Article 47
Règles d'entreprise contraignantes

Textes
Officiels
Guidelines Jurisprudence Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 47 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 47 keyboard_arrow_up

(101) Les flux de données à caractère personnel à destination et en provenance de pays en dehors de l'Union et d'organisations internationales sont nécessaires au développement du commerce international et de la coopération internationale. L'augmentation de ces flux a créé de nouveaux enjeux et de nouvelles préoccupations en ce qui concerne la protection des données à caractère personnel. Cependant, il importe que, lorsque des données à caractère personnel sont transférées de l'Union à des responsables du traitement, sous-traitants ou autres destinataires dans des pays tiers ou à des organisations internationales, le niveau de protection des personnes physiques garanti dans l'Union par le présent règlement ne soit pas compromis, y compris en cas de transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l'organisation internationale à des responsables du traitement ou sous-traitants dans le même pays tiers ou dans un pays tiers différent, ou à une autre organisation internationale. En tout état de cause, les transferts vers des pays tiers et à des organisations internationales ne peuvent avoir lieu que dans le plein respect du présent règlement. Un transfert ne pourrait avoir lieu que si, sous réserve des autres dispositions du présent règlement, les dispositions du présent règlement relatives au transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales sont respectées par le responsable du traitement ou le sous-traitant.

(108) En l'absence de décision d'adéquation, le responsable du traitement ou le sous-traitant devrait prendre des mesures pour compenser l'insuffisance de la protection des données dans le pays tiers par des garanties appropriées en faveur de la personne concernée. Ces garanties peuvent consister à recourir à des règles d'entreprise contraignantes, des clauses types de protection des données adoptées par la Commission, des clauses types de protection des données adoptées par une autorité de contrôle ou des clauses contractuelles autorisées par une autorité de contrôle. Ces garanties devraient assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d'une manière appropriée au traitement au sein de l'Union, y compris l'existence de droits opposables de la personne concernée et de voies de droit effectives, ce qui comprend le droit d'engager un recours administratif ou juridictionnel effectif et d’introduire une action en réparation, dans l'Union ou dans un pays tiers. Ces garanties devraient porter, en particulier, sur le respect des principes généraux concernant le traitement des données à caractère personnel et des principes de protection des données dès la conception et de protection des données par défaut. Des transferts peuvent également être effectués par des autorités publiques ou des organismes publics avec des autorités publiques ou des organismes publics dans des pays tiers ou avec des organisations internationales exerçant des missions ou fonctions correspondantes, y compris sur la base de dispositions à intégrer dans des arrangements administratifs, telles qu'un protocole d'accord, prévoyant des droits opposables et effectifs pour les personnes concernées. L'autorisation de l'autorité de contrôle compétente devrait être obtenue lorsque ces garanties sont prévues dans des arrangements administratifs qui ne sont pas juridiquement contraignants.

(110) Un groupe d'entreprises ou un groupe d'entreprises engagées dans une activité économique conjointe devrait pouvoir recourir à des règles d'entreprise contraignantes approuvées pour ses transferts internationaux de l'Union vers des entités du même groupe d'entreprises, ou du même groupe d'entreprises engagées dans une activité économique conjointe, à condition que ces règles d'entreprise incluent tous les principes essentiels et les droits opposables pour assurer des garanties appropriées pour les transferts ou catégories de transferts de données à caractère personnel.

Afficher les considérants de la Directive 95/46 liés à l'article 47 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 47 keyboard_arrow_up

(56) considérant que des flux transfrontaliers de données à caractère personnel sont nécessaires au développement du commerce international; que la protection des personnes garantie dans la Communauté par la présente directive ne s'oppose pas aux transferts de données à caractère personnel vers des pays tiers assurant un niveau de protection adéquat; que le caractère adéquat du niveau de protection offert par un pays tiers doit s'apprécier au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts;

(57) considérant, en revanche, que, lorsqu'un pays tiers n'offre pas un niveau de protection adéquat, le transfert de données à caractère personnel vers ce pays doit être interdit;

(58) considérant que des exceptions à cette interdiction doivent pouvoir être prévues dans certaines circonstances lorsque la personne concernée a donné son consentement, lorsque le transfert est nécessaire dans le contexte d'un contrat ou d'une action en justice, lorsque la sauvegarde d'un intérêt public important l'exige, par exemple en cas d'échanges internationaux de données entre les administrations fiscales ou douanières ou entre les services compétents en matière de sécurité sociale, ou lorsque le transfert est effectué à partir d'un registre établi par la loi et destiné à être consulté par le public ou par des personnes ayant un intérêt légitime; que, dans ce cas, un tel transfert ne devrait pas porter sur la totalité des données ni sur des catégories de données contenues dans ce registre; que, lorsqu'un registre est destiné à être consulté par des personnes qui ont un intérêt légitime, le transfert ne devrait pouvoir être effectué qu'à la demande de ces personnes ou lorsqu'elles en sont les destinataires;

(59) considérant que des mesures particulières peuvent être prises pour pallier l'insuffisance du niveau de protection dans un pays tiers lorsque le responsable du traitement présente des garanties appropriées; que, en outre, des procédures de négociation entre la Communauté et les pays tiers en cause doivent être prévues;

