Article 47 – Règles d’entreprise contraignantes

Par /
Opendata.png
En savoir plus...
Textes.png
Jurisprudence
Textes.png
Actualités

Article 47 - Règles d'entreprise contraignantes

1. L'autorité de contrôle compétente approuve des règles d'entreprise contraignantes conformément au mécanisme de contrôle de la cohérence prévu à l'article 63, à condition que:
  • a) ces règles soient juridiquement contraignantes, et soient mises en application par toutes les entités concernées du groupe d'entreprises ou du groupe d'entreprises engagées dans une activité économique conjointe, y compris leurs employés;
  • b) elles confèrent expressément aux personnes concernées des droits opposables en ce qui concerne le traitement de leurs données à caractère personnel; et
  • c) elles répondent aux exigences prévues au paragraphe 2.
2. Les règles d'entreprise contraignantes visées au paragraphe 1 précisent au moins:
  • a) la structure et les coordonnées du groupe d'entreprises ou du groupe d'entreprises engagées dans une activité économique conjointe et de chacune de leurs entités;
  • b) les transferts ou l'ensemble des transferts de données, y compris les catégories de données à caractère personnel, le type de traitement et ses finalités, le type de personnes concernées affectées et le nom du ou des pays tiers en question;
  • c) leur nature juridiquement contraignante, tant interne qu'externe;
  • d) l'application des principes généraux relatifs à la protection des données, notamment la limitation de la finalité, la minimisation des données, la limitation des durées de conservation des données, la qualité des données, la protection des données dès la conception et la protection des données par défaut, la base juridique du traitement, le traitement de catégories particulières de données à caractère personnel, les mesures visant à garantir la sécurité des données, ainsi que les exigences en matière de transferts ultérieurs à des organismes qui ne sont pas liés par les règles d'entreprise contraignantes;
  • e) les droits des personnes concernées à l'égard du traitement et les moyens d'exercer ces droits y compris le droit de ne pas faire l'objet de décisions fondées exclusivement sur un traitement automatisé, y compris le profilage, conformément à l'article 22, le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente et devant les juridictions compétentes des États membres conformément à l'article 79 et d'obtenir réparation et, le cas échéant, une indemnisation pour violation des règles d'entreprise contraignantes;
  • f) l'acceptation, par le responsable du traitement ou le sous-traitant établi sur le territoire d'un État membre, de l'engagement de sa responsabilité pour toute violation des règles d'entreprise contraignantes par toute entité concernée non établie dans l'Union; le responsable du traitement ou le sous-traitant ne peut être exonéré, en tout ou en partie, de cette responsabilité que s'il prouve que le fait générateur du dommage n'est pas imputable à l'entité en cause;
  • g) la manière dont les informations sur les règles d'entreprise contraignantes, notamment en ce qui concerne les éléments mentionnés aux points d), e) et f) du présent paragraphe sont fournies aux personnes concernées, en sus des informations visées aux articles 13 et 14;
  • h) les missions de tout délégué à la protection des données, désigné conformément à l'article 37, ou de toute autre personne ou entité chargée de la surveillance du respect des règles d'entreprise contraignantes au sein du groupe d'entreprises, ou du groupe d'entreprises engagées dans une activité économique conjointe, ainsi que le suivi de la formation et le traitement des réclamations;
  • i) les procédures de réclamation;
  • j) les mécanismes mis en place au sein du groupe d'entreprises, ou du groupe d'entreprises engagées dans une activité économique conjointe pour garantir que le contrôle du respect des règles d'entreprise contraignantes. Ces mécanismes prévoient des audits sur la protection des données et des méthodes assurant que des mesures correctrices seront prises pour protéger les droits de la personne concernée. Les résultats de ce contrôle devraient être communiqués à la personne ou à l'entité visée au point h) et au conseil d'administration de l'entreprise qui exerce le contrôle du groupe d'entreprises, ou du groupe d'entreprises engagées dans une activité économique conjointe, et devraient être mis à la disposition de l'autorité de contrôle compétente sur demande;
  • k) les mécanismes mis en place pour communiquer et consigner les modifications apportées aux règles et pour communiquer ces modifications à l'autorité de contrôle;
  • l) le mécanisme de coopération avec l'autorité de contrôle mis en place pour assurer le respect des règles par toutes les entités du groupe d'entreprises, ou du groupe d'entreprises engagées dans une activité économique conjointe, notamment en mettant à la disposition de l'autorité de contrôle les résultats des contrôles des mesures visés au point j);
  • m) les mécanismes permettant de communiquer à l'autorité de contrôle compétente toutes les obligations juridiques auxquelles une entité du groupe d'entreprises, ou du groupe d'entreprises engagées dans une activité économique conjointe, est soumise dans un pays tiers qui sont susceptibles d'avoir un effet négatif important sur les garanties fournies par les règles d'entreprise contraignantes; et
  • n) la formation appropriée en matière de protection des données pour le personnel ayant un accès permanent ou régulier aux données à caractère personnel.
3. La Commission peut, pour les règles d'entreprise contraignantes au sens du présent article, préciser la forme de l'échange d'informations entre les responsables du traitement, les sous-traitants et les autorités de contrôle, ainsi que les procédures qui s'y rapportent. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2.

