arrow_back Retour à tous les articles

Article 47
Règles d'entreprise contraignantes

Textes officiels D'où vient-on ? Où va-t-on ? Difficultés probables
Afficher les considérants du Règlement liés à l'article 47 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 47 keyboard_arrow_up

(101) Les flux de données à caractère personnel à destination et en provenance de pays en dehors de l'Union et d'organisations internationales sont nécessaires au développement du commerce international et de la coopération internationale. L'augmentation de ces flux a créé de nouveaux enjeux et de nouvelles préoccupations en ce qui concerne la protection des données à caractère personnel. Cependant, il importe que, lorsque des données à caractère personnel sont transférées de l'Union à des responsables du traitement, sous-traitants ou autres destinataires dans des pays tiers ou à des organisations internationales, le niveau de protection des personnes physiques garanti dans l'Union par le présent règlement ne soit pas compromis, y compris en cas de transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l'organisation internationale à des responsables du traitement ou sous-traitants dans le même pays tiers ou dans un pays tiers différent, ou à une autre organisation internationale. En tout état de cause, les transferts vers des pays tiers et à des organisations internationales ne peuvent avoir lieu que dans le plein respect du présent règlement. Un transfert ne pourrait avoir lieu que si, sous réserve des autres dispositions du présent règlement, les dispositions du présent règlement relatives au transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales sont respectées par le responsable du traitement ou le sous-traitant.

(108) En l'absence de décision d'adéquation, le responsable du traitement ou le sous-traitant devrait prendre des mesures pour compenser l'insuffisance de la protection des données dans le pays tiers par des garanties appropriées en faveur de la personne concernée. Ces garanties peuvent consister à recourir à des règles d'entreprise contraignantes, des clauses types de protection des données adoptées par la Commission, des clauses types de protection des données adoptées par une autorité de contrôle ou des clauses contractuelles autorisées par une autorité de contrôle. Ces garanties devraient assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d'une manière appropriée au traitement au sein de l'Union, y compris l'existence de droits opposables de la personne concernée et de voies de droit effectives, ce qui comprend le droit d'engager un recours administratif ou juridictionnel effectif et d’introduire une action en réparation, dans l'Union ou dans un pays tiers. Ces garanties devraient porter, en particulier, sur le respect des principes généraux concernant le traitement des données à caractère personnel et des principes de protection des données dès la conception et de protection des données par défaut. Des transferts peuvent également être effectués par des autorités publiques ou des organismes publics avec des autorités publiques ou des organismes publics dans des pays tiers ou avec des organisations internationales exerçant des missions ou fonctions correspondantes, y compris sur la base de dispositions à intégrer dans des arrangements administratifs, telles qu'un protocole d'accord, prévoyant des droits opposables et effectifs pour les personnes concernées. L'autorisation de l'autorité de contrôle compétente devrait être obtenue lorsque ces garanties sont prévues dans des arrangements administratifs qui ne sont pas juridiquement contraignants.

(110) Un groupe d'entreprises ou un groupe d'entreprises engagées dans une activité économique conjointe devrait pouvoir recourir à des règles d'entreprise contraignantes approuvées pour ses transferts internationaux de l'Union vers des entités du même groupe d'entreprises, ou du même groupe d'entreprises engagées dans une activité économique conjointe, à condition que ces règles d'entreprise incluent tous les principes essentiels et les droits opposables pour assurer des garanties appropriées pour les transferts ou catégories de transferts de données à caractère personnel.

Afficher les considérants de la Directive 95/46 liés à l'article 47 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 47 keyboard_arrow_up

(56) considérant que des flux transfrontaliers de données à caractère personnel sont nécessaires au développement du commerce international; que la protection des personnes garantie dans la Communauté par la présente directive ne s'oppose pas aux transferts de données à caractère personnel vers des pays tiers assurant un niveau de protection adéquat; que le caractère adéquat du niveau de protection offert par un pays tiers doit s'apprécier au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts;

(57) considérant, en revanche, que, lorsqu'un pays tiers n'offre pas un niveau de protection adéquat, le transfert de données à caractère personnel vers ce pays doit être interdit;