(60) considérant que, en tout état de cause, les transferts vers les pays tiers ne peuvent être effectués que dans le plein respect des dispositions prises par les États membres en application de la présente directive, et notamment de son article 8;

(66) considérant que, pour ce qui est du transfert de données vers les pays tiers, l'application de la présente directive nécessite l'attribution de compétences d'exécution à la Commission et l'établissement d'une procédure selon les modalités fixées dans la décision 87/373/CEE du Conseil (1);

Le GDPR

L’article 47 du Règlement constitue la consécration du système des règles contraignantes d’entreprises, qui peuvent être adoptées par les groupes de sociétés confrontés à des transferts intra-groupe de données hors l'Union.

Sa compréhension dépend du reste de diverses définitions introduites à l’article 4 du Règlement.

Les « règles d'entreprise contraignantes » sont définies à l’article 4. 20) comme étant : « les règles internes relatives à la protection des données à caractère personnel qu'applique un responsable du traitement ou un sous-traitant établi sur le territoire d'un État membre de l'Union aux transferts ou à un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous-traitant dans un ou plusieurs pays tiers au sein d'un groupe d'entreprises ou d'un groupe d'entreprises engagées dans une activité économique conjointe ».

Les « groupes d'entreprises » reçoivent une définition moins précise, « une entreprise qui exerce le contrôle et les entreprises qu'elle contrôle » (art. 4.19). Sans doute pourrait-on s’aider des règles applicables en droit de la concurrence, et particulièrement en matière de concentration. Selon le considérant 37, un groupe d'entreprises devrait consister en une entreprise qui exerce le contrôle et des entreprises contrôlées, la première devant être celle qui peut exercer une influence dominante sur les autres du fait, par exemple, de la détention du capital, d'une participation financière ou des règles qui la régissent, ou du pouvoir de faire appliquer les règles relatives à la protection des données à caractère personnel. Une entreprise centrale qui contrôle le traitement de données à caractère personnel dans des entreprises qui lui sont affiliées forme avec ces dernières une entité qui peut être considérée comme un « groupe d'entreprises ».

Quant à l’« entreprise », elle est définie plus classiquement comme « toute personne physique ou morale exerçant une activité économique, quelle que soit sa forme juridique, y compris les sociétés de personnes ou les associations qui exercent régulièrement une activité économique » (art. 4, 19).

Ces Règles d’entreprise contraignantes doivent répondre à plusieurs conditions définies par l’article 47 (1) et être approuvées par l’autorité de contrôle compétente selon le mécanisme de contrôle de la cohérence prévue à l’article 63. À cet égard, l’article 64 (1) f), prévoit que le Comité européen de la protection des données rende un avis lorsqu’une autorité de contrôle envisage de prendre une décision visant à approuver des règles d'entreprise contraignantes.

La première condition tient à leur caractère juridiquement contraignant : les BCR doivent s’appliquer à toutes les entités concernées du groupe d'entreprises engagées dans une activité économique conjointe, y compris à leurs employés (a).

La deuxième condition consiste dans le fait que les BCR doivent conférer expressément aux personnes concernées des droits opposables concernant le traitement de leurs données (b).

La troisième condition renvoie au contenu spécifique des BCR qui doivent spécifier toute une série d’informations spécifiées au paragraphe 2 ; elles doivent au moins préciser :

- la structure et les coordonnées du groupe concerné et de chacune de ses entités ; les transferts ou aux catégories de transferts de données, en ce compris les types de données, le type de traitement et ses finalités, les catégories de personnes concernées et le nom du ou des pays tiers en question ; la nature juridiquement contraignante tant interne qu’externe des BCR  (a) à c).

- l'application des principes généraux de protection des données, notamment la limitation de la finalité, la minimisation des données, les périodes limitées de stockage, la qualité des données, la base juridique du traitement, le traitement de catégories spéciales de données à caractère personnel, les mesures visant à garantir la sécurité des données, ainsi que les exigences en matière de transferts ultérieurs à des organismes qui ne sont pas liés par les règles d'entreprise contraignantes (d)

-les droits des personnes concernées et la manière de les exercer. Les BCR doivent également prévoir un droit de déposer une réclamation auprès de l'autorité de contrôle compétente et devant les juridictions compétentes des États membres en vue d’obtenir réparation, et le cas échéant, une indemnisation en cas de violation des BCR (e) ;

-l’acceptation par le responsable ou le sous-traitant établi sur le territoire de l’UE de voir sa responsabilité engagée pour toute violation des BCR par toute entité concernée non établie dans l'Union, à moins qu’il prouve que le fait générateur du dommage n'est pas imputable à l'entité en cause (f).

-les missions du délégué à la protection des données ou de toute personne chargée de la surveillance du respect des BCR doivent également être précisées par les BCR, tout comme le suivi de la formation, du traitement et des procédures de réclamation (h et suivants) ;Etc.