En savoir plus...

Afin de compenser le manque de protection des données dans un pays tiers qui n'a pas été déclaré sûr en vertu de l'article 45 du RGPD, les entités peuvent adopter des règles d'entreprise contraignantes (BCR) conformément à l'article 46, paragraphe 2, point b), et au présent article 47. Ces règles constituent une garantie appropriée pour les transferts internationaux de données.

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.

Considérants pertinents

[Règles d'enteprise contraignantes]
110. Un groupe d'entreprises ou un groupe d'entreprises engagées dans une activité économique conjointe devrait pouvoir recourir à des règles d'entreprise contraignantes approuvées pour ses transferts internationaux de l'Union vers des entités du même groupe d'entreprises, ou du même groupe d'entreprises engagées dans une activité économique conjointe, à condition que ces règles d'entreprise incluent tous les principes essentiels et les droits opposables pour assurer des garanties appropriées pour les transferts ou catégories de transferts de données à caractère personnel.

Droit souple

Lignes directrices et recommandations
> CEPD - Recommandations 1/2022 - Règles d'entreprise contraignantes - RT (BCR-C)
20 juin 2023, v2.0
> WP29 - Document de travail - Procédure de coopération pour l'approbation des règles d'entreprise contraignantes
WP263, 11 avril 2018, en anglais
Documents anciens
> WP29 - Document de travail - Tableau concernant les règles d'entreprise contraignantes - ST (BCR-P)
WP257, 06 février 2018. /!\ Refonte en cours.
> WP29 - Document de travail - Tableau concernant les règles d'entreprise contraignantes - RT (BCR-C)
WP256, 28 novembre 2017

Rien trouvé ? N'hésitez pas à consulter la documentation sectorielle et transversale !

Références

Cet article cite...
> Article 13 - Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
> Article 14 - Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée
> Article 22 - Décision individuelle automatisée, y compris le profilage
> Article 37 - Désignation du délégué à la protection des données
> Article 63 - Mécanisme de contrôle de la cohérence
> Article 79 - Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant
> Article 93 - Comité

Cet article est cité par...
> Article 13 - Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
> Article 14 - Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée
> Article 45 - Transferts fondés sur une décision d'adéquation
> Article 46 - Transferts moyennant des garanties appropriées
> Article 57 - Missions
> Article 58 - Pouvoirs
> Article 64 - Avis du comité
> Article 70 - Missions du comité
> Article 83 - Conditions générales pour imposer des amendes administratives



En savoir plus...



