Article 47 – Règles d’entreprise contraignantes

Article 47 - Règles d'entreprise contraignantes

1. L'autorité de contrôle compétente approuve des règles d'entreprise contraignantes conformément au mécanisme de contrôle de la cohérence prévu à l'article 63, à condition que:
  • a) ces règles soient juridiquement contraignantes, et soient mises en application par toutes les entités concernées du groupe d'entreprises ou du groupe d'entreprises engagées dans une activité économique conjointe, y compris leurs employés;
  • b) elles confèrent expressément aux personnes concernées des droits opposables en ce qui concerne le traitement de leurs données à caractère personnel; et
  • c) elles répondent aux exigences prévues au paragraphe 2.
2. Les règles d'entreprise contraignantes visées au paragraphe 1 précisent au moins:
  • a) la structure et les coordonnées du groupe d'entreprises ou du groupe d'entreprises engagées dans une activité économique conjointe et de chacune de leurs entités;
  • b) les transferts ou l'ensemble des transferts de données, y compris les catégories de données à caractère personnel, le type de traitement et ses finalités, le type de personnes concernées affectées et le nom du ou des pays tiers en question;
  • c) leur nature juridiquement contraignante, tant interne qu'externe;
  • d) l'application des principes généraux relatifs à la protection des données, notamment la limitation de la finalité, la minimisation des données, la limitation des durées de conservation des données, la qualité des données, la protection des données dès la conception et la protection des données par défaut, la base juridique du traitement, le traitement de catégories particulières de données à caractère personnel, les mesures visant à garantir la sécurité des données, ainsi que les exigences en matière de transferts ultérieurs à des organismes qui ne sont pas liés par les règles d'entreprise contraignantes;
  • e) les droits des personnes concernées à l'égard du traitement et les moyens d'exercer ces droits y compris le droit de ne pas faire l'objet de décisions fondées exclusivement sur un traitement automatisé, y compris le profilage, conformément à l'article 22, le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente et devant les juridictions compétentes des États membres conformément à l'article 79 et d'obtenir réparation et, le cas échéant, une indemnisation pour violation des règles d'entreprise contraignantes;
  • f) l'acceptation, par le responsable du traitement ou le sous-traitant établi sur le territoire d'un État membre, de l'engagement de sa responsabilité pour toute violation des règles d'entreprise contraignantes par toute entité concernée non établie dans l'Union; le responsable du traitement ou le sous-traitant ne peut être exonéré, en tout ou en partie, de cette responsabilité que s'il prouve que le fait générateur du dommage n'est pas imputable à l'entité en cause;
  • g) la manière dont les informations sur les règles d'entreprise contraignantes, notamment en ce qui concerne les éléments mentionnés aux points d), e) et f) du présent paragraphe sont fournies aux personnes concernées, en sus des informations visées aux articles 13 et 14;
  • h) les missions de tout délégué à la protection des données, désigné conformément à l'article 37, ou de toute autre personne ou entité chargée de la surveillance du respect des règles d'entreprise contraignantes au sein du groupe d'entreprises, ou du groupe d'entreprises engagées dans une activité économique conjointe, ainsi que le suivi de la formation et le traitement des réclamations;
  • i) les procédures de réclamation;
  • j) les mécanismes mis en place au sein du groupe d'entreprises, ou du groupe d'entreprises engagées dans une activité économique conjointe pour garantir que le contrôle du respect des règles d'entreprise contraignantes. Ces mécanismes prévoient des audits sur la protection des données et des méthodes assurant que des mesures correctrices seront prises pour protéger les droits de la personne concernée. Les résultats de ce contrôle devraient être communiqués à la personne ou à l'entité visée au point h) et au conseil d'administration de l'entreprise qui exerce le contrôle du groupe d'entreprises, ou du groupe d'entreprises engagées dans une activité économique conjointe, et devraient être mis à la disposition de l'autorité de contrôle compétente sur demande;
  • k) les mécanismes mis en place pour communiquer et consigner les modifications apportées aux règles et pour communiquer ces modifications à l'autorité de contrôle;
  • l) le mécanisme de coopération avec l'autorité de contrôle mis en place pour assurer le respect des règles par toutes les entités du groupe d'entreprises, ou du groupe d'entreprises engagées dans une activité économique conjointe, notamment en mettant à la disposition de l'autorité de contrôle les résultats des contrôles des mesures visés au point j);
  • m) les mécanismes permettant de communiquer à l'autorité de contrôle compétente toutes les obligations juridiques auxquelles une entité du groupe d'entreprises, ou du groupe d'entreprises engagées dans une activité économique conjointe, est soumise dans un pays tiers qui sont susceptibles d'avoir un effet négatif important sur les garanties fournies par les règles d'entreprise contraignantes; et
  • n) la formation appropriée en matière de protection des données pour le personnel ayant un accès permanent ou régulier aux données à caractère personnel.
3. La Commission peut, pour les règles d'entreprise contraignantes au sens du présent article, préciser la forme de l'échange d'informations entre les responsables du traitement, les sous-traitants et les autorités de contrôle, ainsi que les procédures qui s'y rapportent. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2.