In fine, le troisième paragraphe prévoit que la Commission peut, dans le cadre des BCR, spécifier la forme de l'échange d'informations entre les responsables du traitement, les sous-traitants et les autorités de contrôle, ainsi que les procédures qui s'y rapportent.

La Directive

La Directive prévoyait diverses exceptions à l’interdiction de traitement qui résultait de l’absence d’un niveau de protection adéquat.

L’une d’elles est prévue à l’article 26.2. et s’applique lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu'à l'égard de l'exercice des droits correspondants. Cette dérogation implique que le responsable ait pris des mesures particulières pour pallier l'insuffisance du niveau de protection du pays de destination des données à caractère personnel.

Selon l’article 26.2 de la Directive, ces garanties appropriées peuvent notamment résulter de clauses contractuelles appropriées. Des clauses contractuelles types ont donc été développées pour encadrer les transferts de données hors de l’UE en contractualisant les règles de protection contenues dans la Directive. Des modèles ont ensuite été adoptés par la Commission européenne conformément à l’article 26, § 4 de la Directive. En effet, cette disposition conférait à la Commission le pouvoir de constater, par voie de décision, que certaines clauses contractuelles types présentaient des garanties suffisantes, ce qui obligeait alors les États membres à autoriser les transferts fondés sur ces clauses contractuelles types. La décision de la Commission devait être adoptée conformément à la procédure prévue à l’article 31, paragraphe 2, prévoyant la saisine du Comité de l’article 31 (voir notamment les décisions 2001/497/CE ; 2002/16/CE ; 2004/915/CE ; 2010/87/UE).

Une alternative aux clauses contractuelles types a vu le jour à partir de 2003 : les règles internes d’entreprises (dites Binding Corporate Rules). Bien que sceptique dans un premier temps, c’est le Groupe Article 29 qui a développé ce système dans son document de travail WP 74 du 3 juin 2003 (par le Groupe article 29, dans son document de travail WP 74 du 3 juin 2003 (Document de travail WP 74: Transferts de données personnelles vers des pays tiers Application de l’article 26 (2) de la Directive). Il s’agit d’une alternative globale et unique qui permet d’encadrer l’ensemble des transferts des données au sein d’un groupe de sociétés, sans vérifier systématiquement le fondement légal du transfert (cfr. le commentaire de l’article 43 relatif aux règles d’entreprise contraignantes).

Belgique

L’article 22 de la loi du 8 décembre 1992 prévoit que même en l'absence d'un niveau de protection adéquat, offert par le pays destinataire, et en dehors des exceptions prévues par l'article 22, un transfert vers un pays tiers peut être opéré, à condition que le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée.

En droit belge, le responsable du traitement est considéré comme offrant des garanties suffisantes lorsque le transfert est régi par des règles d’entreprises contraignantes offrant des garanties suffisantes, selon le protocole d’accord du 13 juillet 2011 conclu entre le SPF Justice et la CPVP. A noter que les règles d’entreprises contraignantes encadrant les transferts de données personnelles intra-groupes au sein de sociétés multinationales doivent être validées par arrêté royal, après avis de la CPVP, conformément à la procédure mise en place par ledit protocole d’accord (cfr. Protocole d’accord du 13 juillet 2011, https://www.privacycommission.be/sites/privacycommission/files/documents/protocole-bcr-cpvp-spf-justice_1.pdf ).

Difficultés probables ?

Il faudra revoir toutes les BCR déjà adoptées afin qu’ils soient conformes à la nouvelle disposition. Le contenu obligatoire imposé par la nouvelle disposition est en effet extrêmement large.

Sommaire

Union Européenne

Union Européenne

Comité Européen de la Protection des Données (EDPB)

Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR) (14 november 2022 - public consultation)

1. The GDPR expressly provides for the use of binding corporate rules (hereinafter “BCR”) by a group of undertakings, or a group of enterprises engaged in a joint economic activity (hereinafter “Group”) for transfers of personal data in the sense of Article 44 GDPR.

2. On 6 February 2018, the Article 29 Working Party (hereinafter “WP29”) adopted a table with the elements and principles to be found in BCR in order to reflect the requirements referring to BCR (hereinafter “WP256 rev.01”). The European Data Protection Board (hereinafter “EDPB”) endorsed WP256 rev.01 on 25 May 2018 . These Recommendations also repeal and replace WP256 rev.01, while in substance building on it.

3. On 11 April 2018, the Article 29 Working Party (thereinafter “WP29”) adopted Recommendations on the Standard Application for Approval of Controller Binding Corporate Rules for the Transfer of Personal Data (hereinafter: “WP264”). The European Data Protection Board (hereinafter “EDPB”) endorsed WP256 rev.01 on 25 May 2018. These Recommendations repeal and replace WP264, while in substance building on it.

4. These recommendations are meant to: - Provide a standard form for the application for approval of BCR for controllers (hereinafter “BCR-C”);

  • Clarify the necessary content of BCR-C as stated in Article 47 GDPR;
  • Make a distinction between what must be included in BCR-C and what must be presented to the BCR Lead supervisory authority (hereinafter “BCR Lead”)2 in the BCR application; and 
  • Provide explanations and comments on the requirements.