Droit souple (sectoriel ou transversal)

Lignes directrices et recommandations
> CNIL - Recommandations - Applications mobiles
08 avril 2025
> CEPD - Lignes directrices 02/2023 - Champ d’application de l’article 5,3 de la directive ePrivacy (v2.0)
07 octobre 2024
> CNIL - Projet de recommandations - Données de localisation des véhicules connectées
25 mars 2025, ouvert à consultation public
> CNIL - Recommandations - Vidéosurveillance dans les Ehpad
29 février 2024
> CNIL - Recommandations - API
07 juillet 2023
> CNIL - Recommandations - Télésurveillance examens en ligne
8 juin 2023
> CEPD - Lignes directrices 02/2021 - Assistants vocaux virtuels (v2.0)
7 juillet 2021
> CEPD - Lignes directrices 8/2020 - Ciblage des utilisateurs de médias sociaux (v2.0)
13 avril 2021
> CEPD - Lignes directrices 01/2020 - Véhicules connectés et applications de mobilité (v2.0)
9 mars 2021
> CEPD - Lignes directrices 6/2020 - Intéraction directive services de paiement et RGPD (v2.0)
15 décembre 2020
> CNIL - Lignes directrices - Cookies et autres traceurs
17 septembre 2020
> CNIL - Recommandations - Cookies et autres traceurs
17 septembre 2020
> CEPD - Lignes directrices 3/2019 - Dispositifs vidéo (v2.0)
29 janvier 2020
Référentiels
> CNIL - Référentiel - Systèmes d'alertes professionnelles
06 juillet 2023
> CNIL - Référentiel - Officines de pharmacie
18 juillet 2022
> CNIL - Référentiel - Gestion commerciale
03 février 2022
> CNIL - Référentiel - Gestion des impayés
03 février 2022
> CNIL - Référentiel - Protection de l'enfance
20 janvier 2022
> CNIL - Référentiel - Gestion locative
6 mai 2021)
> CNIL - Référentiel - Accueil, hébergement et accompagnement social et médico-social des personnes en difficulté
11 mars 2021
> CNIL - Référentiel - Gestion RH
21 novembre 2019
Guides pratiques
> CNIL - Guide pratique - Obligations et responsabilités des collectivités locales
04 juillet 2022
> CNIL - Guide pratique - Guide pratique du développeur
13 décembre 2021 (sur le github de la CNIL)
> CNIL - Guide pratique - Guide pratique de l'UNAF
Mars 2021 (sur le site de l'UNAF)
> CNIL - Guide pratique - Sensibilisation pour les collectivités territoriales
18 septembre 2019
> CNIL - Guide pratique - Guide pratique de l'ordre des médecins
01 juin 2018

Jurisprudence

Note importante : cette base de données n'est pas achevée, il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Effacer les filtres
Décision n° Nom Date Apport de la décision + d'infos Thème Secteur Autorite Annee
Aucune jurisprudence liée à cet article n'a été trouvée dans notre base de données. N'hésitez pas à nous en suggérer !

Actualités

Profitez de nos actualités en lien avec cet article !

Note: le flux RSS correpondant à cet article semble vide. Nous vous proposons donc le flux ci-dessous, qui utilise un filtre plus large.


PIPC (autorité coréenne)
24 avril 2025

En Corée du Sud, annonce des résultats de l’examen préliminaire du service DeepSeek

Suite au lancement du service DeepSeek en janvier de cette année, des préoccupations concernant les violations de données personnelles ont été soulevées tant au niveau national qu’international. La Commission de protection a immédiatement envoyé un questionnaire à DeepSeek concernant sa méthode de collecte et de traitement de [...]

Tietosuoja (autorité finlandaise)
17 mars 2025

L’autorité finlandaise commence à enquêter sur le transfert de données de l’Université d’Helsinki vers une entreprise chinoise de biotechnologie

L’autorité finlandaise a annoncé aujourd’hui avoir demandé à l’Université d’Helsinki des informations sur la manière dont elle a mis en Å“uvre l’envoi des données liées aux échantillons de recherche d’origine humaine à une en [...]

