Politique de confidentialité

ANNEXE II : Clauses contractuelles types approuvées par la Commission européenne (Module 4)

L’objet des présentes clauses contractuelles types est d’assurer la conformité au RGPD lors du transfert de données à caractère personnel vers un pays tiers.

SECTION I


Clause 1

Objet et portée

  1. Les présentes clauses contractuelles types visent à garantir le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données) en cas de transfert de données à caractère personnel vers un pays tiers.
  2. Les parties :
    • la ou les personnes physiques ou morales, la ou les autorités publiques, la ou les agences ou autre(s) organisme(s) (ci-après "entités") qui transfèrent les données à caractère personnel, mentionnés à l’annexe I.A. (ci-après, chaque "exportateur de données"), et
    • la ou les entités d’un pays tiers qui reçoivent les données à caractère personnel de l’exportateur de données, directement ou indirectement par l’intermédiaire d’une autre entité également partie aux présentes clauses, mentionnées à l’annexe I.A. (ci-après, chaque "importateur de données"), ont convenu de ces clauses contractuelles types (ci-après : "Clauses").
  3. Ces clauses s’appliquent au transfert de données à caractère personnel tel que spécifié à l’annexe I.B.
  4. L’appendice aux présentes clauses, qui contient les annexes qui y sont mentionnées, fait partie intégrante des présentes clauses.

Clause 2

Effet et invariabilité des clauses

  1. Les présentes clauses établissent des garanties appropriées, notamment des droits opposables pour la personne concernée et des voies de droit effectives, en vertu de l’article 46, paragraphe 1, et de l’article 46, paragraphe 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données de responsables du traitement à sous-traitants et/ou de sous-traitants à sous-traitants, des clauses contractuelles types en vertu de l’article 28, paragraphe 7, du règlement (UE) 2016/679, à condition qu’elles ne soient pas modifiées, sauf pour sélectionner le ou les modules appropriés ou pour ajouter ou mettre à jour des informations dans l’appendice. Cela n’empêche pas les parties d’inclure les clauses contractuelles types prévues dans les présentes clauses dans un contrat plus large et/ou d’ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les présentes clauses et qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées.
  2. Les présentes clauses sont sans préjudice des obligations auxquelles l’exportateur de données est soumis en vertu du règlement (UE) 2016/679.


Clause 3

Tiers bénéficiaires

  1. Les personnes concernées peuvent invoquer et faire appliquer les présentes clauses, en tant que tiers bénéficiaires, contre l’exportateur et/ou l’importateur de données, avec les exceptions suivantes :
    • Clauses 1, 2, 3, 6 et 7.
    • Clause 8 : clause 8.1, paragraphe b), et clause 8.3 paragraphe b).
    • Clause 13.
  2. Le paragraphe a) est sans préjudice des droits des personnes concernées au titre du règlement (UE) 2016/679.

Clause 4

Interprétation

  1. Lorsque les présentes clauses utilisent des termes définis dans le règlement (UE) 2016/679, ceux-ci ont la même signification que dans ledit règlement.
  2. Les présentes clauses sont lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679.
  3. Les présentes clauses ne sont pas interprétées dans un sens contraire aux droits et obligations prévus dans le règlement (UE) 2016/679.


Clause 5

Hiérarchie

En cas de contradiction entre les présentes clauses et les dispositions des accords connexes entre les parties existant au moment où les présentes clauses sont convenues, ou souscrites par la suite, les présentes clauses prévalent.

Clause 6

Description du ou des transferts

Les détails du ou des transferts, en particulier les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles le sont, sont précisés à l’annexe I.B.

Clause 7

Clause d’adhésion

  1. Une entité qui n’est pas partie aux présentes clauses peut, avec l’accord des parties, y adhérer à tout moment, soit en tant qu’exportateur de données soit en tant qu’importateur de données, en remplissant l’appendice et en signant l’annexe I.A.
  2. Une fois l’appendice rempli et l’annexe I.A. signée, l’entité adhérente devient partie aux présentes clauses et a les droits et obligations d’un exportateur de données ou d’un importateur de données selon sa désignation dans l’annexe I.A.
  3. L’entité adhérente n’a aucun droit ni obligation découlant des présentes clauses pour la période antérieure à son adhésion à celles-ci.