5. BCR-C are suitable for framing transfers of personal data from controllers covered by the geographical scope of the GDPR pursuant to Article 3 GDPR to other controllers or to processors (established outside the EEA) within the same Group, whereas BCR for processors (hereinafter “BCR-P”) apply to data received from a controller that is not a member of the Group, and which are then processed by the concerned Group members as processors and/or sub-processors. Hence, the obligations set out in BCR-C apply in relation to entities within the same Group acting as controllers and to entities acting as ‘internal’ processors. As for this very last case, it is worth recalling that, in addition to the BCR-C, a contract or other legal act under Union or Member State law, binding on the processor with regard to the controller and which comprises all requirements as set out in Article 28(3) GDPR, must be signed by each controller acting as data exporter with all internal processors4 . Indeed, the obligations set forth in BCR-C apply to entities of the Group receiving personal data as (‘internal’) processors to the extent that this does not lead to a contradiction with the contract or other legal act entered into under Article 28(3) GDPR (i.e., the processors members of the Group processing on behalf of controllers members of the Group should primarily abide by this contract).

6. EU data protection legislation applicable to members of the Group must be complied with and cannot be overruled by provisions in the BCR-C, unless the BCR- C voluntarily provide for a higher level of protection.

7. Pursuant to Article 46(2)(b) GDPR, BCR are appropriate safeguards for transfers of personal data to third countries. BCR create enforceable rights and set out commitments in order to create, for the personal data transferred under the BCR, a level of protection essentially equivalent to the one provided by the GDPR. Therefore, it is not sufficient for the BCR-C to only make reference to provisions of the GDPR, and BCR-C applicants should rather expressly formulate the requirements within their BCR-C.

8. BCR are subject to approval5 by the BCR Lead. In this respect, it is worth highlighting the difference between the BCR Lead – which is competent for issuing the approval of the BCR - and the SA that is competent for a specific transfer carried out by a certain controller under that BCR-C

9. The draft approval decision of the BCR Lead is subject to an opinion by the EDPB . The approval confirms that the requirements set out in Article 47 GDPR are met, and therefore, that the commitments included in the BCR will provide for appropriate safeguards in the sense of Article 46 GDPR.

10. However, the approval does not include an assessment of whether each processing is in line with all requirements of the GDPR and the BCR. For instance, each data exporter needs to ensure that the requirements set out in Article 6 GDPR (Lawfulness of processing) and Article 28 GDPR (for transfers to processors) or any additional formalities specified by the national law of a Member State, if any, are met for each transfer. Furthermore, it is, for instance, the responsibility of each data exporter to assess, for each transfer, on a case-by-case basis, whether there is a need to implement supplementary measures in order to provide for a level of protection essentially equivalent to the one provided by the GDPR . Such supplementary measures are in the responsibility of the data exporter, and as such, are not assessed by supervisory authorities (hereinafter “SAs”) as part of the process of approval of BCR.

11. The BCR approval only covers transfers of personal data to third countries. However, Groups may design BCR to be used as their global data protection policy. However, the scope of the approval of the BCR by the BCR Lead is always limited to transfers of personal data from entities under the scope of application of the GDPR to third countries and their onward transfers to other Group members that are bound by the BCR (hereinafter “BCR member(s)”) outside the EEA.

12. Once approved, BCR can be used for transfers from all relevant Member States, and the SA competent for the data exporter will also be competent to assess the respect of the BCR by the data importer in the third country in relation to the relevant transfers.

13. The EDPB expects all BCR-C holders to bring their BCR-C in line with the requirements set out below. This includes BCR-C that have been approved before the publication of these Recommendations. Such changes will have to be done in compliance with the commitments taken in their BCR-C in accordance with Section 5.1 .

Link

Retour au sommaire

Groupe 29

Explanatory Document on the Processor Binding Corporate Rules - wp204rev.01 (22 May 2015)

(Approved by the EDPB)

The Directive requires that data transfers outside the European Union shall be strictly framed in order to make sure that data subjects benefit from an adequate level of protection even when their data is sent outside the European Union (hereinafter “EU”).

Art. 26.2 of the Directive provides that “(…) a Member State may authorize a transfer or a set of transfers of personal data to a third country which does not ensure an adequate level of protection (…), where the controller adduces adequate safeguards with respect to the protection of individuals and as regards the exercise of the corresponding rights; such safeguards may in particular result from appropriate contractual clauses.”

Consequently, when the country of the importer of data does not ensure an adequate level of protection, the Controller must provide sufficient guarantees to the data transferred, for instance by the adoption of contractual clauses.

On this basis, and in order to facilitate compliance with the Directive 95/46 of data transfers outside the EU, the European Commission adopted sets of standard contractual clauses - 2001/497/EC on 15 June 2001 and 2004/915/EC on 27 December 2004 – in order to frame transfers between Controllers; and 2010/87/EU on 5 February 2010 for transfers between Controllers and Processors.

