Clause (1) Objet et champ d'application

a. L'objectif de ces Clauses est de garantir qu'un niveau approprié de protection des données à caractère personnel équivalent au niveau de protection applicable en vertu de la Loi sur la protection des données à caractère personnel et de ses réglementations d'application est appliqué en l'absence d'un niveau approprié de protection des données à caractère personnel en dehors du Royaume, en précisant les obligations des parties impliquées dans le transfert de Données personnelles vers un pays ou une organisation internationale ne disposant pas d'un niveau approprié de protection des Données personnelles. L'Annexe (1) montre les données pour les exportateurs et les importateurs de données.

b. Les présentes Clauses s'appliquent au transfert de Données à caractère personnel tel que spécifié à l'Annexe (2) (« Données à caractère personnel à transférer ou à divulguer »).

Clause (2) Modification et répercussion 

a. Les présentes Clauses établissent des garanties appropriées, notamment les droits de formulation de plainte par les Personnes concernées par les Données à caractère personnel, et ne peuvent être modifiées, sauf pour sélectionner le modèle approprié ou pour ajouter ou mettre à jour des informations dans l'Annexe.

b. Les parties peuvent incorporer les présentes Clauses dans un accord global ou ajouter d'autres clauses ou garanties supplémentaires, à condition qu'elles ne soient pas en conflit direct ou indirect avec les présentes Clauses et ne portent pas atteinte aux droits fondamentaux des Personnes concernées par les Données à caractère personnel.

c. Les présentes Clauses ne dispensent aucune partie de ses obligations en vertu de la Loi et des Règlementations, et ne portent pas atteinte aux dispositions des Lois et Règlementations en vigueur dans le Royaume, ni aux accords auxquels le Royaume est partie.

Clause (3) Droits des personnes concernées par les données à caractère personnel

a. Les présentes Clauses contractuelles types sont sans préjudice des droits des personnes concernées par les données à caractère personnel conformément à la Loi et aux règlementations.

b. Les personnes concernées par les données à caractère personnel, dont les données à caractère personnel sont transférées par les parties sur le fondement des présentes Clauses contractuelles types peuvent notifier l'Autorité compétente (« Autorité saoudienne en matière de données et d'IA ») si elles ont connaissance d'une violation des présentes Clauses contractuelles types.

Clause (4) Interprétation

a. Sauf si le contexte exige autrement, les termes et expressions utilisés dans les présentes Clauses auront la signification qui leur est attribuée à l'Article (1) de la Loi sur la protection des données à caractère personnel adoptée par le Décret royal n° (M/19) daté du 9/2/1443 AH, et modifié par le Décret royal n° (M/148) daté du 5/9/1444 AH, l'Article (1) de la règlementation en matière d'exécution de la PDPL et l'Article (1) de la règlementation relative au transfert de données à caractère personnel en dehors du Royaume.

b. Les présentes Clauses doivent être lues et interprétées à la lumière des dispositions de la Loi et des règlementations visées au paragraphe (a) du présent Article, conformément à celles-ci, et ne peuvent être interprétées d'une manière incompatible avec les dispositions de la Loi et des règlementations.

Clause (5) Conflit 

En cas de conflit entre les présentes Clauses et toute stipulation dans tout autre contrat conclu entre les parties, les présentes Clauses prévaudront.

Clause (6) Détails des transferts

Le(s) transfert(s), ainsi que les catégories de Données à caractère personnel et les finalités des transferts, sont décrits dans l'Annexe.

Clause (7) Ajout de nouvelles parties

a. Tout importateur ou exportateur de données à caractère personnel qui n'est pas partie aux présentes Clauses types peut adhérer aux présentes Clauses contractuelles types en remplissant et en signant l'Annexe (1), avec le consentement des parties existantes. L'entité participante sera soit l'importateur de données à caractère personnel, soit l'exportateur de données à caractère personnel.

b. Une fois l'Annexe (1) remplie et signée, l'entité participante sera partie aux présentes Clauses, et la nouvelle entité participante assumera, à la date de la participation, les responsabilités en fonction de la nature des opérations de traitement et de transfert de données à caractère personnel qui ont eu lieu à la date de participation ou après cette date, et sera en droit d'exercer les droits et de s'acquitter des obligations correspondant à son rôle, tel que défini dans les présentes Clauses.

Clause (8) Droit applicable et juridication compétente

Les présentes Clauses contractuelles types seront régies par les lois applicables du Royaume d'Arabie Saoudite. Tout litige découlant de l'application des stipulations des présentes Clauses relève de la compétence du Royaume et sera dévolu à ses tribunaux. L'importateur de données à caractère personnel, conformément aux présentes Clauses contractuelles types, accepte de se soumettre à la compétence du Royaume d'Arabie Saoudite.

