Préposé à la protection des données et transparence Jura-Neuchâtel
Thèmes de A à Z
Rechercher dans le site Qui est concerné ?
Entité et personnes concernées Règles applicables
Convention CPDT-JUNE, ... Modèles Documents
Pour entités et particuliers Guides pratiques
Procédures, vidéosurveillance, ...
AccueilDocumentationModèles DocumentsContrat-type Traitement à l'étranger

Contrat-type pour une communication de données dans un pays sans protection des données adéquate

Protection des données

Avec les mises à jour des règles de protection des données, tant européennes que fédérales et cantonales, les modèles de contrats types pour communiquer des données personnelles dans un pays qui ne figure pas dans la liste établie par le Conseil fédéral (voir liste) ont évolué.

Ci-dessous est proposé le modèle fondé sur les anciennes règles.

Désormais, il existe plusieurs modèles actualisés :

Contrat-type

version non actualisée

Accord concernant les flux de données transfrontaliers Suisse

(pour l’externalisation du traitement des données)

par et entre :

[Dénomination sociale], [adresse]

(ci-après Exportateur de données)

et :

[Dénomination sociale], [adresse]

(ci-après Importateur de données)

  

1. But

L'accord suisse de flux de données transfrontières (l'accord) est conclu par et entre l’exportateur et l’importateur de données dans le but de fournir une protection adéquate des données personnelles et leur traitement dans les situations où ces dernières sont transférées depuis l’exportateur de données, établi en Suisse, à l’importateur de données établi dans un autre pays [Cet accord, cependant, n'oblige en aucun cas l’exportateur de données à transférer des données à caractère personnel à l’importateur de données.] 1

La mise en œuvre du transfert et traitement de données personnelles par l’importateur de données est décrite en annexe 1 du présent accord. L'Annexe 1 fait partie intégrante du présent accord et peut-être être modifiée de temps à autre par l’exportateur de données.

  

2. Champ d'application

Cet accord s’applique à toutes les données à caractère personnel relatives à des tiers qui sont :

  • transférées de l’exportateur à l’importateur de données (ceci inclue rendre l'accès possible); ou

  • traitées par l’importateur de données pour le compte de l’exportateur de données.

Le catalogue [et la classification de la sensibilité]1 des données personnelles pouvant être communiquées et/ou traitées se trouve dans la section 1 de l’annexe 1 du présent accord.

  

3. Définition

Sauf définition contraire, tous les termes ont la même signification que celle définie dans la Loi fédérale du 19 juin 1992 sur la protection des données (LPD; RS 235.1). Toute référence à la LPD doit toujours inclure une référence à l’ordonnance relative à  la Loi sur la protection des données (OLPD; RS 235.11) et toute autre disposition relative au droit substantiel de la protection des données suisse.

Aux fins du présent accord :

  • Exportateur de données : une personne physique ou morale, autorité publique, entité ou tout autre organisme établi en Suisse qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel et qui transfère (communique) de telles données à d’autres pays afin qu'elles soient traitées en son nom.

  • Importateur de données : une personne physique ou morale, autorité publique, entité ou tout autre organisme établi dans les autres pays acceptant de recevoir des données à caractère personnel de l’exportateur de données, afin de traiter ces dernières en son nom, après leur transfert et en conformité avec les instructions de l'exportateur de données.

  • Sous-traitant : n’importe quel organisme engagé par l’importateur de données ou de tout autre sous-traitant (de l’importateur de données) qui accepte de recevoir de l’importateur de données (ou de tout autre sous-traitant de l’importateur de données) des données personnelles exclusivement destinées au traitement, pour le compte de l’exportateur de données, après le transfert de ces dernières  et en conformité avec ses instructions et les termes du contrat écrit de sous-traitance.

4. Obligations de l’exportateur de données

L’exportateur de données garantit que les données à caractère personnel devant être transférées ont été collectées et traitées en conformité avec les exigences de la LPD. De plus, il garantit que le transfert des données personnelles et leur traitement par l’importateur de données, comme définit ci-après dans le présent contrat,  respectent les principes généraux de la LPD; il  est responsable du transfert et s'engage à ce qu'il s'opère en accord avec la LPD.

[En particulier l’exportateur de données garantit que :

  • avant le transfert de données à caractère personnel, il a informé les personnes concernées et a rempli toute notification et/ou enregistrement obligations énoncées par la LPD ;

  • la destination du transfert et du traitement ont été communiqués aux personnes concernées lors de la collecte des données personnelles, étaient apparentes, compte tenu des circonstances, sont prévues par la loi ou reflète un intérêt prépondérant en vertu de l’article 13 alinéa 2 LPD ;

  • le transfert à l'importateur de données et le traitement par ce dernier, conformément au présent accord, ne sont pas interdits par une obligation statutaire ou contractuelle de confidentialité, et 

  • il ne sera pas exigé de l’importateur de données d’entreprendre un traitement de données à caractère personnel que lui-même (l'exportateur de données) ne serait pas autorisé à effectuer.]1

L’exportateur de données vérifie que les mesures organisationnelles et techniques, comme l'exigent l’article 7 alinéa 1 LPD et l’article 8 et suiv. OLPD, entreprises par l’importateur de données, comme défini ci-après dans l'annexe 2 du présent accord, sont suffisantes pour protéger les données personnelles transférées contre tout traitement non autorisé. [L’exportateur de données garantit que les mesures techniques et organisationnelles définies ci-après dans l’annexe 2 du présent accord, sont suffisantes à cet égard.]1  L'Annexe 2 fait partie intégrante du présent accord et peut être modifiée de temps à autre par l’exportateur de données.  