En savoir plus...

Afin de compenser le manque de protection des données dans un pays tiers qui n'a pas été déclaré sûr en vertu de l'article 45 du RGPD, les entités peuvent adopter des règles d'entreprise contraignantes (BCR) conformément à l'article 46, paragraphe 2, point b), et au présent article 47. Ces règles constituent une garantie appropriée pour les transferts internationaux de données.

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.

Considérants pertinents

[Règles d'enteprise contraignantes]
110. Un groupe d'entreprises ou un groupe d'entreprises engagées dans une activité économique conjointe devrait pouvoir recourir à des règles d'entreprise contraignantes approuvées pour ses transferts internationaux de l'Union vers des entités du même groupe d'entreprises, ou du même groupe d'entreprises engagées dans une activité économique conjointe, à condition que ces règles d'entreprise incluent tous les principes essentiels et les droits opposables pour assurer des garanties appropriées pour les transferts ou catégories de transferts de données à caractère personnel.

Droit souple

Références

En savoir plus...



Droit souple (sectoriel ou transversal)

Lignes directrices et recommandations
> CNIL - Recommandations - Vidéosurveillance dans les Ehpad
29 février 2024
> CNIL - Recommandations - Applications mobiles
21 juillet 2023
> CNIL - Recommandations - API
07 juillet 2023
> CNIL - Recommandations - Télésurveillance examens en ligne
8 juin 2023
> CEPD - Lignes directrices 02/2021 - Assistants vocaux virtuels (v2.0)
7 juillet 2021
> CEPD - Lignes directrices 8/2020 - Ciblage des utilisateurs de médias sociaux (v2.0)
13 avril 2021
> CEPD - Lignes directrices 01/2020 - Véhicules connectés et applications de mobilité (v2.0)
9 mars 2021
> CEPD - Lignes directrices 6/2020 - Intéraction directive services de paiement et RGPD (v2.0)
15 décembre 2020
> CNIL - Lignes directrices - Cookies et autres traceurs
17 septembre 2020
> CNIL - Recommandations - Cookies et autres traceurs
17 septembre 2020
> CEPD - Lignes directrices 3/2019 - Dispositifs vidéo (v2.0)
29 janvier 2020

Référentiels
> CNIL - Référentiel - Systèmes d'alertes professionnelles
06 juillet 2023
> CNIL - Référentiel - Officines de pharmacie
18 juillet 2022
> CNIL - Référentiel - Gestion commerciale
03 février 2022
> CNIL - Référentiel - Gestion des impayés
03 février 2022
> CNIL - Référentiel - Protection de l'enfance
20 janvier 2022
> CNIL - Référentiel - Gestion locative
6 mai 2021)
> CNIL - Référentiel - Accueil, hébergement et accompagnement social et médico-social des personnes en difficulté
11 mars 2021
> CNIL - Référentiel - Gestion RH
21 novembre 2019

Guides pratiques
> CNIL - Guide pratique - Obligations et responsabilités des collectivités locales
04 juillet 2022
> CNIL - Guide pratique - Guide pratique du développeur
13 décembre 2021 (sur le github de la CNIL)
> CNIL - Guide pratique - Guide pratique de l'UNAF
Mars 2021 (sur le site de l'UNAF)
> CNIL - Guide pratique - Sensibilisation pour les collectivités territoriales
18 septembre 2019
> CNIL - Guide pratique - Guide pratique de l'ordre des médecins
01 juin 2018

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Actualités

Profitez de nos actualités en lien avec cet article !

Note: le flux RSS correpondant à cet article semble vide. Nous vous proposons donc le flux ci-dessous, qui utilise un filtre plus large.