(58) considérant que des exceptions à cette interdiction doivent pouvoir être prévues dans certaines circonstances lorsque la personne concernée a donné son consentement, lorsque le transfert est nécessaire dans le contexte d'un contrat ou d'une action en justice, lorsque la sauvegarde d'un intérêt public important l'exige, par exemple en cas d'échanges internationaux de données entre les administrations fiscales ou douanières ou entre les services compétents en matière de sécurité sociale, ou lorsque le transfert est effectué à partir d'un registre établi par la loi et destiné à être consulté par le public ou par des personnes ayant un intérêt légitime; que, dans ce cas, un tel transfert ne devrait pas porter sur la totalité des données ni sur des catégories de données contenues dans ce registre; que, lorsqu'un registre est destiné à être consulté par des personnes qui ont un intérêt légitime, le transfert ne devrait pouvoir être effectué qu'à la demande de ces personnes ou lorsqu'elles en sont les destinataires;

(59) considérant que des mesures particulières peuvent être prises pour pallier l'insuffisance du niveau de protection dans un pays tiers lorsque le responsable du traitement présente des garanties appropriées; que, en outre, des procédures de négociation entre la Communauté et les pays tiers en cause doivent être prévues;

(60) considérant que, en tout état de cause, les transferts vers les pays tiers ne peuvent être effectués que dans le plein respect des dispositions prises par les États membres en application de la présente directive, et notamment de son article 8;

(66) considérant que, pour ce qui est du transfert de données vers les pays tiers, l'application de la présente directive nécessite l'attribution de compétences d'exécution à la Commission et l'établissement d'une procédure selon les modalités fixées dans la décision 87/373/CEE du Conseil (1);

Guidelines

Ici viendront les guidelines

D'où vient-on ?

La Directive prévoyait diverses exceptions à l’interdiction de traitement qui résultait de l’absence d’un niveau de protection adéquat.

L’une d’elles est prévue à l’article 26.2. et s’applique lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu'à l'égard de l'exercice des droits correspondants. Cette dérogation implique que le responsable ait pris des mesures particulières pour pallier l'insuffisance du niveau de protection du pays de destination des données à caractère personnel.

Selon l’article 26.2 de la Directive, ces garanties appropriées peuvent notamment résulter de clauses contractuelles appropriées. Des clauses contractuelles types ont donc été développées pour encadrer les transferts de données hors de l’UE en contractualisant les règles de protection contenues dans la Directive. Des modèles ont ensuite été adoptés par la Commission européenne conformément à l’article 26, § 4 de la Directive. En effet, cette disposition conférait à la Commission le pouvoir de constater, par voie de décision, que certaines clauses contractuelles types présentaient des garanties suffisantes, ce qui obligeait alors les États membres à autoriser les transferts fondés sur ces clauses contractuelles types. La décision de la Commission devait être adoptée conformément à la procédure prévue à l’article 31, paragraphe 2, prévoyant la saisine du Comité de l’article 31 (voir notamment les décisions 2001/497/CE ; 2002/16/CE ; 2004/915/CE ; 2010/87/UE).

Une alternative aux clauses contractuelles types a vu le jour à partir de 2003 : les règles internes d’entreprises (dites Binding Corporate Rules). Bien que sceptique dans un premier temps, c’est le Groupe Article 29 qui a développé ce système dans son document de travail WP 74 du 3 juin 2003 (par le Groupe article 29, dans son document de travail WP 74 du 3 juin 2003 (Document de travail WP 74: Transferts de données personnelles vers des pays tiers Application de l’article 26 (2) de la Directive). Il s’agit d’une alternative globale et unique qui permet d’encadrer l’ensemble des transferts des données au sein d’un groupe de sociétés, sans vérifier systématiquement le fondement légal du transfert (cfr. le commentaire de l’article 43 relatif aux règles d’entreprise contraignantes).

Belgique

L’article 22 de la loi du 8 décembre 1992 prévoit que même en l'absence d'un niveau de protection adéquat, offert par le pays destinataire, et en dehors des exceptions prévues par l'article 22, un transfert vers un pays tiers peut être opéré, à condition que le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée.