Link

Working Document Setting Forth a Co-Operation Procedure for the approval of “Binding Corporate Rules” for controllers and processors - wp263rev.01 (11 April 2018)

(Approved by the EDPB)

The procedure for approving binding corporate rules (BCRs) for controllers and processors is laid out by provisions contained in Articles 47.1, 63, 64 and (only if necessary) 65 of the Regulation (EU) 2016/679 (GDPR).

As a result, binding corporate rules are to be approved by the competent supervisory authority1 in the relevant jurisdiction in accordance with the consistency mechanism set out in Article 63, under which the European Data Protection Board (EDPB) will issue a non-binding opinion on the draft decision submitted by the competent Supervisory Authority (Article 64 GDPR).

As the group applying for approval of its BCRs may have entities in more than one Member State, this procedure may involve a number of concerned Supervisory Authorities (SAs)2 , e.g. in those countries from where the transfers are to take place. However, the GDPR does not lay down specific rules for the cooperation phase which should take place among the concerned SAs in advance of referral to the EDPB. It also does not set out specific rules for identifying the competent SA – which will act as Lead Authority for the BCRs (‘BCR Lead’) 3 . The role of such BCR Lead includes acting as a single point of contact with the applicant organization or group during the approval process and managing the application procedure in its cooperation phase.

The aim of this document is to update the WP 107 and identify smooth and effective cooperation procedures in line with the GDPR whilst taking full advantage of the previous fruitful experience of the Data Protection Authorities in dealing with the approval of BCRs.

This document will be reviewed and if necessary updated, based on the practical experience gained through the application of the GDPR.

Link

Recommendation on the Standard Application form for Approval of Processor Binding Corporate Rules for the Transfer of Personal Data - wp265 (11 April 2018)

(Approved by the EDPB)

Link

Document de travail établissant sur les règles d’entreprise contraignantes - wp256rev.01 (6 février 2018)

Afin de faciliter l’utilisation des règles d’entreprise contraignantes pour les responsables du traitement (Binding Corporate Rules for Controllers, ci-après les «BCR-C») par un groupe d’entreprises ou par un groupe d’entreprises engagées dans une activité économique conjointe pour les transferts internationaux d’organisations établies dans l’UE à des organisations du même groupe établies hors de l’UE, le groupe de travail «Article 29» a modifié le document de travail WP 153 (adopté en 2008) établissant un tableau présentant les éléments et principes des règles d’entreprise contraignantes afin de tenir compte des exigences relatives aux règles d’entreprise contraignantes (Binding Corporate Rules, ci-après les «BCR» ou les «règles») désormais énoncées expressément dans le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données, ci-après le «RGPD»).

Il convient de rappeler que les BCR-C ont vocation à encadrer les transferts de données à caractère personnel de responsables du traitement établis dans l’UE à d’autres responsables du traitement ou à des sous-traitants (établis hors de l’UE) au sein du même groupe, tandis que les règles d’entreprise contraignantes pour les sous-traitants (Binding Corporate Rules for Processors ou «BCR-P») s’appliquent aux données reçues d’un responsable du traitement (établi dans l’UE) qui n’est pas une entité du groupe, et ensuite traitées par les entités du groupe concernées en tant que sous-traitants et/ou que sous-traitants ultérieurs. Ainsi, les obligations définies dans les BCR-C s’appliquent aux entités d’un même groupe agissant en qualité de responsables du traitement et aux entités agissant en qualité de sous-traitants «internes». Quant à ces derniers, il y a lieu de rappeler qu’un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement et qui comporte toutes les exigences énoncées à l’article 28, paragraphe 3, du RGPD, doit être signé avec l’ensemble des entreprises sous-traitantes/des sous-traitants internes et externes (par exemple, un contrat de service ou tous autres actes satisfaisant aux mêmes exigences). En effet, les obligations contenues dans les BCR-C s’appliquent aux entités du groupe recevant des données à caractère personnel en tant que sous-traitants («internes») tant est qu’elles ne soient pas en contradiction avec les dispositions du contrat de service (en d’autres termes, les entités sous-traitantes du groupe traitant ces données au nom des entités du groupe responsables du traitement respecteront en premier lieu les dispositions de ce contrat).

Étant donné que l’article 47, paragraphe 2, du RGPD énonce un ensemble minimum d’éléments à inclure dans les règles d’entreprise contraignantes, le présent tableau modifié vise à:

- adapter la formulation du référentiel précédent de sorte à ce qu’il reste conforme à l’article 47 du RGPD;
- clarifier le contenu nécessaire des BCR spécifié à l’article 47 (en tenant compte des documents WP 743 et WP 1084 adoptés par le groupe de travail «Article 29» dans le cadre de la directive 95/46/CE);
- établir une distinction entre ce qui doit être inclus dans les BCR et ce qui doit être présenté à l’autorité de contrôle compétente dans le cadre d’une demande d’approbation des BCR (document WP 1335);
- indiquer les principes auxquels renvoie le texte de l’article 47 du RGPD; et
- fournir des explications/formuler des observations sur chacun de ces principes.
Les documents de travail ayant trait aux BCR, adoptés par le groupe de travail «Article 29», ont manifestement servi de modèle aux auteurs de l’article 47 du RGPD. Toutefois, cet article comporte certains éléments nouveaux dont il conviendra de tenir compte lors de l’actualisation de BCR existantes, ou lors de l’adoption de nouvelles BCR, afin d’en garantir la compatibilité avec le nouveau cadre établi par le RGPD.

