RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

Article 47 - Règles d'entreprise contraignantes

Version en vigueur

Entrée en vigueur :	24 mai 2016

1. L'autorité de contrôle compétente approuve des règles d'entreprise contraignantes conformément au mécanisme de contrôle de la cohérence prévu à l'article 63, à condition que:

a)	ces règles soient juridiquement contraignantes, et soient mises en application par toutes les entités concernées du groupe d'entreprises ou du groupe d'entreprises engagées dans une activité économique conjointe, y compris leurs employés;

b)	elles confèrent expressément aux personnes concernées des droits opposables en ce qui concerne le traitement de leurs données à caractère personnel; et

c)	elles répondent aux exigences prévues au paragraphe 2.

2. Les règles d'entreprise contraignantes visées au paragraphe 1 précisent au moins:

a)	la structure et les coordonnées du groupe d'entreprises ou du groupe d'entreprises engagées dans une activité économique conjointe et de chacune de leurs entités;

b)	les transferts ou l'ensemble des transferts de données, y compris les catégories de données à caractère personnel, le type de traitement et ses finalités, le type de personnes concernées affectées et le nom du ou des pays tiers en question;

c)	leur nature juridiquement contraignante, tant interne qu'externe;

l'application des principes généraux relatifs à la protection des données, notamment la limitation de la finalité, la minimisation des données, la limitation des durées de conservation des données, la qualité des données, la protection des données dès la conception et la protection des données par défaut, la base juridique du traitement, le traitement de catégories particulières de données à caractère personnel, les mesures visant à garantir la sécurité des données, ainsi que les exigences en matière de transferts ultérieurs à des organismes qui ne sont pas liés par les règles d'entreprise contraignantes;

les droits des personnes concernées à l'égard du traitement et les moyens d'exercer ces droits y compris le droit de ne pas faire l'objet de décisions fondées exclusivement sur un traitement automatisé, y compris le profilage, conformément à l'article 22, le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente et devant les juridictions compétentes des États membres conformément à l'article 79 et d'obtenir réparation et, le cas échéant, une indemnisation pour violation des règles d'entreprise contraignantes;

l'acceptation, par le responsable du traitement ou le sous-traitant établi sur le territoire d'un État membre, de l'engagement de sa responsabilité pour toute violation des règles d'entreprise contraignantes par toute entité concernée non établie dans l'Union; le responsable du traitement ou le sous-traitant ne peut être exonéré, en tout ou en partie, de cette responsabilité que s'il prouve que le fait générateur du dommage n'est pas imputable à l'entité en cause;

g)	la manière dont les informations sur les règles d'entreprise contraignantes, notamment en ce qui concerne les éléments mentionnés aux points d), e) et f) du présent paragraphe sont fournies aux personnes concernées, en sus des informations visées aux articles 13 et 14;

les missions de tout délégué à la protection des données, désigné conformément à l'article 37, ou de toute autre personne ou entité chargée de la surveillance du respect des règles d'entreprise contraignantes au sein du groupe d'entreprises, ou du groupe d'entreprises engagées dans une activité économique conjointe, ainsi que le suivi de la formation et le traitement des réclamations;

i)	les procédures de réclamation;

les mécanismes mis en place au sein du groupe d'entreprises, ou du groupe d'entreprises engagées dans une activité économique conjointe pour garantir que le contrôle du respect des règles d'entreprise contraignantes. Ces mécanismes prévoient des audits sur la protection des données et des méthodes assurant que des mesures correctrices seront prises pour protéger les droits de la personne concernée. Les résultats de ce contrôle devraient être communiqués à la personne ou à l'entité visée au point h) et au conseil d'administration de l'entreprise qui exerce le contrôle du groupe d'entreprises, ou du groupe d'entreprises engagées dans une activité économique conjointe, et devraient être mis à la disposition de l'autorité de contrôle compétente sur demande;

k)	les mécanismes mis en place pour communiquer et consigner les modifications apportées aux règles et pour communiquer ces modifications à l'autorité de contrôle;

le mécanisme de coopération avec l'autorité de contrôle mis en place pour assurer le respect des règles par toutes les entités du groupe d'entreprises, ou du groupe d'entreprises engagées dans une activité économique conjointe, notamment en mettant à la disposition de l'autorité de contrôle les résultats des contrôles des mesures visés au point j);

les mécanismes permettant de communiquer à l'autorité de contrôle compétente toutes les obligations juridiques auxquelles une entité du groupe d'entreprises, ou du groupe d'entreprises engagées dans une activité économique conjointe, est soumise dans un pays tiers qui sont susceptibles d'avoir un effet négatif important sur les garanties fournies par les règles d'entreprise contraignantes; et

n)	la formation appropriée en matière de protection des données pour le personnel ayant un accès permanent ou régulier aux données à caractère personnel.