En droit belge, le responsable du traitement est considéré comme offrant des garanties suffisantes lorsque le transfert est régi par des règles d’entreprises contraignantes offrant des garanties suffisantes, selon le protocole d’accord du 13 juillet 2011 conclu entre le SPF Justice et la CPVP. A noter que les règles d’entreprises contraignantes encadrant les transferts de données personnelles intra-groupes au sein de sociétés multinationales doivent être validées par arrêté royal, après avis de la CPVP, conformément à la procédure mise en place par ledit protocole d’accord (cfr. Protocole d’accord du 13 juillet 2011, https://www.privacycommission.be/sites/privacycommission/files/documents/protocole-bcr-cpvp-spf-justice_1.pdf ).

France

Le Législateur français a introduit, sous l’article 69 de la Loi Informatique et Libertés, la possibilité de déroger à l’interdiction des transferts par décision de la CNIL lorsque le traitement garantit un niveau de protection suffisant de la vie privée, notamment en raison des règles internes dont il fait l'objet.

Où va-t-on ?

L’article 47 du Règlement constitue la consécration du système des règles contraignantes d’entreprises, qui peuvent être adoptées par les groupes de sociétés confrontés à des transferts intra-groupe de données hors l'Union.

Sa compréhension dépend du reste de diverses définitions introduites à l’article 4 du Règlement.

Les « règles d'entreprise contraignantes » sont définies à l’article 4. 20) comme étant : « les règles internes relatives à la protection des données à caractère personnel qu'applique un responsable du traitement ou un sous-traitant établi sur le territoire d'un État membre de l'Union aux transferts ou à un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous-traitant dans un ou plusieurs pays tiers au sein d'un groupe d'entreprises ou d'un groupe d'entreprises engagées dans une activité économique conjointe ».

 

Les « groupes d'entreprises » reçoivent une définition moins précise, « une entreprise qui exerce le contrôle et les entreprises qu'elle contrôle » (art. 4.19). Sans doute pourrait-on s’aider des règles applicables en droit de la concurrence, et particulièrement en matière de concentration. Selon le considérant 37, un groupe d'entreprises devrait consister en une entreprise qui exerce le contrôle et des entreprises contrôlées, la première devant être celle qui peut exercer une influence dominante sur les autres du fait, par exemple, de la détention du capital, d'une participation financière ou des règles qui la régissent, ou du pouvoir de faire appliquer les règles relatives à la protection des données à caractère personnel. Une entreprise centrale qui contrôle le traitement de données à caractère personnel dans des entreprises qui lui sont affiliées forme avec ces dernières une entité qui peut être considérée comme un « groupe d'entreprises ».

 

Quant à l’« entreprise », elle est définie plus classiquement comme « toute personne physique ou morale exerçant une activité économique, quelle que soit sa forme juridique, y compris les sociétés de personnes ou les associations qui exercent régulièrement une activité économique » (art. 4, 19).

 

Ces Règles d’entreprise contraignantes doivent répondre à plusieurs conditions définies par l’article 47 (1) et être approuvées par l’autorité de contrôle compétente selon le mécanisme de contrôle de la cohérence prévue à l’article 63. À cet égard, l’article 64 (1) f), prévoit que le Comité européen de la protection des données rende un avis lorsqu’une autorité de contrôle envisage de prendre une décision visant à approuver des règles d'entreprise contraignantes.

La première condition tient à leur caractère juridiquement contraignant : les BCR doivent s’appliquer à toutes les entités concernées du groupe d'entreprises engagées dans une activité économique conjointe, y compris à leurs employés (a).

La deuxième condition consiste dans le fait que les BCR doivent conférer expressément aux personnes concernées des droits opposables concernant le traitement de leurs données (b).

La troisième condition renvoie au contenu spécifique des BCR qui doivent spécifier toute une série d’informations spécifiées au paragraphe 2 ; elles doivent au moins préciser :

- la structure et les coordonnées du groupe concerné et de chacune de ses entités ; les transferts ou aux catégories de transferts de données, en ce compris les types de données, le type de traitement et ses finalités, les catégories de personnes concernées et le nom du ou des pays tiers en question ; la nature juridiquement contraignante tant interne qu’externe des BCR  (a) à c).