Lien

Retour au sommaire
Règlement
1e 2e

Art. 47

1. L'autorité de contrôle compétente approuve des règles d'entreprise contraignantes conformément au mécanisme de contrôle de la cohérence prévu à l'article 63, à condition que:

a) ces règles soient juridiquement contraignantes, et soient mises en application par toutes les entités concernées du groupe d'entreprises ou du groupe d’entreprises engagées dans une activité économique conjointe, y compris leurs employés;

b) elles confèrent expressément aux personnes concernées des droits opposables en ce qui concerne le traitement de leurs données à caractère personnel; et

c) elles répondent aux exigences prévues au paragraphe 2.

2. Les règles d'entreprise contraignantes visées au paragraphe 1 précisent au moins:

a) la structure et les coordonnées du groupe d'entreprises ou du groupe d’entreprises engagées dans une activité économique conjointe et de chacune de leurs entités;

b) les transferts ou l'ensemble des transferts de données, y compris les catégories de données à caractère personnel, le type de traitement et ses finalités, le type de personnes concernées affectées et le nom du ou des pays tiers en question;

c) leur nature juridiquement contraignante, tant interne qu'externe;

d) l'application des principes généraux relatifs à la protection des données, notamment la limitation de la finalité, la minimisation des données, la limitation des durées de conservation des données, la qualité des données, la protection des données dès la conception et la protection des données par défaut, la base juridique du traitement, le traitement de catégories particulières de données à caractère personnel, les mesures visant à garantir la sécurité des données, ainsi que les exigences en matière de transferts ultérieurs à des organismes qui ne sont pas liés par les règles d'entreprise contraignantes;

e) les droits des personnes concernées à l'égard du traitement et les moyens d’exercer ces droits y compris le droit de ne pas faire l'objet de décisions fondées exclusivement sur un traitement automatisé, y compris le profilage, conformément à l'article 22, le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente et devant les juridictions compétentes des États membres conformément à l'article 79 et d'obtenir réparation et, le cas échéant, une indemnisation pour violation des règles d'entreprise contraignantes;

f) l'acceptation, par le responsable du traitement ou le sous-traitant établi sur le territoire d'un État membre, de l'engagement de sa responsabilité pour toute violation des règles d'entreprise contraignantes par toute entité concernée non établie dans l'Union; le responsable du traitement ou le sous-traitant ne peut être exonéré, en tout ou en partie, de cette responsabilité que s'il prouve que le fait générateur du dommage n'est pas imputable à l'entité en cause;

g) la manière dont les informations sur les règles d'entreprise contraignantes, notamment en ce qui concerne les éléments mentionnés aux points d), e) et f) du présent paragraphe sont fournies aux personnes concernées, en sus des informations visées aux articles 13 et 14;

h) les missions de tout délégué à la protection des données, désigné conformément à l'article 37, ou de toute autre personne ou entité chargée de la surveillance du respect des règles d'entreprise contraignantes au sein du groupe d'entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe, ainsi que le suivi de la formation et le traitement des réclamations;

i) les procédures de réclamation;

j) les mécanismes mis en place au sein du groupe d'entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe pour garantir que le contrôle du respect des règles d'entreprise contraignantes. Ces mécanismes prévoient des audits sur la protection des données et des méthodes assurant que des mesures correctrices seront prises pour protéger les droits de la personne concernée. Les résultats de ce contrôle devraient être communiqués à la personne ou à l'entité visée au point h) et au conseil d'administration de l'entreprise qui exerce le contrôle du groupe d'entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe, et devraient être mis à la disposition de l'autorité de contrôle compétente sur demande;

k) les mécanismes mis en place pour communiquer et consigner les modifications apportées aux règles et pour communiquer ces modifications à l'autorité de contrôle;

l) le mécanisme de coopération avec l'autorité de contrôle mis en place pour assurer le respect des règles par toutes les entités du groupe d'entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe, notamment en mettant à la disposition de l'autorité de contrôle les résultats des contrôles des mesures visés au point j);

m) les mécanismes permettant de communiquer à l'autorité de contrôle compétente toutes les obligations juridiques auxquelles une entité du groupe d'entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe, est soumise dans un pays tiers qui sont susceptibles d'avoir un effet négatif important sur les garanties fournies par les règles d'entreprise contraignantes; et

n) la formation appropriée en matière de protection des données pour le personnel ayant un accès permanent ou régulier aux données à caractère personnel.

3. La Commission peut, pour les règles d'entreprise contraignantes au sens du présent article, préciser la forme de l'échange d'informations entre les responsables du traitement, les sous-traitants et les autorités de contrôle, ainsi que les procédures qui s'y rapportent. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2.