Clause (9) Respect des demandes de l'autorité compétente

a. Chaque partie accepte de se conformer à toute demande de l'Autorité compétente relative aux présentes Clauses contractuelles types ou au traitement des données à caractère personnel transférées.

b. L'importateur de données à caractère personnel accepte et s'engage à coopérer avec l'Autorité compétente, à se conformer à toutes ses requêtes et investigations et à fournir les documents et informations nécessaires pour assurer le respect des Clauses contractuelles types.

c. L'importateur de données à caractère personnel accepte de respecter les mesures adoptées par l'Autorité compétente, notamment les mesures correctives et les compensations.

Clause (10) Compensation

a. En cas de litige entre la Personne concernée par les données à caractère personnel et une partie concernant le respect des Clauses contractuelles types, cette partie utilisera tous les moyens nécessaires pour régler le litige à l'amiable avec la personne concernée par les données à caractère personnel, et toutes les parties s'informeront mutuellement de l'existence d'un tel litige afin de garantir qu'il soit résolu en coopération avec l'autre.

b. La personne concernée par les données à caractère personnel peut soumettre à l'Autorité compétente toute plainte découlant de l'application des stipulations des présentes Clauses contractuelles types, conformément aux procédures de dépôt des plaintes spécifiées par la Loi et les règlementations.

c. La personne concernée par les données à caractère personnel a le droit de réclamer devant le tribunal compétent une compensation pour le préjudice matériel ou moral proportionnellement à l'ampleur du préjudice découlant de l'application des présentes Clauses contractuelles types.

Clause (11) Sécurité des données à caractère personnel

a. Toutes les parties prendront les mesures organisationnelles, administratives et techniques nécessaires qui garantissent le maintien de la confidentialité des données à caractère personnel contre toute violation à toutes les étapes du traitement, notamment la sécurité des données à caractère personnel pendant le processus de transfert.  Pour évaluer le niveau approprié de sécurité, les parties prendront en compte l'état actuel de la technologie, les coûts de mise en œuvre et la nature des données à caractère personnel transférées, ainsi que la nature, le champ d'application, le contexte, les finalités, les risques impliqués dans le traitement des données à caractère personnel, et prendront spécifiquement en considération l'application du cryptage ou désidentification, notamment pendant le transfert des données à caractère personnel, lorsque l'objectif du traitement des données peut être atteint de cette manière.

b. L'exportateur de données à caractère personnel aidera l'importateur à satisfaire aux exigences nécessaires en matière de sécurité des données, et en cas de violation des données à caractère personnel transférées et traitées par l'exportateur conformément aux présentes Clauses contractuelles types, l'exportateur notifiera l'importateur sans délai après avoir pris connaissance de cette violation et aidera celui-ci à contenir cette violation.

c. L'exportateur de données garantit que les personnes autorisées à traiter les données à caractère personnel transférées sont tenus de respecter les exigences en matière de confidentialité et de non-divulgation conformément à une obligation légale appropriée de confidentialité et de non-divulgation.

Clause (12) Durée et résiliation

a. Si, pour une raison quelconque, l'importateur de données à caractère personnel est incapable de s'acquitter de ses obligations conformément aux présentes Clauses contractuelles types, celui-ci devra en informer l'exportateur de données à caractère personnel dans un délai (24) heures à compter du moment où il en a pris connaissance.

b. Dans le cas où l'importateur de données à caractère personnel violerait les présentes Clauses contractuelles types ou serait incapable de les respecter, l'exportateur de données à caractère personnel cessera immédiatement le transfert à l'importateur jusqu'à ce que celui-ci assure à nouveau son retour à un état de conformité, jusqu'à que celui-ci garantisse à nouveau son retour à un état de conformité, à condition qu'il dispose d'une période de (30) jours, prorogable pour une période maximale similaire, pour prouver sa capacité à se conformer aux présentes Clauses, et si la période expire sans que cette condition soit remplie, les deux parties accepteront de résilier le contrat, sans que l'exportateur de données à caractère personnel ou le responsable du traitement ne soit tenu responsable, selon le cas.

c. L'exportateur de données à caractère personnel ou le responsable du traitement, selon le cas, veillera à ce que toutes les données à caractère personnel précédemment transférées à l'importateur de données à caractère personnel soient entièrement détruites avant de résilier les Clauses contractuelles types conformément au paragraphe (b) ci-dessus. Il veillera également à ce que toute copie de ces données à caractère personnel soit détruite.

d. L'importateur de données à caractère personnel doit documenter la destruction des données, et cette documentation doit être fournie à l'exportateur de données à caractère personnel ou au responsable du traitement sur demande.

e. L'importateur de données à caractère personnel doit continuer à veiller, jusqu'à ce que les données soient détruites, à ce qu'il soit conforme aux présentes Clauses contractuelles types.