5. Obligations de l’importateur de données

L’importateur de données s’engage et garantit qu’il traitera toutes les données à caractère personnel provenant de l'exportateur de données ou mises à la disposition par ce dernier ou provenant de telles données :

  • uniquement au nom de l'exportateur de données et uniquement aux fins de ce dernier, comme prévu à la section 2 de l’annexe 1 ou selon disposition expressément prévue par l’exportateur de données ou convenue avec l’exportateur de données ;

  • en conformité avec les instructions de l’exportateur de données [(qui peuvent être données par n'importe quel moyen, y compris e-mail)] 1; et

  • dans le respect de cet accord.

L’importateur de données s’engage, avant tout traitement, à prendre toutes les mesures techniques et organisationnelles appropriées, tel que définies par la LPD (notamment l'art. 7 alinéa 1 LPD et les articles 8 et suiv. OLPD) comme définies ci-après dans l’annexe 2 du présent accord, afin de protéger les données personnelles transférées de traitement non autorisé, y compris tout traitement non expressément autorisé par le présent accord et notamment de toute perte accidentelle ou la destruction, ou tout endommagement des données à caractère personnel.

L’importateur de données informera sans délai et coopérera avec l’exportateur de données :

  • s’il croit qu’il peut ne plus être en mesure, ou n’est plus en mesure de se conformer à cet accord, en particulier dans le cas où il reçoit ou  s'attend à recevoir une demande ou un ordre d’une autorité compétente l'obligeant à divulguer certaines ou toutes les données à caractères personnelles ou à s’abstenir de tout traitement ultérieur, concernant ces données et auxquelles le présent accord s’applique ; ou

  • si n’importe quel accès accidentel ou non autorisé a eu lieu.

L’importateur de données ne doit pas sous-traiter ses opérations de traitement effectuées pour le compte de l’exportateur de données, en vertu de la présente entente sans l’autorisation écrite préalable de l’exportateur de données. [Aucun consentement sera donné si : (a) les données à caractère personnel ou le traitement de ces données personnelles doit être transféré pour une raison quelconque dans un pays tiers ou à un tiers (y compris une affiliation) qui n’est pas soumis à des obligations substantiellement similaires à celles auxquelles est soumis l’importateur de données en vertu de la présente entente, ou si (b) l’application du présent accord par l'exportateur de données ne peut pas  être raisonnablement assurée.]1

En cas de sous-traitance, l’importateur de données s’engage à :

  • il a déjà informé l’exportateur de données et obtenu son accord écrit préalable ;

  • la sous-traitance du traitement des données à caractère personnel se compose uniquement des traitements convenus dans cet accord ;

  • l'importateur de données et le sous-traitant doivent signer un accord, qui impose au sous-traitant les mêmes obligations que celles imposées à l’importateur de données, en vertu de cet accord 2;

  • il enverra sans délai une copie de toute entente de sous-traitance,  conclue en vertu de cet accord à l’exportateur de données.

Si le sous-traitant ne remplit pas ses obligations de protection des données en vertu de cette entente écrite, l’importateur de données reste entièrement responsable de l’exécution des obligations du sous-traitant, au nom de l'exportateur de données, soumis à cet accord.

 [L’exportateur de données a le droit, à tout moment, de quelques façons raisonnables que ce soit,  de vérifier avec la pleine coopération de l’importateur de données, d'auditer la conformité à cet accord, de l’importateur de données (et de tout sous-traitant) ou d'effectuer par un audit par un tiers qualifié, lié par une obligation de confidentialité. Les coûts seront supportés par l’exportateur de données; si une non-conformité est révélée pouvant affecter gravement les personnes concernées, l’importateur de données supportera les coûts.] 1  

6. Droits des personnes touchées

Les personnes concernées doivent connaître leur droit à l'information (droit d'accès), à la correction, au blocage, à la suppression ou effacement de leurs données personnelles, selon les dispositions de la LPD; l’exportateur de données en est responsable.  En cas de requête ou demande d'une personne concernée, l’importateur de données (et tout sous-traitant) coopérera avec l’exportateur de données entièrement et sans retard et lui fournira tous les renseignements / services nécessaires pour répondre à la demande de la personne concernée.