SECTION II : OBLIGATIONS DES PARTIES


Clause 8

Garanties en matière de protection des données

L’exportateur de données garantit qu’il a entrepris des démarches raisonnables pour s’assurer que l’importateur de données est à même, par la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire aux obligations qui lui incombent en vertu des présentes clauses.

8,1. Instructions

  1. L’exportateur de données ne traite les données à caractère personnel que sur instructions documentées de l’importateur de données agissant en tant que son responsable du traitement.
  2. S’il n’est pas en mesure de suivre ces instructions, notamment si elles constituent une violation du règlement (UE) 2016/679 ou d’autres dispositions législatives de l’Union ou d’un État membre en matière de protection des données, l’exportateur de données en informe immédiatement l’importateur de données.
  3. L’importateur de données s’abstient de tout acte susceptible d’empêcher l’exportateur de données de s’acquitter des obligations qui lui incombent en vertu du règlement (UE) 2016/679, notamment dans le cadre d’une sous-traitance ultérieure ou en ce qui concerne la coopération avec les autorités de contrôle compétentes.
  4. Au terme de la prestation des services de traitement, l’exportateur de données, à la convenance de l’importateur de données, efface toutes les données à caractère personnel traitées pour le compte de ce dernier et lui en apporte la preuve, ou lui restitue toutes les données à caractère personnel traitées pour son compte et efface les copies existantes.

8.2. Sécurité du traitement.

  1. Les parties mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données, notamment pendant la transmission, et pour les protéger d’une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé (ci-après la « violation de données à caractère personnel »). Lors de l’évaluation du niveau de sécurité approprié, elles tiennent dûment compte de l’état des connaissances, des coûts de mise en œuvre, de la nature des données à caractère personnel, de la nature, de la portée, du contexte et de la ou des finalités du traitement ainsi que des risques inhérents au traitement pour les personnes concernées, et envisagent en particulier de recourir au chiffrement ou à la pseudonymisation, notamment pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière.
  2. L’exportateur de données aide l’importateur de données à garantir une sécurité appropriée des données conformément au paragraphe a). En cas de violation de données à caractère personnel concernant les données à caractère personnel traitées par l’exportateur de données au titre des présentes clauses, ce dernier en informe l’importateur de données dans les meilleurs délais après avoir eu connaissance de la violation et l’aide à y remédier.
  3. L’exportateur de données veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

8.3. Documentation et conformité.

  1. Les parties doivent être en mesure de démontrer le respect des présentes clauses.
  2. L’exportateur de données met à la disposition de l’importateur de données toutes les informations nécessaires pour démontrer le respect des obligations qui lui incombent au titre des présentes clauses et pour permettre la réalisation d’audits et y contribuer.

Clause 9

Droits des personnes concernées

Les parties se prêtent mutuellement assistance pour répondre aux demandes de renseignements et aux autres demandes formulées par les personnes concernées en vertu de la législation locale applicable à l’importateur de données ou, en cas de traitement par l’exportateur de données dans l’Union, en vertu du règlement (UE) 2016/679.

Clause 10

Voies de recours

L’importateur de données informe les personnes concernées, sous une forme transparente et aisément accessible, au moyen d’une notification individuelle ou sur son site Web, d’un point de contact autorisé à traiter les réclamations. Il traite sans délai toute réclamation reçue d’une personne concernée.

Clause 11

Responsabilité

  1. Chaque partie est responsable envers la ou les autres parties des dommages qu’elle cause à l’autre ou aux autres parties du fait d’un manquement aux présentes clauses.
  2. Chaque partie est responsable à l’égard de la personne concernée, et la personne concernée a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par la partie du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses. Ceci est sans préjudice de la responsabilité de l’exportateur de données en vertu du règlement (UE) 2016/679.
  3. Lorsque plusieurs parties sont responsables d’un dommage causé à la personne concernée du fait d’une violation des présentes clauses, toutes les parties responsables le sont conjointement et solidairement.
  4. Les parties conviennent que, si la responsabilité d’une d’entre elles est reconnue en vertu du paragraphe c), celle-ci est en droit de réclamer auprès de l’autre ou des autres parties la part de la réparation correspondant à sa/leur part de responsabilité dans le dommage.
  5. L’importateur de données ne peut invoquer le comportement d’un sous-traitant ou d’un sous-traitant ultérieur pour échapper à sa propre responsabilité.