Clause (13) Protection des données à caractère personnel transférées

L'exportateur de données à caractère personnel et l'importateur de données à caractère personnel traiteront les données à caractère personnel transférées conformément à la nature et à l'objet du transfert, comme suit :

Clauses contractuelles types entre responsables de traitement

1. Restrictions en matière de traitement

L'importateur de données à caractère personnel est tenu de traiter les données à caractère personnel transférées conformément à l'objet énoncé à l'Annexe (2).

2. Respect des demandes de l'autorité compétente

2.1 Les parties fourniront une copie des présentes Clauses à l'Autorité compétente sur demande et sans retard injustifié afin que celle-ci puisse exercer les pouvoirs qui lui sont conférés par la Loi et les règlementations. L'Autorité compétente peut demander toute information supplémentaire concernant les transferts de données à caractère personnel.

2.2 Chaque partie accepte de se conformer à toute demande formulée par l'Autorité compétente relative aux présentes Clauses ou au traitement des données transférées. 

2.3 Sur demande, l'importateur de données à caractère personnel (soit directement, soit par l'intermédiaire de l'exportateur de données à caractère personnel) divulguera son identité et ses coordonnées, ainsi que les catégories de données à caractère personnel traitées à la personne concernée par les données à caractère personnel et fournira une copie de ces éléments.

3. Quantité minimum de données à caractère personnel nécessaire aux fins prévues

Toutes les parties veilleront à ce que les données à caractère personnel transférées soient suffisantes et limitées au montant minimum nécessaire à l'objet énoncé à l'Annexe (2). Si une partie prend connaissance d'un transfert de données à caractère personnel non nécessaire, cette partie en informera l'autre partie dès qu'elle en a pris connaissance.

4. Conservation des données à caractère personnel 

L'Importateur de données à caractère personnel conservera les données à caractère personnel transférées si cela est nécessaire à l'objet énoncé à l'Annexe (2), à condition que celui-ci supprime ou anonymise les données à caractère personnel transférées, sans retard injustifié, sauf dans les cas suivants : 

4.1 Si cela est conforme à une justification légale conformément aux lois du Royaume et à la Loi sur la protection des données à caractère personnel et à ses règlementations ; dans ce cas, les données seront détruites après l'expiration de la période ou une fois que l'objet pour lequel elles ont été collectées a été réalisé, selon la période la plus longue. 

4.2 Si la conservation des données à caractère personnel transférées pour une période supplémentaire est directement liée à une affaire en cours devant une autorité judiciaire, et si cette conservation est nécessaire à cette fin, les données seront détruites après l'achèvement des procédures judiciaires liées à l'affaire. 

4.3 Si la conservation des données à caractère personnel transférées pendant une période supplémentaire est nécessaire pour protéger la vie de la personne concernée ou ses intérêts vitaux.

5. Sécurité des données à caractère personnel et avis de violation de données à caractère personnel

Les Parties veilleront à ce que les mesures organisationnelles, administratives et techniques spécifiées à l'Annexe (3) fournissent un niveau de protection suffisant pour les données à caractère personnel transférées afin de se conformer aux exigences de l'Article (19) de la Loi et de l'Article (23) des règlementations en matière d'application. 

5.1 L'importateur de données à caractère personnel mettra en œuvre les mesures de sécurité spécifiées à l'Annexe (3) et appliquera ces mesures à toutes les données à caractère personnel transférées pour garantir la sécurité et la protection des données à caractère personnel contre toute violation susceptible d'entraîner un préjudice à la personne concernée par les données à caractère personnel, une action illicite, une perte, une altération, une divulgation de données à caractère personnel ou un accès non autorisé.

5.2 L'importateur de données à caractère personnel doit examiner périodiquement les mesures de sécurité stipulées à l'Annexe (3) pour s'assurer qu'elles sont mises en œuvre conformément aux exigences et les mettre à jour si nécessaire afin de garantir le respect de l'Article (19) de la Loi et de l'Article (23) des règlementations en matière d'application. 

5.3 Si l'importateur de données à caractère personnel prend connaissance d'un incident de violation de données susceptible de porter préjudice aux données à caractère personnel transférées ou aux personnes concernées, ou de porter atteinte à leurs droits ou intérêts, celui-ci doit en aviser l'autorité compétente dans un délai (72) heures à compter de la prise de connaissance de l'incident, conformément aux exigences énoncées à l'Article (24) des règlementations en matière d'application de la Loi. 

