire si elles constituent une mesure nécessaire pour sauvegarder la sécurité nationale, la défense, la sécurité publique, la prévention, la recherche, la détection et la poursuite d'infractions pénales ou de manquements à la déontologie pour les professions réglementées, un intérêt économique ou financier important de l'État, ou la protection de la personne concernée ou des droits et des libertés d'autrui.

  1. Limitation de la finalité :les données ne doivent être traitées, puis utilisées ou communiquées ultérieurement que pour les finalités spécifiques indiquées à l'annexe I des clauses. Les données ne doivent pas être conservées plus longtemps que nécessaire pour les finalités pour lesquelles elles sont transférées.
  2. Qualité et proportionnalité desdonnées : lesdonnées doivent être exactes et, si nécessaire, mises à jour. Les données doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont transférées et traitées ultérieurement.
  3. Transparence :les personnes concernées doivent recevoir des informations sur les finalités du traitement et l'identité du responsable du traitement dans le pays tiers, ainsi que d'autres informations dans la mesure où cela est nécessaire pour assurer un traitement équitable, à moins que ces informations n'aient déjà été fournies par l'exportateur de données.
  4. Sécurité et confidentialité :le responsable du traitement doit prendre des mesures de sécurité techniques et organisationnelles appropriées au regard des risques présentés par le traitement, tels que l'accès non autorisé. Toute personne agissant sous l'autorité du responsable du traitement, y compris un sous-traitant, ne doit traiter les données que sur instruction du responsable du traitement.
  5. Droits d'accès, de rectification, d'effacement et de verrouillage des données :comme le prévoit l'article 12 de la directive 95/46/CE, la personne concernée doit avoir un droit d'accès à toutes les données traitées la concernant et, le cas échéant, un droit de rectification, d'effacement ou de verrouillage des données dont le traitement n'est pas conforme aux principes énoncés dans la présente annexe, notamment parce que les données sont incomplètes ou inexactes. Il devrait également pouvoir s'opposer au traitement des données le concernant pour des raisons impérieuses et légitimes tenant à sa situation particulière.
  6. Restrictions sur les transferts ultérieurs :les transferts ultérieurs de données à caractère personnel de l'importateur de données à un autre responsable du traitement établi dans un pays tiers n'assurant pas une protection adéquate ou n'étant pas couvert par une décision adoptée par la Commission en vertu de l'article 25, paragraphe 6, de la directive 95/46/CE (transfert ultérieur) ne peuvent être effectués que dans les cas suivants :
  1. les personnes concernées ont, dans le cas de catégories particulières de données, donné leur consentement indubitable au transfert ultérieur ou, dans les autres cas, ont eu la possibilité de s'y opposer.

Les informations minimales à fournir aux personnes concernées doivent être rédigées dans une langue compréhensible pour elles :

  • aux fins du transfert ultérieur,
  • l'identification de l'exportateur de données établi dans la Communauté,
  • les catégories de destinataires ultérieurs des données et les pays de destination, et
  • une explication selon laquelle, après le transfert ultérieur, les données peuvent être traitées par un responsable du traitement établi dans un pays où le niveau de protection de la vie privée des personnes n'est pas adéquat ; ou

(b) l'exportateur de données et l'importateur de données acceptent que les clauses soient respectées par un autre responsable du traitement, qui devient ainsi partie aux clauses et assume les mêmes obligations que l'importateur de données.

  1. Catégories particulières de données :lorsque des données qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, des données relatives à la santé ou à la vie sexuelle et des données relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté sont traitées, des garanties supplémentaires doivent être mises en place au sens de la directive 95/46/CE, en particulier des mesures de sécurité appropriées telles qu'un cryptage fort pour la transmission ou la tenue d'un registre d'accès aux données sensibles.
  2. Marketing direct :lorsque les données sont traitées à des fins de marketing direct, il doit exister des procédures efficaces permettant à la personne concernée de refuser à tout moment que ses données soient utilisées à ces fins.
  3. Décisions individuelles automatisées :les personnes concernées ont le droit de ne pas être soumises à une décision fondée exclusivement sur un traitement automatisé de données, à moins que d'autres mesures ne soient prises pour sauvegarder les intérêts légitimes de la personne, comme le prévoit l'article 15, paragraphe 2, de la directive 95/46/CE. Lorsque la finalité du transfert est la prise d'une décision automatisée visée à l'article 15 de la directive 95/46/CE, qui produit des effets juridiques à l'égard de la personne ou qui l'affecte de manière significative, et qui est fondée exclusivement sur un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité, tels que son rendement professionnel, sa solvabilité, sa fiabilité, son comportement, etc.

Annexe 3

aux clauses contractuelles types

Principes obligatoires de protection des données visés au deuxième paragraphe de la clause 5(b)

  1. Limitation de la finalité : les données ne doivent être traitées, puis utilisées ou communiquées ultérieurement que pour les finalités spécifiques indiquées à l'annexe I des clauses. Les données ne doivent pas être conservées plus longtemps que nécessaire pour les finalités pour lesquelles elles sont transférées.
  2. Droits d'accès, de rectification, d'effacement et de verrouillage des données : comme le prévoit l'article 12 de la directive 95/46/CE, la personne concernée doit avoir un droit d'accès à toutes les données traitées la concernant et, le cas échéant, un droit de rectification, d'effacement ou de verrouillage des données dont le traitement n'est pas conforme aux principes énoncés dans la présente annexe, notamment parce que les données sont incomplètes ou inexactes. Il devrait également pouvoir s'opposer au traitement des données le concernant pour des raisons impérieuses et légitimes tenant à sa situation particulière.
  3. Restrictions sur les transferts ultérieurs : les transferts ultérieurs de données à caractère personnel de l'importateur de données à un autre responsable du traitement établi dans un pays tiers n'assurant pas une protection adéquate ou n'étant pas couvert par une décision adoptée par la Commission en vertu de l'article 25, paragraphe 6, de la directive 95/46/CE (transfert ultérieur) ne peuvent être effectués que dans les cas suivants :

(a) les personnes concernées ont, dans le cas de catégories particulières de données, donné leur consentement indubitable au transfert ultérieur ou, dans les autres cas, ont eu la possibilité de s'y opposer.

Les informations minimales à fournir aux personnes concernées doivent être rédigées dans une langue compréhensible pour elles :

  • aux fins du transfert ultérieur,
  • l'identification de l'exportateur de données établi dans la Communauté,
  • les catégories de destinataires ultérieurs des données et les pays de destination, et
  • une explication selon laquelle, après le transfert ultérieur, les données peuvent être traitées par un responsable du traitement établi dans un pays où le niveau de protection de la vie privée des personnes n'est pas adéquat ; ou

(b) l'exportateur de données et l'importateur de données acceptent que les clauses soient respectées par un autre responsable du traitement, qui devient ainsi partie aux clauses et assume les mêmes obligations que l'importateur de données.