L'article 47 du Règlement général sur la protection des données (RGPD) définit les règles d'entreprise contraignantes (Binding Corporate Rules ou BCR), qui constituent un instrument de transfert spécifiquement adapté aux groupes d'entreprises multinationaux réalisant des transferts fréquents et structurels de données personnelles entre leurs différentes entités, y compris vers des pays tiers ne bénéficiant pas d'une décision d'adéquation de la Commission européenne.
Les BCR sont des politiques internes de protection des données adoptées par un groupe d'entreprises ou un groupe d'entreprises engagées dans une activité économique conjointe, définissant les principes et règles applicables aux transferts de données au sein du groupe et les garanties offertes aux personnes concernées. Elles doivent être approuvées par les autorités de contrôle compétentes et offrir aux personnes concernées des droits opposables et des voies de droit effectives dans tous les États membres de l'Union européenne.
L'article 47 énumère les éléments minimaux que doivent contenir les BCR, notamment la structure et les coordonnées du groupe, les catégories de données et de traitements couverts, les principes de protection des données appliqués, les droits des personnes concernées et les mécanismes de responsabilité et de recours. Ces exigences garantissent que les BCR offrent un niveau de protection essentiellement équivalent à celui du RGPD, malgré l'absence de décision d'adéquation du pays de destination de certaines entités du groupe.
Texte officiel de l'article 47 du RGPD
L'article 47 du RGPD dispose notamment que :
« 1. L'autorité de contrôle compétente approuve les règles d'entreprise contraignantes conformément au mécanisme de contrôle de la cohérence prévu à l'article 63, à condition qu'elles : a) soient juridiquement contraignantes et s'appliquent à tous les membres concernés du groupe d'entreprises ou du groupe d'entreprises engagées dans une activité économique conjointe, et soient opposables à ces membres et fassent valoir ce droit ; b) confèrent expressément aux personnes concernées des droits opposables en ce qui concerne le traitement de leurs données à caractère personnel ; et c) satisfassent aux exigences définies au paragraphe 2.
2. Les règles d'entreprise contraignantes visées au paragraphe 1 précisent au moins : a) la structure et les coordonnées du groupe d'entreprises ou du groupe d'entreprises engagées dans une activité économique conjointe et de chacun de ses membres ; b) les transferts ou l'ensemble des transferts de données, y compris les catégories de données à caractère personnel, le type de traitement et ses finalités, le type de personnes concernées affectées et la ou les identités du ou des pays tiers en question ; c) leur nature juridiquement contraignante, tant en interne qu'en externe ; d) l'application des principes généraux relatifs à la protection des données, notamment en ce qui concerne la limitation des finalités, la minimisation des données, la limitation de la durée de conservation des données, la qualité des données, la protection des données dès la conception et la protection des données par défaut, la base du traitement, le traitement de catégories particulières de données à caractère personnel, les mesures visant à assurer la sécurité des données et les exigences applicables aux transferts ultérieurs vers des organismes qui ne sont pas liés par les règles d'entreprise contraignantes ; e) les droits des personnes concernées en ce qui concerne le traitement et les moyens d'exercer ces droits, y compris le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage conformément à l'article 22, le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente et devant les juridictions compétentes des États membres conformément à l'article 79, et d'obtenir réparation et, le cas échéant, une indemnisation en cas de violation des règles d'entreprise contraignantes ; f) la responsabilité qu'accepte le responsable du traitement ou le sous-traitant établi sur le territoire d'un État membre pour toute violation des règles d'entreprise contraignantes par tout membre concerné qui n'est pas établi dans l'Union ; le responsable du traitement ou le sous-traitant n'est exonéré, en totalité ou en partie, de cette responsabilité que s'il prouve que le membre en cause n'est pas responsable du fait qui a causé le dommage ; g) les modalités selon lesquelles les informations sur les règles d'entreprise contraignantes, en particulier sur les dispositions visées aux points d), e) et f) du présent paragraphe sont fournies aux personnes concernées en plus des informations visées aux articles 13 et 14 ; h) les missions de tout délégué à la protection des données désigné conformément à l'article 