- l'application des principes généraux de protection des données, notamment la limitation de la finalité, la minimisation des données, les périodes limitées de stockage, la qualité des données, la base juridique du traitement, le traitement de catégories spéciales de données à caractère personnel, les mesures visant à garantir la sécurité des données, ainsi que les exigences en matière de transferts ultérieurs à des organismes qui ne sont pas liés par les règles d'entreprise contraignantes (d)

-les droits des personnes concernées et la manière de les exercer. Les BCR doivent également prévoir un droit de déposer une réclamation auprès de l'autorité de contrôle compétente et devant les juridictions compétentes des États membres en vue d’obtenir réparation, et le cas échéant, une indemnisation en cas de violation des BCR (e) ;

-l’acceptation par le responsable ou le sous-traitant établi sur le territoire de l’UE de voir sa responsabilité engagée pour toute violation des BCR par toute entité concernée non établie dans l'Union, à moins qu’il prouve que le fait générateur du dommage n'est pas imputable à l'entité en cause (f).

-les missions du délégué à la protection des données ou de toute personne chargée de la surveillance du respect des BCR doivent également être précisées par les BCR, tout comme le suivi de la formation, du traitement et des procédures de réclamation (h et suivants) ;Etc.

In fine, le troisième paragraphe prévoit que la Commission peut, dans le cadre des BCR, spécifier la forme de l'échange d'informations entre les responsables du traitement, les sous-traitants et les autorités de contrôle, ainsi que les procédures qui s'y rapportent.

Difficultés probables

Il faudra revoir toutes les BCR déjà adoptées afin qu’ils soient conformes à la nouvelle disposition. Le contenu obligatoire imposé par la nouvelle disposition est en effet extrêmement large.

Règlement
1e 2e

Art. 47

1. L'autorité de contrôle compétente approuve des règles d'entreprise contraignantes conformément au mécanisme de contrôle de la cohérence prévu à l'article 63, à condition que:

a) ces règles soient juridiquement contraignantes, et soient mises en application par toutes les entités concernées du groupe d'entreprises ou du groupe d’entreprises engagées dans une activité économique conjointe, y compris leurs employés;

b) elles confèrent expressément aux personnes concernées des droits opposables en ce qui concerne le traitement de leurs données à caractère personnel; et

c) elles répondent aux exigences prévues au paragraphe 2.

2. Les règles d'entreprise contraignantes visées au paragraphe 1 précisent au moins:

a) la structure et les coordonnées du groupe d'entreprises ou du groupe d’entreprises engagées dans une activité économique conjointe et de chacune de leurs entités;

b) les transferts ou l'ensemble des transferts de données, y compris les catégories de données à caractère personnel, le type de traitement et ses finalités, le type de personnes concernées affectées et le nom du ou des pays tiers en question;

c) leur nature juridiquement contraignante, tant interne qu'externe;

d) l'application des principes généraux relatifs à la protection des données, notamment la limitation de la finalité, la minimisation des données, la limitation des durées de conservation des données, la qualité des données, la protection des données dès la conception et la protection des données par défaut, la base juridique du traitement, le traitement de catégories particulières de données à caractère personnel, les mesures visant à garantir la sécurité des données, ainsi que les exigences en matière de transferts ultérieurs à des organismes qui ne sont pas liés par les règles d'entreprise contraignantes;

e) les droits des personnes concernées à l'égard du traitement et les moyens d’exercer ces droits y compris le droit de ne pas faire l'objet de décisions fondées exclusivement sur un traitement automatisé, y compris le profilage, conformément à l'article 22, le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente et devant les juridictions compétentes des États membres conformément à l'article 79 et d'obtenir réparation et, le cas échéant, une indemnisation pour violation des règles d'entreprise contraignantes;

f) l'acceptation, par le responsable du traitement ou le sous-traitant établi sur le territoire d'un État membre, de l'engagement de sa responsabilité pour toute violation des règles d'entreprise contraignantes par toute entité concernée non établie dans l'Union; le responsable du traitement ou le sous-traitant ne peut être exonéré, en tout ou en partie, de cette responsabilité que s'il prouve que le fait générateur du dommage n'est pas imputable à l'entité en cause;

g) la manière dont les informations sur les règles d'entreprise contraignantes, notamment en ce qui concerne les éléments mentionnés aux points d), e) et f) du présent paragraphe sont fournies aux personnes concernées, en sus des informations visées aux articles 13 et 14;

h) les missions de tout délégué à la protection des données, désigné conformément à l'article 37, ou de toute autre personne ou entité chargée de la surveillance du respect des règles d'entreprise contraignantes au sein du groupe d'entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe, ainsi que le suivi de la formation et le traitement des réclamations;