DPC (autorité irlandaise)
24 février 2025

La Commission irlandaise de protection des données soumet un projet de décision au titre de l’article 60 dans le cadre de l’enquête sur TikTok

La DPC a aujourd’hui annoncé avoir soumis un projet de décision dans une enquête sur TikTok Technology Limited (TikTok) aux autres autorités de contrôle concernées dans l’UE/EEE le vendredi 21 février 2025, dans le cadre de l’article 60 du RGPD.  Cet [...]

APD (autorité belge)
18 février 2025

L’APD ordonne à la commune d’Anvers de supprimer des données audio de son projet « bruit dans le quartier étudiant »

La Chambre Contentieuse de l’APD a adressé aujourd’hui une réprimande à la Ville d’Anvers pour son projet pilote de mesure intelligente des nuisances sonores dans son quartier étudiant, qui a eu lieu en 2022. Le but de ce projet pilote était de cartographier les nuisances sonores dans le quart [...]

PIPC (autorité coréenne)
17 février 2025

L’application ‘DeepSeek’ temporairement suspendue en Corée du Sud

L’autorité coréenne de la protection des données a aujourd’hui annoncé la suspension temporaire, à compter du 15 février (samedi) à 18h00, de DeepSeek. Le service sera relancé après amélioration et complément en conformité avec la loi nationale sur la protection des données personnelles.

Dans son communiqué de presse, l’aut [...]

AP (autorité néerlandaise)
03 février 2025

AP : attention à l’utilisation du chatbot DeepSeek

Quelques jours après l’annonce du blocage de Deepseek par l’autorité italienne, c’est au tour de l’AP de se pencher sur le sujet. Dans un communiqué publié ce jour, l’autorité met en garde les utilisateurs de l’application DeepSeek et les encourage à faire preuve de prudence et de réserves avec ce nouveau chatbot. Les gens ont t [...]

CNIL
31 janvier 2025

Analyse d’impact des transferts des données (AITD) : la CNIL publie la version finale de son guide

Les exportateurs s’appuyant sur les outils de transferts comme les clauses contractuelles types ou les règles d’entreprise contraignantes (article 46.2 et 46.3 du RGPD) ont l’obligation d’évaluer le niveau de protection dans les pays tiers de destination et la nécessité de mettre en place des garanties supplémentair [...]

GPDP (autorité italienne)
31 janvier 2025

Intelligence artificielle : la Garante bloque DeepSeek

Après avoir annoncé une « demande d’information », l’autorité italienne a finalement ordonné le 30 janvier, soit 2 jours plus tard, en urgence et avec effet immédiat, la limitation du traitement des données des utilisateurs italiens par Hangzhou DeepSeek Artificial Intelligence et Beijing DeepSeek Artificial Intelligence, les sociétés chinoises qui fourn [...]

PIPC (autorité coréenne)
23 janvier 2025

La PIPC inflige à Kakao Pay et à Apple une amende d’un montant total de 8,752 milliards wons pour le transfert non autorisé de données personnelles à l’étranger

La PIPC a annoncé aujourd’hui infligé une amende administrative de 5,968 milliards de wons (soit près de 4 millions d’euros)  à Kakao Pay Co., Ltd. et une amende de 2,450 milliards de wons et une contravention de 2,2 millions de wons (soi [...]

NOYB – None of your business
23 janvier 2025

Le cloud américain bientôt illégal ? Trump fait un pied de nez à l’accord UE-USA sur les données.

Depuis les révélations de Snowden, nous savons que les États-Unis se livrent à une surveillance de masse des utilisateurs de l’UE en recueillant des données personnelles auprès des grandes entreprises américaines. Le « Privacy and Civil Liberties Oversight Board » (PCLOB) est la principale autorité de contrôle [...]

Signaler une erreur / Faire une suggestion

<< Retourner au menu
Retour en haut