37 ou de toute autre personne ou entité chargée de contrôler le respect des règles d'entreprise contraignantes au sein du groupe d'entreprises ou du groupe d'entreprises engagées dans une activité économique conjointe, ainsi que de contrôler les activités de formation et de traiter les réclamations ; i) les procédures de réclamation ; j) les mécanismes mis en place au sein du groupe d'entreprises ou du groupe d'entreprises engagées dans une activité économique conjointe pour garantir la vérification du respect des règles d'entreprise contraignantes. Ces mécanismes comprennent des audits sur la protection des données et des méthodes permettant de garantir des mesures correctives visant à protéger les droits de la personne concernée. Les résultats de cette vérification doivent être communiqués à la personne ou à l'entité visée au point h) et au conseil d'administration du responsable du traitement ou du sous-traitant établi dans l'Union et doivent être mis à la disposition de l'autorité de contrôle compétente sur demande ; k) les mécanismes permettant de déclarer et d'enregistrer les modifications apportées aux règles et de déclarer ces modifications à l'autorité de contrôle ; l) le mécanisme de coopération avec l'autorité de contrôle pour garantir le respect des règles par tout membre du groupe d'entreprises ou du groupe d'entreprises engagées dans une activité économique conjointe, notamment en mettant à la disposition de l'autorité de contrôle les résultats des vérifications des mesures visées au point j) ; m) les mécanismes permettant de faire rapport à l'autorité de contrôle compétente de tout cas où les dispositions juridiques applicables d'un pays tiers empêcheraient un membre du groupe d'entreprises ou du groupe d'entreprises engagées dans une activité économique conjointe de respecter les règles d'entreprise contraignantes. En pareil cas, les membres du groupe d'entreprises ou du groupe d'entreprises engagées dans une activité économique conjointe informent également l'autorité de contrôle ; n) la formation appropriée en matière de protection des données du personnel ayant un accès permanent ou régulier aux données à caractère personnel.
3. La Commission peut préciser le format et les procédures d'échange d'informations par voie électronique entre les responsables du traitement, les sous-traitants et les autorités de contrôle pour ce qui est des règles d'entreprise contraignantes au sens du présent article. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2. »
Ce texte définit les conditions d'approbation des règles d'entreprise contraignantes par les autorités de contrôle et énumère les éléments minimaux que doivent contenir les BCR pour garantir un niveau de protection essentiellement équivalent à celui du RGPD.
Principe et portée des règles d'entreprise contraignantes
Les règles d'entreprise contraignantes constituent un instrument de transfert spécifiquement adapté aux groupes d'entreprises multinationaux réalisant des transferts fréquents et structurels de données personnelles entre leurs différentes entités. Elles permettent de simplifier la gestion des transferts au sein du groupe en définissant une politique interne unique de protection des données, applicable à toutes les entités du groupe, y compris celles situées dans des pays tiers ne bénéficiant pas d'une décision d'adéquation.
Le paragraphe 1 de l'article 47 impose que les BCR soient juridiquement contraignantes et s'appliquent à tous les membres concernés du groupe d'entreprises, qu'elles confèrent expressément aux personnes concernées des droits opposables en ce qui concerne le traitement de leurs données personnelles et qu'elles satisfassent aux exigences énumérées au paragraphe 2. Ces conditions garantissent que les BCR offrent une protection effective aux personnes concernées et qu'elles peuvent être invoquées devant les juridictions de tous les États membres de l'Union européenne.
Éléments minimaux des règles d'entreprise contraignantes
Le paragraphe 2 de l'article 47 énumère les treize éléments minimaux que doivent contenir les règles d'entreprise contraignantes. Ces éléments incluent la structure et les coordonnées du groupe d'entreprises, les transferts de données couverts (catégories de données, finalités, personnes concernées, pays tiers de destination), la nature juridiquement contraignante des BCR en interne et en externe, l'application des principes généraux relatifs à la protection des données (limitation des finalités, minimisation des données, limitation de la durée de conservation, qualité des données, protection dès la conception et par défaut, bases légales du traitement, traitement des données sensibles, mesures de sécurité et exigences applicables aux transferts ultérieurs).