i) les procédures de réclamation;

j) les mécanismes mis en place au sein du groupe d'entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe pour garantir que le contrôle du respect des règles d'entreprise contraignantes. Ces mécanismes prévoient des audits sur la protection des données et des méthodes assurant que des mesures correctrices seront prises pour protéger les droits de la personne concernée. Les résultats de ce contrôle devraient être communiqués à la personne ou à l'entité visée au point h) et au conseil d'administration de l'entreprise qui exerce le contrôle du groupe d'entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe, et devraient être mis à la disposition de l'autorité de contrôle compétente sur demande;

k) les mécanismes mis en place pour communiquer et consigner les modifications apportées aux règles et pour communiquer ces modifications à l'autorité de contrôle;

l) le mécanisme de coopération avec l'autorité de contrôle mis en place pour assurer le respect des règles par toutes les entités du groupe d'entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe, notamment en mettant à la disposition de l'autorité de contrôle les résultats des contrôles des mesures visés au point j);

m) les mécanismes permettant de communiquer à l'autorité de contrôle compétente toutes les obligations juridiques auxquelles une entité du groupe d'entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe, est soumise dans un pays tiers qui sont susceptibles d'avoir un effet négatif important sur les garanties fournies par les règles d'entreprise contraignantes; et

n) la formation appropriée en matière de protection des données pour le personnel ayant un accès permanent ou régulier aux données à caractère personnel.

3. La Commission peut, pour les règles d'entreprise contraignantes au sens du présent article, préciser la forme de l'échange d'informations entre les responsables du traitement, les sous-traitants et les autorités de contrôle, ainsi que les procédures qui s'y rapportent. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2.

Proposition 1 close

1. Une autorité de contrôle approuve des règles d’entreprise contraignantes conformément au mécanisme de contrôle de la cohérence prévu à l'article 58, à condition:

a) qu'elles soient juridiquement contraignantes, qu'elles s'appliquent à toutes les entités du groupe d’entreprises du responsable du traitement ou du sous-traitant, y compris à leurs salariés, et que lesdites entités en assurent le respect;

b) qu'elles confèrent expressément aux personnes concernées des droits opposables;

c) qu'elles respectent les exigences prévues au paragraphe 2. 2. Les règles d'entreprise contraignantes précisent au moins:

a) la structure et les coordonnées du groupe d'entreprises et des entités qui le composent;

b) le transfert ou l'ensemble de transferts de données, y compris les catégories de données à caractère personnel, le type de traitement et ses finalités, la catégorie de personnes concernées et le nom du ou des pays tiers en question;

c) leur nature juridiquement contraignante, tant interne qu'externe;

d) les principes généraux de protection des données, notamment la limitation de la finalité, la qualité des données, la base juridique du traitement, le traitement de données à caractère personnel sensibles, les mesures visant à garantir la sécurité des données, ainsi que les exigences en matière de transferts ultérieurs à des organismes qui ne sont pas liés par les mesures en question;

e) les droits des personnes concernées et les moyens de les exercer, notamment le droit de ne pas être soumis à une mesure fondée sur le profilage conformément à l'article 20, le droit de déposer une réclamation auprès de l'autorité de contrôle compétente et devant les juridictions compétentes des États membres conformément à l’article 75 et d'obtenir réparation et, le cas échéant, une indemnisation pour violation des règles d'entreprise contraignantes;

f) l'acceptation, par le responsable du traitement ou le sous-traitant établi sur le territoire d’un État membre, de l’engagement de sa responsabilité pour toute violation des règles d'entreprise contraignantes par toute entité appartenant au groupe d’entreprises non établie dans l'Union; le responsable du traitement ou le sous-traitant ne peut être exonéré, en tout ou en partie, de cette responsabilité que s'il prouve que le fait générateur du dommage n'est pas imputable à l'entité en cause;

g) la manière dont les informations sur les règles d'entreprise contraignantes, notamment en ce qui concerne les éléments mentionnés aux points d), e) et f), sont fournies aux personnes concernées, conformément à l'article 11;

h) les missions du délégué à la protection des données, désigné conformément à l’article 35, notamment la surveillance, au sein du groupe d'entreprises, du respect des règles d'entreprise contraignantes, ainsi que le suivi de la formation et du traitement des réclamations;

i) les mécanismes mis en place au sein du groupe d'entreprises pour garantir que le respect des règles d'entreprise contraignantes est contrôlé;

j) les mécanismes mis en place pour communiquer et archiver les modifications apportées aux règles internes et pour communiquer ces modifications à l’autorité de contrôle;

k) le mécanisme de coopération avec l’autorité de contrôle mis en place pour assurer le respect des règles par toutes les entités du groupe d'entreprises, notamment en mettant à la disposition de l'autorité de contrôle les résultats des contrôles des mesures prévues au point i).