[L’importateur de données (et tout sous-traitant ultérieur) transmettra immédiatement à l’exportateur de données toutes requêtes ou demandes de renseignements qu’il reçoit directement sans y répondre sur le fond.] 1

7. Durée et résiliation

Cet accord sera obligatoire entre les parties lors de l’exécution par les deux parties et restera en place pour une durée indéterminée. [Il prend fin automatiquement à la résiliation des services fournis par l’importateur de données et pour lesquels cet accord a été conclu.]1 Chaque partie peut [aussi] résilier le présent contrat à tout moment avec effet immédiat en fournissant un avis écrit. L’exportateur de données peut aussi suspendre le transfert de données personnelles et/ou leur traitement à tout moment.

En cas de résiliation du présent contrat pour quelque raison que ce soit, l’importateur de données (et tout sous-traitant ultérieur) doivent :

  • retourner immédiatement toutes les données personnelles et copies y relatives auxquelles s’applique le présent accord, y compris les données personnelles transférées par l’exportateur de données ; et, dans la mesure où cela n’est pas possible,

  • détruire ces données personnelles et les copies  y relatives et certifier à l’exportateur de données, par écrit, qu’il l’a fait.

Si la législation imposée à l’importateur de données l'empêche de retourner ou de détruire tout ou partie des données à caractère personnel auxquelles cet accord s’applique, l’importateur de données informe l’exportateur de données et s’engage à garder ces données personnelles confidentielles et à ne plus activement les traiter.

En cas de résiliation du présent accord, tout autre contrat signé par l’importateur de données et le sous-traitant ultérieur aux fins de traitement et de transfert de données à caractère personnel, en vertu de cet accord, est résilié automatiquement. Ceci, cependant, ne concerne pas tout autre contrat signé par l’exportateur et l’importateur de données à d’autres fins.  

8. Divers

Chaque partie fournira à toute cour ou autorité de surveillance, et l’exportateur de données fournira à toute personne concernée, une copie ou le contenu de cet accord à sa demande ou si la loi l’exige. [L’annexe 2 du présent accord doit être résumée dans la mesure autorisée par la Loi et nécessaire pour des raisons de sécurité.] [En cas  de demande de renseignements, par une personne concernée, l’exportateur de données peut résumer toute partie du présent contrat (y compris ses annexes) dans la mesure nécessaire pour la confidentialité et la protection des  données.]1

Les droits et obligations de chaque partie au présent accord sont sans préjudice et, nonobstant  d’autres droits et obligations, les parties peuvent avoir ou non d’autres accords. Cet accord ne réglemente pas les conséquences de l’exécution d’un droit ni les résultats d'une obligation qui découleraient d’un autre lien entre les parties.

[Chaque partie s’engage à indemniser l’autre en cas de réclamations de tiers ou d'autres dommages résultant de négligence ou de défaillance intentionnelle et de non-respect du présent accord.]1

Les personnes concernées peuvent prétendre à des dommages-intérêts et autres revendications en vertu de la LPD, liés au transfert et/ou au traitement de leurs données personnelles en vertu de cet accord, contre chaque partie.

Cet accord peut être modifié uniquement  par écrit. Les parties ne peuvent assigner ce contrat ou les droits ou obligations  mentionnés dans cet accord à une tierce partie sans l’autorisation écrite préalable de l’autre partie.

Cette entente (et tout accord signé par l’importateur de données et tout sous-traitant ultérieur aux fins de traitement et de transfert de données à caractère personnel en vertu de cet accord) doivent être régis et interprétés dans le respect du droit substantiel suisse.

Tout litige découlant de ce contrat ou en relation avec ce dernier (ou de toute  entente signée entre un sous-traitant ultérieur et l’importateur de données concernant le traitement et le transfert de données à caractère personnel en vertu de cet accord) ou la violation de celui-ci, sera exclusivement réglés par les tribunaux ordinaires au siège de l’exportateur de données en Suisse. [En outre, chaque partie est habilitée à demander à une autorité compétente d’ordonner toutes mesures provisoires ou temporaires.]1

  

Lieu, date :

Pour l'exportateur de données :

signature

[Nom], [Fonction] [Dénomination sociale]

 

Pour l'importateur de données :

signature

[Nom], [Fonction] [Dénomination sociale]

Annexe 1

Description du transfert et de traitement

  1. Catalogue [et classification de sensibilité] des données à caractère personnel transférées et traitées

  2. But du transfert et du traitement

  3. Catégories de personnes concernées

  4. Personnes qui peuvent accéder ou recevoir des données à caractère personnel

  5. Protection d’enregistrement de données de l’exportateur de données

  6. Informations supplémentaires utiles

  7. Informations de contact pour les demandes de protection de données

Annexe 2

Mesures techniques et organisationnelles mises en œuvre par l’importateur de données  

Notes
1 : les termes ou mots entre crochet [...] sont optionnels
2 : cette exigence peut être satisfaite par le sous-traitant cosignant cet accord  
Ce site utilise plusieurs cookies pour indiquer temporairement aux serveurs la langue que vous avez choisie lors de la configuration de vos outils informatiques, ainsi que pour rappeler aux serveurs votre choix d'accepter les présentes conditions pour éviter de reposer la question à la prochaine visite. En poursuivant, vous acceptez l’utilisation de ces cookies aux fins énoncées ci-dessus. En savoir plus.