Art. 47
1. L'autorité de contrôle compétente approuve des règles d'entreprise contraignantes conformément au mécanisme de contrôle de la cohérence prévu à l'article 63, à condition que:
a) ces règles soient juridiquement contraignantes, et soient mises en application par toutes les entités concernées du groupe d'entreprises ou du groupe d’entreprises engagées dans une activité économique conjointe, y compris leurs employés;
b) elles confèrent expressément aux personnes concernées des droits opposables en ce qui concerne le traitement de leurs données à caractère personnel; et
c) elles répondent aux exigences prévues au paragraphe 2.
2. Les règles d'entreprise contraignantes visées au paragraphe 1 précisent au moins:
a) la structure et les coordonnées du groupe d'entreprises ou du groupe d’entreprises engagées dans une activité économique conjointe et de chacune de leurs entités;
b) les transferts ou l'ensemble des transferts de données, y compris les catégories de données à caractère personnel, le type de traitement et ses finalités, le type de personnes concernées affectées et le nom du ou des pays tiers en question;
c) leur nature juridiquement contraignante, tant interne qu'externe;
d) l'application des principes généraux relatifs à la protection des données, notamment la limitation de la finalité, la minimisation des données, la limitation des durées de conservation des données, la qualité des données, la protection des données dès la conception et la protection des données par défaut, la base juridique du traitement, le traitement de catégories particulières de données à caractère personnel, les mesures visant à garantir la sécurité des données, ainsi que les exigences en matière de transferts ultérieurs à des organismes qui ne sont pas liés par les règles d'entreprise contraignantes;
e) les droits des personnes concernées à l'égard du traitement et les moyens d’exercer ces droits y compris le droit de ne pas faire l'objet de décisions fondées exclusivement sur un traitement automatisé, y compris le profilage, conformément à l'article 22, le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente et devant les juridictions compétentes des États membres conformément à l'article 79 et d'obtenir réparation et, le cas échéant, une indemnisation pour violation des règles d'entreprise contraignantes;
f) l'acceptation, par le responsable du traitement ou le sous-traitant établi sur le territoire d'un État membre, de l'engagement de sa responsabilité pour toute violation des règles d'entreprise contraignantes par toute entité concernée non établie dans l'Union; le responsable du traitement ou le sous-traitant ne peut être exonéré, en tout ou en partie, de cette responsabilité que s'il prouve que le fait générateur du dommage n'est pas imputable à l'entité en cause;
g) la manière dont les informations sur les règles d'entreprise contraignantes, notamment en ce qui concerne les éléments mentionnés aux points d), e) et f) du présent paragraphe sont fournies aux personnes concernées, en sus des informations visées aux articles 13 et 14;
h) les missions de tout délégué à la protection des données, désigné conformément à l'article 37, ou de toute autre personne ou entité chargée de la surveillance du respect des règles d'entreprise contraignantes au sein du groupe d'entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe, ainsi que le suivi de la formation et le traitement des réclamations;
i) les procédures de réclamation;
j) les mécanismes mis en place au sein du groupe d'entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe pour garantir que le contrôle du respect des règles d'entreprise contraignantes. Ces mécanismes prévoient des audits sur la protection des données et des méthodes assurant que des mesures correctrices seront prises pour protéger les droits de la personne concernée. Les résultats de ce contrôle devraient être communiqués à la personne ou à l'entité visée au point h) et au conseil d'administration de l'entreprise qui exerce le contrôle du groupe d'entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe, et devraient être mis à la disposition de l'autorité de contrôle compétente sur demande;
k) les mécanismes mis en place pour communiquer et consigner les modifications apportées aux règles et pour communiquer ces modifications à l'autorité de contrôle;
l) le mécanisme de coopération avec l'autorité de contrôle mis en place pour assurer le respect des règles par toutes les entités du groupe d'entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe, notamment en mettant à la disposition de l'autorité de contrôle les résultats des contrôles des mesures visés au point j);
m) les mécanismes permettant de communiquer à l'autorité de contrôle compétente toutes les obligations juridiques auxquelles une entité du groupe d'entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe, est soumise dans un pays tiers qui sont susceptibles d'avoir un effet négatif important sur les garanties fournies par les règles d'entreprise contraignantes; et
n) la formation appropriée en matière de protection des données pour le personnel ayant un accès permanent ou régulier aux données à caractère personnel.