Les BCR doivent également préciser les droits des personnes concernées (droit d'accès, de rectification, d'effacement, d'opposition, droit de ne pas faire l'objet d'une décision automatisée, droit d'introduire une réclamation auprès de l'autorité de contrôle et droit d'obtenir réparation et indemnisation en cas de violation des BCR), la responsabilité acceptée par le responsable du traitement ou le sous-traitant établi dans l'Union pour toute violation des BCR par un membre du groupe situé hors de l'Union, les modalités d'information des personnes concernées sur les BCR, les missions du délégué à la protection des données ou de toute autre personne chargée de contrôler le respect des BCR, les procédures de réclamation, les mécanismes de vérification du respect des BCR (audits, mesures correctives), les mécanismes de déclaration et d'enregistrement des modifications apportées aux BCR, le mécanisme de coopération avec l'autorité de contrôle, les mécanismes de signalement des obstacles juridiques au respect des BCR dans un pays tiers et la formation appropriée en matière de protection des données du personnel ayant accès aux données personnelles.
Procédure d'approbation des BCR
Le paragraphe 1 de l'article 47 prévoit que l'autorité de contrôle compétente approuve les règles d'entreprise contraignantes conformément au mécanisme de contrôle de la cohérence prévu à l'article 63 du RGPD. Cette procédure garantit l'harmonisation de l'appréciation des BCR au niveau européen et évite les divergences entre États membres susceptibles de créer des distorsions ou des incohérences.
La procédure d'approbation des BCR est coordonnée par l'autorité de contrôle chef de file (lead supervisory authority), déterminée conformément à l'article 56 du RGPD, en général l'autorité de contrôle de l'État membre où se trouve l'établissement principal du groupe d'entreprises. L'autorité chef de file soumet le projet de BCR au Comité européen de la protection des données (CEPD) dans le cadre du mécanisme de contrôle de la cohérence, permettant aux autres autorités de contrôle de formuler des observations et recommandations avant l'approbation finale.
Cette procédure est longue et complexe, nécessitant généralement plusieurs mois voire plusieurs années pour obtenir l'approbation définitive des BCR. Elle impose au groupe d'entreprises de fournir une documentation complète et détaillée sur la structure du groupe, les flux de données, les mesures de protection et les mécanismes de contrôle et de recours. Une fois approuvées, les BCR permettent toutefois de simplifier considérablement la gestion des transferts au sein du groupe.
Responsabilité et recours effectifs
Le paragraphe 2, point f) de l'article 47 impose que les BCR prévoient la responsabilité du responsable du traitement ou du sous-traitant établi sur le territoire d'un État membre pour toute violation des BCR par tout membre concerné du groupe qui n'est pas établi dans l'Union. Cette disposition garantit que les personnes concernées peuvent invoquer la responsabilité d'une entité établie dans l'Union, facilitant ainsi l'exercice de leurs droits et l'obtention de réparation en cas de violation des BCR.
Cette responsabilité n'est écartée, en totalité ou en partie, que si le responsable du traitement ou le sous-traitant établi dans l'Union prouve que le membre du groupe situé hors de l'Union n'est pas responsable du fait qui a causé le dommage. Cette disposition renforce considérablement la protection des personnes concernées en garantissant l'existence d'un débiteur solvable et accessible dans l'Union européenne.
Mécanismes de contrôle et de vérification
Le paragraphe 2, point j) de l'article 47 impose que les BCR prévoient des mécanismes de vérification du respect des règles au sein du groupe, comprenant des audits sur la protection des données et des méthodes permettant de garantir des mesures correctives visant à protéger les droits des personnes concernées. Les résultats de ces vérifications doivent être communiqués au délégué à la protection des données ou à la personne chargée de contrôler le respect des BCR, au conseil d'administration du responsable du traitement ou du sous-traitant établi dans l'Union et mis à la disposition de l'autorité de contrôle compétente sur demande.
Ces mécanismes de contrôle garantissent l'effectivité des BCR et permettent à l'autorité de contrôle de vérifier que les engagements souscrits sont respectés en pratique. Ils constituent un élément essentiel de la responsabilisation (accountability) du groupe d'entreprises et de la confiance des personnes concernées dans les pratiques de traitement des données au sein du groupe.