3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables aux règles d'entreprise contraignantes au sens du présent article, notamment en ce qui concerne les critères applicables à leur approbation, l'application du paragraphe 2, points b), d), e) et f), aux règles d'entreprise contraignantes auxquelles adhèrent les sous-traitants, et les exigences nécessaires supplémentaires pour assurer la protection des données à caractère personnel des personnes concernées en question. 4. La Commission peut, pour les règles d’entreprise contraignantes au sens du présent article, spécifier la forme de l'échange d’informations par voie électronique entre les responsables du traitement, les sous-traitants et les autorités de contrôle, ainsi que les procédures qui s'y rapportent. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l’article 87, paragraphe 2.

Proposition 2 close

1. L'autorité de contrôle compétente approuve des règles d'entreprise contraignantes conformément au mécanisme de contrôle de la cohérence prévu à l'article 57, à condition:

a) qu'elles soient juridiquement contraignantes, qu'elles s'appliquent à toutes les entités concernées du groupe d'entreprises ou du groupe d'entreprises engagées dans une activité économique conjointe, et que lesdites entités en assurent le respect;

b) qu'elles confèrent expressément aux personnes concernées des droits opposables en ce qui concerne le traitement de leurs données à caractère personnel;

c) qu'elles respectent les exigences prévues au paragraphe 2.

2. Les règles d'entreprise contraignantes visées au paragraphe 1 précisent au moins:

a) la structure et les coordonnées du groupe concerné et de chacune de ses entités;

b) le transfert ou les catégories de transferts de données, y compris les types de données à caractère personnel, le type de traitement et ses finalités, la catégorie de personnes concernées et le nom du ou des pays tiers en question;

c) leur nature juridiquement contraignante, tant interne qu'externe;

d) l'application des principes généraux de protection des données, notamment la limitation de la finalité, (...) la qualité des données, la base juridique du traitement, le traitement de catégories spéciales de données à caractère personnel, les mesures visant à garantir la sécurité des données, ainsi que les exigences en matière de transferts ultérieurs à des organismes (…) qui ne sont pas liés par les règles d'entreprise contraignantes;

e) les droits des personnes concernées en ce qui concerne le traitement de leurs données à caractère personnel et les moyens de les exercer, notamment le droit de ne pas être soumis (…) à des décisions résultant exclusivement d'un traitement automatisé, y compris le profilage, conformément à l'article 20, le droit de déposer une réclamation auprès de l'autorité de contrôle compétente et devant les juridictions compétentes des États membres conformément à l'article 75 et d'obtenir réparation et, le cas échéant, une indemnisation pour violation des règles d'entreprise contraignantes;

f) l'acceptation, par le responsable du traitement ou le sous-traitant établi sur le territoire d'un État membre, de l'engagement de sa responsabilité pour toute violation des règles d'entreprise contraignantes par toute entité concernée non établie dans l'Union; le responsable du traitement ou le sous-traitant ne peut être exonéré, en tout ou en partie, de cette responsabilité que s'il prouve que le fait générateur du dommage n'est pas imputable à l'entité en cause;

g) la manière dont les informations sur les règles d'entreprise contraignantes, notamment en ce qui concerne les éléments mentionnés aux points d), e) et f), sont fournies aux personnes concernées, conformément aux articles 14 et 14 bis;

h) les missions de tout délégué à la protection des données, désigné conformément à l'article 35, ou de toute autre personne ou entité chargée de la surveillance (…) du respect des règles d'entreprise contraignantes au sein du groupe, ainsi que le suivi de la formation et du traitement des réclamations;

h bis) les procédures de réclamation;