Proposition 1 close

1. Une autorité de contrôle approuve des règles d’entreprise contraignantes conformément au mécanisme de contrôle de la cohérence prévu à l'article 58, à condition:

a) qu'elles soient juridiquement contraignantes, qu'elles s'appliquent à toutes les entités du groupe d’entreprises du responsable du traitement ou du sous-traitant, y compris à leurs salariés, et que lesdites entités en assurent le respect;

b) qu'elles confèrent expressément aux personnes concernées des droits opposables;

c) qu'elles respectent les exigences prévues au paragraphe 2. 2. Les règles d'entreprise contraignantes précisent au moins:

a) la structure et les coordonnées du groupe d'entreprises et des entités qui le composent;

b) le transfert ou l'ensemble de transferts de données, y compris les catégories de données à caractère personnel, le type de traitement et ses finalités, la catégorie de personnes concernées et le nom du ou des pays tiers en question;

c) leur nature juridiquement contraignante, tant interne qu'externe;

d) les principes généraux de protection des données, notamment la limitation de la finalité, la qualité des données, la base juridique du traitement, le traitement de données à caractère personnel sensibles, les mesures visant à garantir la sécurité des données, ainsi que les exigences en matière de transferts ultérieurs à des organismes qui ne sont pas liés par les mesures en question;

e) les droits des personnes concernées et les moyens de les exercer, notamment le droit de ne pas être soumis à une mesure fondée sur le profilage conformément à l'article 20, le droit de déposer une réclamation auprès de l'autorité de contrôle compétente et devant les juridictions compétentes des États membres conformément à l’article 75 et d'obtenir réparation et, le cas échéant, une indemnisation pour violation des règles d'entreprise contraignantes;

f) l'acceptation, par le responsable du traitement ou le sous-traitant établi sur le territoire d’un État membre, de l’engagement de sa responsabilité pour toute violation des règles d'entreprise contraignantes par toute entité appartenant au groupe d’entreprises non établie dans l'Union; le responsable du traitement ou le sous-traitant ne peut être exonéré, en tout ou en partie, de cette responsabilité que s'il prouve que le fait générateur du dommage n'est pas imputable à l'entité en cause;

g) la manière dont les informations sur les règles d'entreprise contraignantes, notamment en ce qui concerne les éléments mentionnés aux points d), e) et f), sont fournies aux personnes concernées, conformément à l'article 11;

h) les missions du délégué à la protection des données, désigné conformément à l’article 35, notamment la surveillance, au sein du groupe d'entreprises, du respect des règles d'entreprise contraignantes, ainsi que le suivi de la formation et du traitement des réclamations;

i) les mécanismes mis en place au sein du groupe d'entreprises pour garantir que le respect des règles d'entreprise contraignantes est contrôlé;

j) les mécanismes mis en place pour communiquer et archiver les modifications apportées aux règles internes et pour communiquer ces modifications à l’autorité de contrôle;

k) le mécanisme de coopération avec l’autorité de contrôle mis en place pour assurer le respect des règles par toutes les entités du groupe d'entreprises, notamment en mettant à la disposition de l'autorité de contrôle les résultats des contrôles des mesures prévues au point i).

3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables aux règles d'entreprise contraignantes au sens du présent article, notamment en ce qui concerne les critères applicables à leur approbation, l'application du paragraphe 2, points b), d), e) et f), aux règles d'entreprise contraignantes auxquelles adhèrent les sous-traitants, et les exigences nécessaires supplémentaires pour assurer la protection des données à caractère personnel des personnes concernées en question. 4. La Commission peut, pour les règles d’entreprise contraignantes au sens du présent article, spécifier la forme de l'échange d’informations par voie électronique entre les responsables du traitement, les sous-traitants et les autorités de contrôle, ainsi que les procédures qui s'y rapportent. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l’article 87, paragraphe 2.

Proposition 2 close

1. L'autorité de contrôle compétente approuve des règles d'entreprise contraignantes conformément au mécanisme de contrôle de la cohérence prévu à l'article 57, à condition:

a) qu'elles soient juridiquement contraignantes, qu'elles s'appliquent à toutes les entités concernées du groupe d'entreprises ou du groupe d'entreprises engagées dans une activité économique conjointe, et que lesdites entités en assurent le respect;

b) qu'elles confèrent expressément aux personnes concernées des droits opposables en ce qui concerne le traitement de leurs données à caractère personnel;

c) qu'elles respectent les exigences prévues au paragraphe 2.

2. Les règles d'entreprise contraignantes visées au paragraphe 1 précisent au moins:

a) la structure et les coordonnées du groupe concerné et de chacune de ses entités;

b) le transfert ou les catégories de transferts de données, y compris les types de données à caractère personnel, le type de traitement et ses finalités, la catégorie de personnes concernées et le nom du ou des pays tiers en question;

c) leur nature juridiquement contraignante, tant interne qu'externe;

d) l'application des principes généraux de protection des données, notamment la limitation de la finalité, (...) la qualité des données, la base juridique du traitement, le traitement de catégories spéciales de données à caractère personnel, les mesures visant à garantir la sécurité des données, ainsi que les exigences en matière de transferts ultérieurs à des organismes (…) qui ne sont pas liés par les règles d'entreprise contraignantes;