Articulation avec les autres dispositions du RGPD
L'article 47 s'inscrit dans le cadre général du chapitre V du RGPD et s'articule avec l'article 44, qui pose le principe général de continuité de la protection, l'article 45, qui prévoit les transferts fondés sur une décision d'adéquation, l'article 46, qui énumère les différents types de garanties appropriées pour les transferts internationaux de données, et l'article 49, qui prévoit des dérogations exceptionnelles pour des situations particulières.
Les BCR constituent l'une des garanties appropriées prévues à l'article 46, paragraphe 2, point b) du RGPD. Elles s'articulent également avec les obligations de responsabilisation (accountability) prévues à l'article 24, les obligations de sécurité prévues à l'article 32, les obligations de coopération avec les autorités de contrôle prévues aux articles 55 et suivants et les obligations d'information des personnes concernées prévues aux articles 13 et 14 du RGPD.
Jurisprudence relative à l'article 47
À ce jour, peu de décisions jurisprudentielles portent spécifiquement sur l'article 47 et les règles d'entreprise contraignantes, en raison de leur caractère récent et de la complexité de la procédure d'approbation. Néanmoins, l'arrêt Schrems II de la Cour de justice de l'Union européenne (C-311/18 du 16 juillet 2020) a des implications importantes pour les BCR, en rappelant que les garanties appropriées doivent offrir en pratique une protection effective compte tenu de la législation et des pratiques du pays de destination.
Cette jurisprudence impose aux groupes d'entreprises disposant de BCR de vérifier que les entités situées dans des pays tiers ne sont pas soumises à des législations ou pratiques permettant l'accès massif et généralisé des autorités publiques aux données transférées, et de mettre en œuvre des mesures techniques et organisationnelles supplémentaires si nécessaire pour garantir un niveau de protection essentiellement équivalent à celui du RGPD.
Recommandations de la CNIL et du CEPD
Le Comité européen de la protection des données (CEPD) a adopté les lignes directrices 1/2019 relatives aux critères de l'établissement principal d'un responsable du traitement ou d'un sous-traitant et à la désignation d'une autorité de contrôle chef de file, précisant les conditions de détermination de l'autorité chef de file compétente pour l'approbation des BCR. Le CEPD a également adopté un référentiel (template) pour les BCR, facilitant l'élaboration des BCR par les groupes d'entreprises et l'examen par les autorités de contrôle.
La CNIL française recommande aux groupes d'entreprises souhaitant mettre en place des BCR de consulter l'autorité chef de file en amont de l'élaboration des BCR, afin d'identifier rapidement les éventuelles difficultés et de garantir la conformité du projet avec les exigences de l'article 47. Elle encourage également les groupes d'entreprises à s'appuyer sur les référentiels et lignes directrices du CEPD pour faciliter l'élaboration et l'approbation de leurs BCR.
Implications pratiques pour les groupes d'entreprises
Pour les groupes d'entreprises multinationaux, les règles d'entreprise contraignantes constituent un instrument de transfert particulièrement adapté aux transferts fréquents et structurels de données personnelles entre leurs différentes entités. Elles permettent de simplifier considérablement la gestion des transferts en définissant une politique interne unique de protection des données, applicable à toutes les entités du groupe.
La mise en place de BCR nécessite toutefois un investissement important en termes de temps, de ressources et d'expertise juridique. La procédure d'approbation est longue et complexe, nécessitant généralement plusieurs mois voire plusieurs années. Les groupes d'entreprises doivent également mettre en place des mécanismes de contrôle, de vérification et de formation pour garantir le respect effectif des BCR au sein du groupe.
L'article 47 du RGPD définit les règles d'entreprise contraignantes (BCR), instrument de transfert spécifiquement adapté aux groupes d'entreprises multinationaux réalisant des transferts fréquents et structurels de données personnelles entre leurs différentes entités. Les BCR doivent être juridiquement contraignantes, conférer aux personnes concernées des droits opposables et satisfaire aux treize exigences minimales énumérées à l'article 47, notamment en matière de responsabilité, de recours effectifs, de mécanismes de contrôle et de coopération avec les autorités de contrôle. Approuvées par les autorités de contrôle conformément au mécanisme de contrôle de la cohérence, les BCR permettent de simplifier la gestion des transferts au sein du groupe tout en garantissant un niveau de protection essentiellement équivalent à celui du RGPD.