AP (autorité néerlandaise)
03 février 2025

AP : attention à l’utilisation du chatbot DeepSeek

Quelques jours après l’annonce du blocage de Deepseek par l’autorité italienne, c’est au tour de l’AP de se pencher sur le sujet. Dans un communiqué publié ce jour, l’autorité met en garde les utilisateurs de l’application DeepSeek et les encourage à faire preuve de prudence et de réserves avec ce nouveau chatbot. Les gens ont t [...]

CNIL
31 janvier 2025

Analyse d’impact des transferts des données (AITD) : la CNIL publie la version finale de son guide

Les exportateurs s’appuyant sur les outils de transferts comme les clauses contractuelles types ou les règles d’entreprise contraignantes (article 46.2 et 46.3 du RGPD) ont l’obligation d’évaluer le niveau de protection dans les pays tiers de destination et la nécessité de mettre en place des garanties supplémentair [...]

GPDP (autorité italienne)
31 janvier 2025

Intelligence artificielle : la Garante bloque DeepSeek

Après avoir annoncé une « demande d’information », l’autorité italienne a finalement ordonné le 30 janvier, soit 2 jours plus tard, en urgence et avec effet immédiat, la limitation du traitement des données des utilisateurs italiens par Hangzhou DeepSeek Artificial Intelligence et Beijing DeepSeek Artificial Intelligence, les sociétés chinoises qui fourn [...]

PIPC (autorité coréenne)
23 janvier 2025

La PIPC inflige à Kakao Pay et à Apple une amende d’un montant total de 8,752 milliards wons pour le transfert non autorisé de données personnelles à l’étranger

La PIPC a annoncé aujourd’hui infligé une amende administrative de 5,968 milliards de wons (soit près de 4 millions d’euros)  à Kakao Pay Co., Ltd. et une amende de 2,450 milliards de wons et une contravention de 2,2 millions de wons (soi [...]

NOYB – None of your business
23 janvier 2025

Le cloud américain bientôt illégal ? Trump fait un pied de nez à l’accord UE-USA sur les données.

Depuis les révélations de Snowden, nous savons que les États-Unis se livrent à une surveillance de masse des utilisateurs de l’UE en recueillant des données personnelles auprès des grandes entreprises américaines. Le « Privacy and Civil Liberties Oversight Board » (PCLOB) est la principale autorité de contrôle [...]

L’Usine digitale
18 janvier 2025

La Cour suprême valide l’interdiction de TikTok pour des raisons de sécurité nationale

Le recours de TikTok contre la loi l’obligeant à être cédé par sa maison mère ByteDance à une entreprise non chinoise a été rejeté par la Cour suprême. Ainsi, à compter du dimanche 19 janvier, l’application utilisée par 170 millions d’utilisateurs aux Etats-Unis sera interdite. La principale inquiétude portait [...]

PIPC (autorité coréenne)
19 novembre 2024

 La PIPC  organise un comité d’experts sur le transfert de données à l’étranger pour évaluer la reconnaissance de l’équivalence

La Commission de protection des données personnelles (Président Ko Hak-soo, ci-après dénommée « Commission des données personnelles ») poursuit ses travaux en la matière et a annoncé avoir tenu la troisième réunion du Comité d’experts (composé de 12 experts dans des domaines t [...]

Comité européen sur la protection des données (EDPB)
05 novembre 2024

Le CEPD adopte son premier rapport dans le cadre Data Privacy Framework (DPF)

Lors de sa dernière session plénière, le comité européen de la protection des données (CEPD) a adopté un rapport sur le premier réexamen du cadre de protection des données UE-États-Unis, ainsi qu’une déclaration sur les recommandations du groupe de haut niveau (co-présidé par la Commission et la présidence du Conseil) sur l’accès aux données p [...]

Datatilsynet (autorité norvégienne)
04 novembre 2024

L’autorité norvégienne adresse une réprimande à Disqus

Aujourd’hui, l’autorité norvégienne de protection des données a annoncé avoir adressé un blâme à Disqus. Cette décision fait suite à la divulgation par l’entreprise, sans base légale, de données personnelles sur des personnes concernées en Norvège.

Disqus est une société américaine qui propose, entre autres, des solutions de champs de [...]

PIPC (autorité coréenne)
03 novembre 2024

La Corée du Sud veut reconnaître l’UE « adéquate » afin de supprimer les obstacles à l’échange de données

En décembre 2021, l’Union européenne a publié une décision d’adéquation pour la Corée, reconnaissant le niveau de protection des données à caractère personnel en Corée comme équivalent à celui de l’Union européenne et autorisant le transfert de données à caractère personnel des États me [...]

Signaler une erreur / Faire une suggestion
<< Retourner au menu
Retour en haut