e) les droits des personnes concernées en ce qui concerne le traitement de leurs données à caractère personnel et les moyens de les exercer, notamment le droit de ne pas être soumis (…) à des décisions résultant exclusivement d'un traitement automatisé, y compris le profilage, conformément à l'article 20, le droit de déposer une réclamation auprès de l'autorité de contrôle compétente et devant les juridictions compétentes des États membres conformément à l'article 75 et d'obtenir réparation et, le cas échéant, une indemnisation pour violation des règles d'entreprise contraignantes;

f) l'acceptation, par le responsable du traitement ou le sous-traitant établi sur le territoire d'un État membre, de l'engagement de sa responsabilité pour toute violation des règles d'entreprise contraignantes par toute entité concernée non établie dans l'Union; le responsable du traitement ou le sous-traitant ne peut être exonéré, en tout ou en partie, de cette responsabilité que s'il prouve que le fait générateur du dommage n'est pas imputable à l'entité en cause;

g) la manière dont les informations sur les règles d'entreprise contraignantes, notamment en ce qui concerne les éléments mentionnés aux points d), e) et f), sont fournies aux personnes concernées, conformément aux articles 14 et 14 bis;

h) les missions de tout délégué à la protection des données, désigné conformément à l'article 35, ou de toute autre personne ou entité chargée de la surveillance (…) du respect des règles d'entreprise contraignantes au sein du groupe, ainsi que le suivi de la formation et du traitement des réclamations;

h bis) les procédures de réclamation;

i) les mécanismes mis en place au sein du groupe pour garantir que le respect des règles d'entreprise contraignantes est contrôlé. Ces mécanismes prévoient des audits sur la protection des données et des méthodes assurant que des mesures correctrices seront prises pour protéger les droits de la personne concernée. Les résultats de ce contrôle devraient être communiqués à la personne ou à l'entité visée au point h) et au conseil d'entreprise de l'entreprise qui exerce le contrôle ou du groupe d'entreprises et devraient pouvoir être mis à la disposition de l'autorité de contrôle compétente à sa demande;

j) les mécanismes mis en place pour communiquer et archiver les modifications apportées aux règles internes et pour communiquer ces modifications à l'autorité de contrôle;

k) le mécanisme de coopération avec l'autorité de contrôle mis en place pour assurer le respect des règles par toutes les entités du groupe (…), notamment en mettant à la disposition de l'autorité de contrôle les résultats des contrôles des mesures prévues au point i);

 l) les mécanismes permettant de communiquer à l'autorité de contrôle compétente toutes les obligations juridiques auxquelles une entité du groupe est soumise dans un pays tiers et qui sont susceptibles d'avoir un effet négatif considérable sur les garanties fournies par les règles d'entreprise contraignantes;

et m) la formation appropriée en matière de protection des données pour le personnel ayant un accès permanent ou régulier aux données à caractère personnel (...).

2 bis. Le comité européen de la protection des données conseille la Commission, pour les règles d'entreprise contraignantes, sur la forme de l'échange d'informations entre les responsables du traitement, les sous-traitants et les autorités de contrôle, ainsi que les procédures qui s'y rapportent.

3. (…)

4. La Commission peut, pour les règles d'entreprise contraignantes au sens du présent article, spécifier la forme de l'échange d'informations (...) entre les responsables du traitement, les sous-traitants et les autorités de contrôle, ainsi que les procédures qui s'y rapportent. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

Directive close

La Directive évoquait déjà la possibilité de prévoir des clauses types mais n’évoque pas l’existence de règles d’entreprise contraignantes.

Aucune disposition spécifique

Ancienne loi close

La loi belge vise l’hypothèse de clauses contractuelles appropriées, mais n’aborde pas la question des règles d’entreprise contraignantes.

Art. 22

§ 1. Par dérogation à l'article 21, un transfert ou une catégorie de transferts de données à caractère personnel vers un pays non membre de la Communauté européenne et n'assurant pas un niveau de protection adéquat, peut être effectué dans un des cas suivants :

  1° la personne concernée a indubitablement donné son consentement au transfert envisagé;

  2° le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou des mesures préalables à la conclusion de ce contrat, prises à la demande de la personne concernée;

  3° le transfert est nécessaire à la conclusion ou à l'exécution d'un contrat conclu ou à conclure, dans l'intérêt de la personne concernée, entre le responsable du traitement et un tiers;

  4° le transfert est nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d'un intérêt public important, ou pour la constatation, l'exercice ou la défense d'un droit en justice;

  5° le transfert est nécessaire à la sauvegarde de l'intérêt vital de la personne concernée;

  6° le transfert intervient au départ d'un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime, dans la mesure où les conditions légales pour la consultation sont remplies dans le cas particulier.

Sans préjudice des dispositions de l'alinéa précédent, le Roi peut, après avis de la Commission de la protection de la vie privée, autoriser un transfert ou un ensemble de transferts de données à caractère personnel vers un pays non membre de la Communauté européenne et n'assurant pas un niveau de protection adéquat, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu'à l'égard de l'exercice des droits correspondants; ces garanties peuvent notamment résulter de clauses contractuelles appropriées.

close