3. La Commission peut, pour les règles d'entreprise contraignantes au sens du présent article, préciser la forme de l'échange d'informations entre les responsables du traitement, les sous-traitants et les autorités de contrôle, ainsi que les procédures qui s'y rapportent. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2.
|
1. Une autorité de contrôle approuve des règles d’entreprise contraignantes conformément au mécanisme de contrôle de la cohérence prévu à l'article 58, à condition:
a) qu'elles soient juridiquement contraignantes, qu'elles s'appliquent à toutes les entités du groupe d’entreprises du responsable du traitement ou du sous-traitant, y compris à leurs salariés, et que lesdites entités en assurent le respect;
b) qu'elles confèrent expressément aux personnes concernées des droits opposables;
c) qu'elles respectent les exigences prévues au paragraphe 2. 2. Les règles d'entreprise contraignantes précisent au moins:
a) la structure et les coordonnées du groupe d'entreprises et des entités qui le composent;
b) le transfert ou l'ensemble de transferts de données, y compris les catégories de données à caractère personnel, le type de traitement et ses finalités, la catégorie de personnes concernées et le nom du ou des pays tiers en question;
c) leur nature juridiquement contraignante, tant interne qu'externe;
d) les principes généraux de protection des données, notamment la limitation de la finalité, la qualité des données, la base juridique du traitement, le traitement de données à caractère personnel sensibles, les mesures visant à garantir la sécurité des données, ainsi que les exigences en matière de transferts ultérieurs à des organismes qui ne sont pas liés par les mesures en question;
e) les droits des personnes concernées et les moyens de les exercer, notamment le droit de ne pas être soumis à une mesure fondée sur le profilage conformément à l'article 20, le droit de déposer une réclamation auprès de l'autorité de contrôle compétente et devant les juridictions compétentes des États membres conformément à l’article 75 et d'obtenir réparation et, le cas échéant, une indemnisation pour violation des règles d'entreprise contraignantes;
f) l'acceptation, par le responsable du traitement ou le sous-traitant établi sur le territoire d’un État membre, de l’engagement de sa responsabilité pour toute violation des règles d'entreprise contraignantes par toute entité appartenant au groupe d’entreprises non établie dans l'Union; le responsable du traitement ou le sous-traitant ne peut être exonéré, en tout ou en partie, de cette responsabilité que s'il prouve que le fait générateur du dommage n'est pas imputable à l'entité en cause;
g) la manière dont les informations sur les règles d'entreprise contraignantes, notamment en ce qui concerne les éléments mentionnés aux points d), e) et f), sont fournies aux personnes concernées, conformément à l'article 11;
h) les missions du délégué à la protection des données, désigné conformément à l’article 35, notamment la surveillance, au sein du groupe d'entreprises, du respect des règles d'entreprise contraignantes, ainsi que le suivi de la formation et du traitement des réclamations;
i) les mécanismes mis en place au sein du groupe d'entreprises pour garantir que le respect des règles d'entreprise contraignantes est contrôlé;
j) les mécanismes mis en place pour communiquer et archiver les modifications apportées aux règles internes et pour communiquer ces modifications à l’autorité de contrôle;
k) le mécanisme de coopération avec l’autorité de contrôle mis en place pour assurer le respect des règles par toutes les entités du groupe d'entreprises, notamment en mettant à la disposition de l'autorité de contrôle les résultats des contrôles des mesures prévues au point i).
3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables aux règles d'entreprise contraignantes au sens du présent article, notamment en ce qui concerne les critères applicables à leur approbation, l'application du paragraphe 2, points b), d), e) et f), aux règles d'entreprise contraignantes auxquelles adhèrent les sous-traitants, et les exigences nécessaires supplémentaires pour assurer la protection des données à caractère personnel des personnes concernées en question. 4. La Commission peut, pour les règles d’entreprise contraignantes au sens du présent article, spécifier la forme de l'échange d’informations par voie électronique entre les responsables du traitement, les sous-traitants et les autorités de contrôle, ainsi que les procédures qui s'y rapportent. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l’article 87, paragraphe 2.
|
1. L'autorité de contrôle compétente approuve des règles d'entreprise contraignantes conformément au mécanisme de contrôle de la cohérence prévu à l'article 57, à condition:
a) qu'elles soient juridiquement contraignantes, qu'elles s'appliquent à toutes les entités concernées du groupe d'entreprises ou du groupe d'entreprises engagées dans une activité économique conjointe, et que lesdites entités en assurent le respect;
b) qu'elles confèrent expressément aux personnes concernées des droits opposables en ce qui concerne le traitement de leurs données à caractère personnel;
c) qu'elles respectent les exigences prévues au paragraphe 2.
2. Les règles d'entreprise contraignantes visées au paragraphe 1 précisent au moins:
a) la structure et les coordonnées du groupe concerné et de chacune de ses entités;
b) le transfert ou les catégories de transferts de données, y compris les types de données à caractère personnel, le type de traitement et ses finalités, la catégorie de personnes concernées et le nom du ou des pays tiers en question;
c) leur nature juridiquement contraignante, tant interne qu'externe;
d) l'application des principes généraux de protection des données, notamment la limitation de la finalité, (...) la qualité des données, la base juridique du traitement, le traitement de catégories spéciales de données à caractère personnel, les mesures visant à garantir la sécurité des données, ainsi que les exigences en matière de transferts ultérieurs à des organismes (…) qui ne sont pas liés par les règles d'entreprise contraignantes;
e) les droits des personnes concernées en ce qui concerne le traitement de leurs données à caractère personnel et les moyens de les exercer, notamment le droit de ne pas être soumis (…) à des décisions résultant exclusivement d'un traitement automatisé, y compris le profilage, conformément à l'article 20, le droit de déposer une réclamation auprès de l'autorité de contrôle compétente et devant les juridictions compétentes des États membres conformément à l'article 75 et d'obtenir réparation et, le cas échéant, une indemnisation pour violation des règles d'entreprise contraignantes;
f) l'acceptation, par le responsable du traitement ou le sous-traitant établi sur le territoire d'un État membre, de l'engagement de sa responsabilité pour toute violation des règles d'entreprise contraignantes par toute entité concernée non établie dans l'Union; le responsable du traitement ou le sous-traitant ne peut être exonéré, en tout ou en partie, de cette responsabilité que s'il prouve que le fait générateur du dommage n'est pas imputable à l'entité en cause;
g) la manière dont les informations sur les règles d'entreprise contraignantes, notamment en ce qui concerne les éléments mentionnés aux points d), e) et f), sont fournies aux personnes concernées, conformément aux articles 14 et 14 bis;
h) les missions de tout délégué à la protection des données, désigné conformément à l'article 35, ou de toute autre personne ou entité chargée de la surveillance (…) du respect des règles d'entreprise contraignantes au sein du groupe, ainsi que le suivi de la formation et du traitement des réclamations;
h bis) les procédures de réclamation;
i) les mécanismes mis en place au sein du groupe pour garantir que le respect des règles d'entreprise contraignantes est contrôlé. Ces mécanismes prévoient des audits sur la protection des données et des méthodes assurant que des mesures correctrices seront prises pour protéger les droits de la personne concernée. Les résultats de ce contrôle devraient être communiqués à la personne ou à l'entité visée au point h) et au conseil d'entreprise de l'entreprise qui exerce le contrôle ou du groupe d'entreprises et devraient pouvoir être mis à la disposition de l'autorité de contrôle compétente à sa demande;
j) les mécanismes mis en place pour communiquer et archiver les modifications apportées aux règles internes et pour communiquer ces modifications à l'autorité de contrôle;
k) le mécanisme de coopération avec l'autorité de contrôle mis en place pour assurer le respect des règles par toutes les entités du groupe (…), notamment en mettant à la disposition de l'autorité de contrôle les résultats des contrôles des mesures prévues au point i);
l) les mécanismes permettant de communiquer à l'autorité de contrôle compétente toutes les obligations juridiques auxquelles une entité du groupe est soumise dans un pays tiers et qui sont susceptibles d'avoir un effet négatif considérable sur les garanties fournies par les règles d'entreprise contraignantes;
et m) la formation appropriée en matière de protection des données pour le personnel ayant un accès permanent ou régulier aux données à caractère personnel (...).
2 bis. Le comité européen de la protection des données conseille la Commission, pour les règles d'entreprise contraignantes, sur la forme de l'échange d'informations entre les responsables du traitement, les sous-traitants et les autorités de contrôle, ainsi que les procédures qui s'y rapportent.
3. (…)
4. La Commission peut, pour les règles d'entreprise contraignantes au sens du présent article, spécifier la forme de l'échange d'informations (...) entre les responsables du traitement, les sous-traitants et les autorités de contrôle, ainsi que les procédures qui s'y rapportent. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.
|
La Directive évoquait déjà la possibilité de prévoir des clauses types mais n’évoque pas l’existence de règles d’entreprise contraignantes.
|
Aucune disposition spécifique
|
La loi belge vise l’hypothèse de clauses contractuelles appropriées, mais n’aborde pas la question des règles d’entreprise contraignantes.
Art. 22
§ 1. Par dérogation à l'article 21, un transfert ou une catégorie de transferts de données à caractère personnel vers un pays non membre de la Communauté européenne et n'assurant pas un niveau de protection adéquat, peut être effectué dans un des cas suivants :
1° la personne concernée a indubitablement donné son consentement au transfert envisagé;
2° le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou des mesures préalables à la conclusion de ce contrat, prises à la demande de la personne concernée;
3° le transfert est nécessaire à la conclusion ou à l'exécution d'un contrat conclu ou à conclure, dans l'intérêt de la personne concernée, entre le responsable du traitement et un tiers;
4° le transfert est nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d'un intérêt public important, ou pour la constatation, l'exercice ou la défense d'un droit en justice;
5° le transfert est nécessaire à la sauvegarde de l'intérêt vital de la personne concernée;
6° le transfert intervient au départ d'un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime, dans la mesure où les conditions légales pour la consultation sont remplies dans le cas particulier.
Sans préjudice des dispositions de l'alinéa précédent, le Roi peut, après avis de la Commission de la protection de la vie privée, autoriser un transfert ou un ensemble de transferts de données à caractère personnel vers un pays non membre de la Communauté européenne et n'assurant pas un niveau de protection adéquat, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu'à l'égard de l'exercice des droits correspondants; ces garanties peuvent notamment résulter de clauses contractuelles appropriées.
|