i) les mécanismes mis en place au sein du groupe pour garantir que le respect des règles d'entreprise contraignantes est contrôlé. Ces mécanismes prévoient des audits sur la protection des données et des méthodes assurant que des mesures correctrices seront prises pour protéger les droits de la personne concernée. Les résultats de ce contrôle devraient être communiqués à la personne ou à l'entité visée au point h) et au conseil d'entreprise de l'entreprise qui exerce le contrôle ou du groupe d'entreprises et devraient pouvoir être mis à la disposition de l'autorité de contrôle compétente à sa demande;

j) les mécanismes mis en place pour communiquer et archiver les modifications apportées aux règles internes et pour communiquer ces modifications à l'autorité de contrôle;

k) le mécanisme de coopération avec l'autorité de contrôle mis en place pour assurer le respect des règles par toutes les entités du groupe (…), notamment en mettant à la disposition de l'autorité de contrôle les résultats des contrôles des mesures prévues au point i);

 l) les mécanismes permettant de communiquer à l'autorité de contrôle compétente toutes les obligations juridiques auxquelles une entité du groupe est soumise dans un pays tiers et qui sont susceptibles d'avoir un effet négatif considérable sur les garanties fournies par les règles d'entreprise contraignantes;

et m) la formation appropriée en matière de protection des données pour le personnel ayant un accès permanent ou régulier aux données à caractère personnel (...).

2 bis. Le comité européen de la protection des données conseille la Commission, pour les règles d'entreprise contraignantes, sur la forme de l'échange d'informations entre les responsables du traitement, les sous-traitants et les autorités de contrôle, ainsi que les procédures qui s'y rapportent.

3. (…)

4. La Commission peut, pour les règles d'entreprise contraignantes au sens du présent article, spécifier la forme de l'échange d'informations (...) entre les responsables du traitement, les sous-traitants et les autorités de contrôle, ainsi que les procédures qui s'y rapportent. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

Directive

La Directive évoquait déjà la possibilité de prévoir des clauses types mais n’évoque pas l’existence de règles d’entreprise contraignantes.

France

La loi française évoque l’existence de règles internes pour démontrer l’existence de garanties suffisantes.

Art. 69

(…)

Il peut également être fait exception à l'interdiction prévue à l'article 68, par décision de la Commission nationale de l'informatique et des libertés ou, s'il s'agit d'un traitement mentionné au I ou au II de l'article 26, par décret en Conseil d'Etat pris après avis motivé et publié de la commission, lorsque le traitement garantit un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes, notamment en raison des clauses contractuelles ou règles internes dont il fait l'objet.

La Commission nationale de l'informatique et des libertés porte à la connaissance de la Commission des Communautés européennes et des autorités de contrôle des autres Etats membres de la Communauté européenne les décisions d'autorisation de transfert de données à caractère personnel qu'elle prend au titre de l'alinéa précédent.

Belgique

La loi belge vise l’hypothèse de clauses contractuelles appropriées, mais n’aborde pas la question des règles d’entreprise contraignantes.

Art. 22

§ 1. Par dérogation à l'article 21, un transfert ou une catégorie de transferts de données à caractère personnel vers un pays non membre de la Communauté européenne et n'assurant pas un niveau de protection adéquat, peut être effectué dans un des cas suivants :

  1° la personne concernée a indubitablement donné son consentement au transfert envisagé;

  2° le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou des mesures préalables à la conclusion de ce contrat, prises à la demande de la personne concernée;

  3° le transfert est nécessaire à la conclusion ou à l'exécution d'un contrat conclu ou à conclure, dans l'intérêt de la personne concernée, entre le responsable du traitement et un tiers;

  4° le transfert est nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d'un intérêt public important, ou pour la constatation, l'exercice ou la défense d'un droit en justice;

  5° le transfert est nécessaire à la sauvegarde de l'intérêt vital de la personne concernée;

  6° le transfert intervient au départ d'un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime, dans la mesure où les conditions légales pour la consultation sont remplies dans le cas particulier.

Sans préjudice des dispositions de l'alinéa précédent, le Roi peut, après avis de la Commission de la protection de la vie privée, autoriser un transfert ou un ensemble de transferts de données à caractère personnel vers un pays non membre de la Communauté européenne et n'assurant pas un niveau de protection adéquat, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu'à l'égard de l'exercice des droits correspondants; ces garanties peuvent notamment résulter de clauses contractuelles appropriées.

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK