Le texte de l’article 47 – Règles d’entreprise contraignantes
”L’autorité de contrôle compétente approuve des règles d’entreprise contraignantes conformément au mécanisme de contrôle de la cohérence prévu à l’article 63, à condition que: a) ces règles soient juridiquement contraignantes, et soient mises en application par toutes les entités concernées du groupe d’entreprises ou du groupe d’entreprises engagées dans une activité économique conjointe, y compris leurs employés; b) elles confèrent expressément aux personnes concernées des droits opposables en ce qui concerne le traitement de leurs données à caractère personnel; et c) elles répondent aux exigences prévues au paragraphe 2. Les règles d’entreprise contraignantes visées au paragraphe 1 ”
article 47
L’analyse de l’article – Règles d’entreprise contraignantes
Faisant partie des articles qui composent la RGPD, les règles contraignantes sont comprises dans le chapitre du transfert de données à caractère personnel. Par définition, ces règles désignent la politique concentrée sur la protection de données intra-entreprise durant leur transfert à travers les pays tiers ou bien au niveau des organisations internationales.
La mise en place des règles d’entreprise contraignantes
En général, les règles ne peuvent être approuvées par l’autorité de contrôle compétente qu’en suivant certaines conditions. Dans un premier temps, les règles doivent être contraignantes de façon juridique et appliquer par l’ensemble des entreprises concernées, que ce soit un groupe d’entreprises ou des entités engagées à travers une activité économique, sans oublier leurs salariés. Ensuite, les règles procurent aux personnes concernées un certain droit opposable pour la politique de traitement de leurs données personnelles.
La condition la plus importante à respecter, c’est que les règles doivent répondre aux exigences imposées par le deuxième paragraphe. Pour que les règles contraignantes soient applicables, elles doivent préciser les informations suivantes :
- les coordonnées et la structure du groupe d’entreprises, y compris celui qui est engagé à partir d’une activité économique conjointe ;
- le transfert de données à effectuer et les catégories d’informations à caractère personnel, les personnes concernées, le nom des pays destinataires, le type de traitement adopté ainsi que les finalités ;
- la nature contraignante des règles, aussi bien pour l’interne que l’externe.
L’implantation d’une politique globale de gouvernance
Les règles d’entreprise contraignantes agissent comme une garantie qui assure la base de transfert de données à l’échelle internationale pour les grands groupes en respectant la RGPD. Ces règles comprennent donc l’application des principes généraux sur la protection des données telle que la réduction des informations, de la finalité ainsi que le temps de conservation des données. Parmi les principes généraux, il y a également le point à étudier concernant la qualité des données, leur protection dès le processus de conception, la base juridique utilisée pour le traitement, les mesures de sécurité pour les données et les exigences au sujet des transferts ultérieurs à travers les organismes non touchés par les règles contraignantes.
Le paragraphe 2 de l’article 47 énonce par la suite les droits offerts aux personnes concernées par les règles. Cette partie vise à informer ces personnes sur le traitement et les techniques pour exercer leurs droits tout en gardant la conformité selon l’article 22.
L’article 47 du RGPD informe le responsable du traitement ou bien le sous-traitant de l’acceptation de leur engagement contre toute violation des règles d’entreprise contraignantes faite par les entités non établie dans l’Union européenne. Il existe aussi quelques mécanismes instaurés au niveau du groupe d’entreprises afin d’obtenir une garantie pour le contrôle du respect des règles.