6. Données sensibles 

Sans préjudice de toute restriction relative aux données sensibles stipulée dans la Loi et les règlementations en matière d'application de la Loi, l'exportateur de données à caractère personnel veillera à ce que l'importateur de données à caractère personnel adopte des mesures de protection supplémentaires appropriées à la nature des données à caractère personnel et veille à ce qu'il soit protégé contre tout risque lors de son traitement, tout en veillant à ce que les restrictions et garanties supplémentaires décrites à l'Annexe (2) soient appliquées. 

7. Transfert ultérieur

7.1 L'importateur de données à caractère personnel ne transférera ni ne divulguera les données à caractère personnel transférées à un tiers en dehors du Royaume, sauf si cette partie a accepté les présentes Clauses et conformément au modèle approprié et aux stipulations de la Clause (7) ci-dessus. 

7.2 Sans préjudice des stipulations des Articles (8) et (15) de la Loi et (17) de la règlementation en matière d'application de la Loi, les stipulations de la Loi et des règlementations s'appliqueront au transfert ultérieur de données à caractère personnel qui ont précédemment été transférées ou divulguées à une entité en dehors du Royaume.

Désignation des responsables du traitement 

L'importateur de données à caractère personnel sera tenu de sélectionner un responsable du traitement qui fournit des garanties suffisantes concernant la protection des données à caractère personnel transférées, et le contrat conclu avec le responsable du traitement comprendra toutes les exigences énoncées à l'Article (17) de la règlementation en matière d'application, et le traitement sera fondé uniquement sur les instructions de l'importateur de données, à condition que ces instructions soient conformes aux exigences énoncées dans les présentes Clauses.

9. Respect des présentes Clauses 

9.1 Toutes les parties démontreront le respect total des présentes Clauses à l'Autorité compétente sur demande, et l'importateur de données à caractère personnel conservera les documents relatifs aux activités de traitement des données à caractère personnel menées sous sa supervision, en plus des dossiers relatifs aux activités de traitement des données à caractère personnel, tels que stipulés à l'Article (33) du règlementation. 

9.2 L'importateur de données à caractère personnel fournira ces documents à l'Autorité compétente sur demande. 

10. Responsabilité 

10.1 Chaque partie sera responsable envers l'autre partie de tout préjudice causé à l'autre partie suite à une violation de l'une des présentes Clauses contractuelles types. 

10.2 Chaque partie sera responsable envers la personne concernée par les données à caractère personnel, sans préjudice de la responsabilité de l'exportateur de données à caractère personnel conformément à la Loi et aux règlementations, et la Personne concernée par les données à caractère personnel aura droit à une compensation pour tout préjudice matériel et moral causé par la partie négligente qui nuit à la personne concernée par les données à caractère personnel. Si plus d'une partie est responsable d'un préjudice causé à la personne concernée par les données à caractère personnel suite à la violation des présentes Clauses contractuelles types, les parties responsables seront tenues conjointement ou individuellement responsables, et la personne concernée par les données à caractère personnel aura le droit d'intenter une action en justice devant un tribunal contre l'une de ces parties. 

10.3 Les parties acceptent que si une partie assume la responsabilité (b), elle sera en droit de réclamer à l'autre partie la partie de la compensation correspondant à sa responsabilité concernant le dommage.

10.4 L'importateur de données à caractère personnel ne peut pas se fier au comportement du responsable du traitement des données ou du sous-traitant pour éviter toute responsabilité. 

11. Droit des personnes concernées par les données à caractère personnel 

11.1 L'importateur de données à caractère personnel (avec le soutien de l'exportateur de données à caractère personnel) traitera, selon le cas, toute requête ou demande reçue de la part de la personne concernée concernant le traitement des données à caractère personnel et l'exercice des droits prévus conformément à la Loi et aux réglementations applicables sans aucun délai dans une période n'excédant pas trente (30) jours à compter de la date de réception de cette demande. Cette période peut être prorogée pour une période similaire jusqu'à un maximum de trente (30) jours si l'exécution de la demande nécessite un effort extraordinaire ou si l'importateur de données à caractère personnel reçoit de nombreuses demandes de la part de la personne concernée par les données à caractère personnel. La personne concernée recevra un préavis de cette prorogation et de ses motifs.

11.2 Toutes les déclarations faites à la personne concernée par les données à caractère personnel doivent être présentées dans un format clair, lisible et accessible.

Annexe

Pour des informations aux Annexes 1, 2 et 3, veuillez consulter les Conditions de confidentialité relatives à l'Arabie Saoudite.