3. La Commission peut, pour les règles d'entreprise contraignantes au sens du présent article, préciser la forme de l'échange d'informations entre les responsables du traitement, les sous-traitants et les autorités de contrôle, ainsi que les procédures qui s'y rapportent. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2.

Décisions • 40

Afficher tout (40)

1. CJUE, n° C-645/19, Arrêt de la Cour, Facebook Ireland Ltd e.a. contre Gegevensbeschermingsautoriteit, 15 juin 2021

[…] « Renvoi préjudiciel – Protection des personnes physiques à l'égard du traitement des données à caractère personnel – Charte des droits fondamentaux de l'Union européenne – Articles 7, 8 et 47 – Règlement (UE) 2016/679 – Traitement transfrontalier de données à caractère personnel – Mécanisme de “guichet unique” – Coopération loyale et efficace entre les autorités de contrôle – Compétences et pouvoirs – Pouvoir d'ester en justice »

Règlements - applicabilité directe * applicabilité directe·
Principes, objectifs et missions des traités·
Protection des données à caractère personnel·
Marchés publics des institutions de l'union·
Politique intérieure de l'Union européenne·
Ordre juridique de l'Union européenne·
Respect de la vie privée et familiale·
Charte des droits fondamentaux·
Rapprochement des législations·
Actes juridiques de l'union

2. CJUE, n° C-245/20, Conclusions de l'avocat général de la Cour, X et Z contre Autoriteit Persoonsgegevens, 6 octobre 2021

[…] Parallèlement, s'agissant davantage de la couche institutionnelle et procédurale de l'affaire, le citoyen Z a, dans ses observations écrites, émis des doutes quant à la compatibilité de l'article 55, paragraphe 3, du RGPD avec l'article 8, paragraphe 3, et l'article 47 de la Charte. […]

Principes, objectifs et missions des traités·
Protection des données·
Traitement de données·
Juridiction·
Règlement·
Autorité de contrôle·
Pouvoir judiciaire·
Activité·
Thé·
Etats membres

3. CAA de NANTES, 6ème chambre, 18 juillet 2023, 22NT03132, Inédit au recueil Lebon

Rejet

[…] — l'arrêté de transfert est entaché d'un défaut d'examen révélant une « erreur manifeste d'appréciation » ; tous les rapports internationaux estiment que Malte ne traite pas correctement les demandeurs d'asile et que les conditions de détention sont inhumaines ; le droit au recours effectif de l'article 47 du règlement Dublin est atteint ;

Etats membres·
Asile·
Règlement (ue)·
Responsable du traitement·
Transfert·
Données·
Information·
Protection·
Parlement européen·
État

Testez Doctrine gratuitement
pendant 7 jours

Démarrer

Vous avez déjà un compte ?Connexion

Afficher tout (40)

Commentaires • 34

Afficher tout (34)

1. RGPD : top 5 des erreurs et leurs sanctions.

Village Justice · 1^er septembre 2023

[…] La méconnaissance de ces règles, prévues à l'article 82 de la loi informatique et libertés et à l'article 7 du RGPD [7], peut être sanctionnée par la formation restreinte de la Cnil. […] 46 [16] et 47 [17] du RGPD, la Cnil peut prononcer une amende administrative [18] pouvant s'élever jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

2. La CJUE se prononce sur la production d’un registre du personnel en tant qu’élément de preuveAccès limité

Open Lefebvre Dalloz · 30 mars 2023

3. Quel est l’impact du RGPD dans la production d’une preuve en justice ?

www.droit-technologie.org · 14 mars 2023

[…] Dès lors, « afin d'assurer que les justiciables puissent jouir d'un droit à une protection juridictionnelle effective et notamment d'un droit à un procès équitable, au sens de l'article 47, deuxième alinéa, de la Charte, il convient de considérer que les parties à une procédure juridictionnelle civile doivent être en mesure d'accéder aux preuves nécessaires pour établir à suffisance le bien-fondé de leurs griefs, qui peuvent éventuellement inclure des données […] de proportionnalité ainsi que, en particulier, de celles résultant du principe de la minimisation des données visé à l'article 5, paragraphe 1, sous c), de ce règlement. »

Testez Doctrine gratuitement
pendant 7 jours

Démarrer

Vous avez déjà un compte ?Connexion

Afficher tout (34)

Doctrine / Droit de l'Union Européenne / Règlements / 2016 / Règlement RGPD n°2016/679