SECTION III : LÉGISLATIONS LOCALES ET OBLIGATIONS EN CAS D’ACCÈS DES AUTORITÉS PUBLIQUES


Clause 12

Législations et pratiques locales ayant une incidence sur le respect des clauses

  1. Les parties garantissent qu’elles n’ont aucune raison de croire que la législation et les pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l’importateur de données, notamment les exigences en matière de divulgation de données à caractère personnel ou les mesures autorisant l’accès des autorités publiques à ces données, empêchent l’importateur de données de s’acquitter des obligations qui lui incombent en vertu des présentes clauses. Cette disposition repose sur l’idée que les législations et les pratiques qui respectent l’essence des libertés et droits fondamentaux et qui n’excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour préserver un des objectifs énumérés à l’article 23, paragraphe 1, du règlement (UE) 2016/679 ne sont pas en contradiction avec les présentes clauses.
  2. Les parties déclarent qu’en fournissant la garantie mentionnée au paragraphe a), elles ont dûment tenu compte, en particulier, des éléments suivants :
    • des circonstances particulières du transfert, parmi lesquelles la longueur de la chaîne de traitement, le nombre d’acteurs concernés et les canaux de transmission utilisés ; les transferts ultérieurs prévus ; le type de destinataire ; la finalité du traitement ; les catégories et le format des données à caractère personnel transférées ; le secteur économique dans lequel le transfert a lieu et le lieu de stockage des données transférées ;
    • des législations et des pratiques du pays tiers de destination – notamment celles qui exigent la divulgation de données aux autorités publiques ou qui autorisent l’accès de ces dernières aux données – pertinentes au regard des circonstances particulières du transfert, ainsi que des limitations et des garanties applicables ;
    • de toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les garanties prévues par les présentes clauses, y compris les mesures appliquées pendant la transmission et au traitement des données à caractère personnel dans le pays de destination.
  3. L’importateur de données garantit que, lors de l’évaluation au titre du paragraphe b), il a déployé tous les efforts possibles pour fournir des informations pertinentes à l’exportateur de données et convient qu’il continuera à coopérer avec ce dernier pour garantir le respect des présentes clauses.
  4. Les parties conviennent de conserver une trace documentaire de l’évaluation au titre du paragraphe b) et de mettre cette évaluation à la disposition de l’autorité de contrôle compétente si celle-ci en fait la demande.
  5. L’importateur de données accepte d’informer sans délai l’exportateur de données si, après avoir souscrit aux présentes clauses et pendant la durée du contrat, il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences du paragraphe a), notamment à la suite d’une modification de la législation du pays tiers ou d’une mesure (telle qu’une demande de divulgation) indiquant une application pratique de cette législation qui n’est pas conforme aux exigences du paragraphe a).
  6. À la suite d’une notification au titre du paragraphe e), ou si l’exportateur de données a d’autres raisons de croire que l’importateur de données ne peut plus s’acquitter des obligations qui lui incombent en vertu des présentes clauses, l’exportateur de données définit sans délai les mesures appropriées (par exemple des mesures techniques ou organisationnelles visant à garantir la sécurité et la confidentialité) qu’il doit adopter et/ou qui doivent être adoptées par l’importateur de données pour remédier à la situation. L’exportateur de données suspend le transfert de données s’il estime qu’aucune garantie appropriée ne peut être fournie pour ce transfert ou si l’autorité de contrôle compétente lui en donne l’instruction. Dans ce cas, l’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement. Lorsque le contrat est résilié en vertu de la présente clause, la clause 16, paragraphes d) et e), s’applique.

Clause 13

Obligations de l’importateur de données en cas d’accès des autorités publiques

13.1. Notification

  1. L’importateur de données convient d’informer sans délai l’exportateur de données et, si possible, la personne concernée (si nécessaire avec l’aide de l’exportateur de données) :
    • s’il reçoit une demande juridiquement contraignante d’une autorité publique, y compris judiciaire, en vertu de la législation du pays de destination en vue de la divulgation de données à caractère personnel transférées au titre des présentes clauses ; cette notification comprend des informations sur les données à caractère personnel demandées, l’autorité requérante, la base juridique de la demande et la réponse fournie ; ou
    • s’il a connaissance d’un quelconque accès direct des autorités publiques aux données à caractère personnel transférées au titre des présentes clauses en vertu de la législation du pays de destination ; cette notification comprend toutes les informations dont l’impoЗдравствуйте, клавиатурtateur de données dispose.
  2. Si la législation du pays de destination interdit à l’importateur de données d’informer l’exportateur de données et/ou la personne concernée, l’importateur de données convient de tout mettre en œuvre pour obtenir une levée de cette interdiction, en vue de communiquer autant d’informations que possible, dans les meilleurs délais. L’importateur de données accepte de garder une trace documentaire des efforts qu’il a déployés afin de pouvoir en apporter la preuve à l’exportateur de données, si celui-ci lui en fait la demande.
  3. Lorsque la législation du pays de destination le permet, l’importateur de données accepte de fournir à l’exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d’informations utiles que possible sur les demandes reçues (notamment le nombre de demandes, le type de données demandées, la ou les autorités requérantes, la contestation ou non des demandes et l’issue de ces contestations, etc.).
  4. L’importateur de données accepte de conserver les informations mentionnées aux paragraphes a) à c) pendant la durée du contrat et de les mettre à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande.
  5. Les paragraphes a) à c) sont sans préjudice de l’obligation incombant à l’importateur de données, en vertu de la clause 14, paragraphe e), et de la clause 16, d’informer sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses.

13.2. Contrôle de la légalité et minimisation des données.

  1. L’importateur de données accepte de contrôler la légalité de la demande de divulgation, en particulier de vérifier si elle s’inscrit dans les limites des pouvoirs conférés à l’autorité publique requérante, et de la contester si, après une évaluation minutieuse, il conclut qu’il existe des motifs raisonnables de considérer qu’elle est illégale en vertu de la législation du pays de destination, notamment des obligations applicables en vertu du droit international et des principes de courtoisie internationale. L’importateur de données exerce les possibilités d’appel ultérieures dans les mêmes conditions. Lorsqu’il conteste une demande, l’importateur de données demande des mesures provisoires visant à suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente se prononce sur son bien-fondé. Il ne divulgue pas les données à caractère personnel demandées tant qu’il n’est pas obligé de le faire en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations incombant à l’importateur de données en vertu de la clause 14, paragraphe e).
  2. L’importateur de données accepte de garder une trace documentaire de son évaluation juridique ainsi que de toute contestation de la demande de divulgation et, dans la mesure où la législation du pays de destination le permet, de mettre les documents concernés à la disposition de l’exportateur de données. Il les met également à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande.
  3. L’importateur de données accepte de fournir le minimum d’informations autorisé lorsqu’il répond à une demande de divulgation, sur la base d’une interprétation raisonnable de la demande.


SECTION IV : DISPOSITIONS FINALES


Clause 14

Non-respect des clauses et résiliation

  1. L’importateur de données informe sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses, quelle qu’en soit la raison.
  2. Dans le cas où l’importateur de données enfreint les présentes clauses ou n’est pas en mesure de les respecter, l’exportateur de données suspend le transfert de données à caractère personnel à l’importateur de données jusqu’à ce que le respect des présentes clauses soit à nouveau garanti ou que le contrat soit résilié. Ceci est sans préjudice de la clause 14, paragraphe f).
  3. L’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses, lorsque :
    • l’exportateur de données a suspendu le transfert de données à caractère personnel à l’importateur de données conformément au paragraphe (b) et que le respect de ces Clauses n’est pas restauré dans un délai raisonnable et, en tout état de cause, dans un délai d’un mois à compter de la suspension ;
    • l’importateur de données enfreint gravement ou de manière persistante les présentes clauses ; ou
    • l’importateur de données ne se conforme pas à une décision contraignante d’une juridiction ou d’une autorité de contrôle compétente concernant les obligations qui lui incombent au titre des présentes clauses.

    Dans ces cas, il informe l’autorité de contrôle compétente de ce non-respect. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement.

  4. Les données à caractère personnel collectées par l’exportateur de données dans l’Union qui ont été transférées avant la résiliation du contrat au titre du paragraphe c), ainsi que toute copie de celles-ci, sont immédiatement effacées dans leur intégralité. L’importateur de données apporte la preuve de l’effacement des données à l’exportateur de données. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel transférées, ce dernier garantit qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données que dans la mesure où et aussi longtemps que cette législation locale l’exige.
  5. Chaque partie peut révoquer son consentement à être liée par les présentes clauses i) si la Commission européenne adopte une décision en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auquel les présentes clauses s’appliquent ; ou ii) si le règlement (UE) 2016/679 est intégré dans le cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Ceci est sans préjudice des autres obligations qui s’appliquent au traitement en question en vertu du règlement (UE) 2016/679.

Clause 15

Droit applicable

Les présentes clauses sont régies par le droit d’un pays qui reconnaît des droits au tiers bénéficiaire. Les parties conviennent qu’il s’agit du droit de l’Espagne.

Clause 16

Élection de for et juridiction

Tout litige survenant du fait des présentes clauses est tranché par les juridictions de l’Espagne.



ANNEXE I

LISTE DES PARTIES

Exportateur(s) de données :

  • Nom : ILOVEPDF, S.L.
  • Adresse : Calle Sabino de Arana, 60, 08028 Barcelone
  • Nom, fonction et coordonnées de la personne de contact : Juan Oriol, Directeur juridique (legal@ilovepdf.com).
  • Activités en rapport avec les données transférées au titre des présentes clauses : la fourniture de services à l’importateur de données à caractère personnel, dans la mesure où ces services impliquent un transfert international de données à caractère personnel de ILOVEPDF (exportateur de données) vers le client (importateur de données).
  • Rôle : sous-traitant de données.

Importateur(s) de données : [Identité et coordonnées du ou des importateurs de données, y compris de toute personne de contact chargée de la protection des données]

  • Nom : [...] (si cette partie n’est pas remplie, il est entendu qu’il s’agit du nom du client).
  • Adresse : [...] (si cette partie n’est pas remplie, il est entendu qu’il s’agit de l’adresse du client).
  • Nom, fonction et coordonnées de la personne de contact : [...] (si cette partie n’est pas remplie, il est entendu qu’il s’agit des informations de la personne qui représente le Client lors de la souscription ou de l’utilisation du service).
  • Activités en rapport avec les données transférées au titre des présentes clauses : la fourniture de services à l’exportateur de données à caractère personnel, dans la mesure où ces services concernent un transfert international de données à caractère personnel de ILOVEPDF (exportateur de données) vers le client (importateur de données).
  • Signature et date : [...] (si cette partie n’est pas remplie, il est entendu qu’il s’agit de la date de la première utilisation du service par le Client).
  • Rôle : responsable du traitement.

DESCRIPTION DU TRANSFERT

Catégories de personnes concernées dont les données à caractère personnel sont transférées

Les catégories de personnes concernées dont les données se trouvent dans les fichiers que l’importateur télécharge lorsqu’il utilise les services fournis par ILOVEPDF (p. ex. employés, clients, fournisseurs, etc.).

Catégories de données à caractère personnel transférées
Les catégories de données à caractère personnel comprises dans les fichiers que l’importateur télécharge lorsqu’il utilise les services fournis par ILOVEPDF.

Les données sensibles traitées (le cas échéant) et les limitations ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, tels que, par exemple, la limitation stricte de la finalité, les restrictions des accès (y compris l’accès réservé uniquement au personnel ayant suivi une formation spécialisée), la tenue d’un registre de l’accès aux données, les restrictions applicables aux transferts ultérieurs ou les mesures de sécurité supplémentaires..

Les catégories particulières de données sont traitées dans la mesure où les fichiers téléchargés par l’importateur lorsqu’il utilise les services fournis par ILOVEPDF contiennent de telles catégories particulières de données à caractère personnel.

Fréquence du transfert (indiquez, par exemple, si les données sont transférées sur une base ponctuelle ou continue).
Lorsque l’utilisation des services fournis par ILOVEPDF concerne un transfert international de données de la part de ILOVEPDF vers l’importateur de données.

Nature du traitement
Communiquer les données à caractère personnel à l’importateur dans la mesure où cette communication est nécessaire à la fourniture des services par ILOVEPDF.

Finalité(s) du transfert et du traitement ultérieur des données
Fournir les services pour le compte de ILOVEPDF.

Durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, critères utilisés pour déterminer cette durée
Dans la mesure strictement nécessaire pour fournir les services et, par la suite, dans la mesure requise par le droit applicable et nécessaire pour défendre ou faire valoir des droits relatifs au traitement des données à caractère personnel.

Contrôle de la version : jeudi 19 février 2026



Produit
Ressources
Juridique
Entreprise
  • Google Play
  • App Store
Français
© iLoveIMG 2026 ® - Votre éditeur Image
Oups ! Il semblerait qu'il y a un problème avec votre connexion internet...