Comment démontrer la conformité à l'article 47 du RGPD

Règles d'entreprise contraignantes

Demander demo

hommes,main,en tapant,sur,ordinateur,clavier,tout,en,travaillant,à partir de,la maison

Si un pays destinataire ne dispose pas de lois significatives sur la protection des données (voir article 45), RGPD Article 47 permet aux organisations d'adopter règles d'entreprise contraignantes, qui constituent une protection appropriée pour toutes les données à transférer.

Article 47 du RGPD Texte juridique

Version RGPD de l'UE

Règles d'entreprise contraignantes

  1. L'autorité de contrôle compétente approuve les règles d'entreprise contraignantes conformément au mécanisme de cohérence prévu à l'article 63, à condition qu'elles:

    • a) sont juridiquement contraignants, s'appliquent et sont appliqués par tous les membres concernés du groupe d'entreprises ou du groupe d'entreprises engagés dans une activité économique commune, y compris leurs salariés ;

    • (b) confèrent expressément des droits exécutoires aux personnes concernées concernant le traitement de leurs données personnelles ; et

    • c) remplir les exigences fixées au paragraphe 2.

  2. Les règles d'entreprise contraignantes visées au paragraphe 1 précisent au moins :

    • a) la structure et les coordonnées du groupe d'entreprises ou du groupe d'entreprises exerçant une activité économique commune et de chacun de ses membres;

    • (b) les transferts de données ou l'ensemble des transferts, y compris les catégories de données à caractère personnel, le type de traitement et ses finalités, le type de personnes concernées et l'identification du ou des pays tiers en question ;

    • (c) leur caractère juridiquement contraignant, tant en interne qu'en externe ;

    • (d) l'application des principes généraux de protection des données, en particulier la limitation de la finalité, la minimisation des données, les périodes de conservation limitées, la qualité des données, la protection des données dès la conception et par défaut, la base juridique du traitement, le traitement de catégories particulières de données à caractère personnel, les mesures visant à garantir la sécurité des données et les exigences en matière de transferts ultérieurs vers des organismes non liés par les règles d'entreprise contraignantes ;

    • (e) les droits des personnes concernées concernant le traitement et les moyens d'exercer ces droits, y compris le droit de ne pas faire l'objet de décisions fondées uniquement sur un traitement automatisé, y compris le profilage conformément à l'article 22, le droit de déposer une plainte auprès auprès de l'autorité de contrôle compétente et devant les juridictions compétentes des États membres conformément à l'article 79, et pour obtenir réparation et, le cas échéant, indemnisation en cas de violation des règles d'entreprise contraignantes ;

    • f) l'acceptation par le responsable du traitement ou le sous-traitant établi sur le territoire d'un État membre de sa responsabilité pour toute violation des règles d'entreprise contraignantes par tout membre concerné non établi dans l'Union; le responsable du traitement ou le sous-traitant n'est exonéré de cette responsabilité, en tout ou en partie, que s'il prouve qu'il n'est pas responsable du fait à l'origine du dommage ;

    • (g) la manière dont les informations sur les règles d'entreprise contraignantes, en particulier sur les dispositions visées aux points (d), (e) et (f) du présent paragraphe, sont fournies aux personnes concernées en plus des articles 13 et 14 ;

    • h) les tâches de tout délégué à la protection des données désigné conformément à l'article 37 ou de toute autre personne ou entité chargée de contrôler le respect des règles d'entreprise contraignantes au sein du groupe d'entreprises ou du groupe d'entreprises exerçant une activité économique commune, ainsi que le suivi de la formation et le traitement des plaintes ;

    • (i) les procédures de plainte ;

    • j) les mécanismes au sein du groupe d'entreprises ou du groupe d'entreprises exerçant une activité économique commune pour assurer la vérification du respect des règles d'entreprise contraignantes. Ces mécanismes comprennent des audits de protection des données et des méthodes permettant de garantir des actions correctives visant à protéger les droits de la personne concernée. Les résultats de cette vérification devraient être communiqués à la personne ou à l'entité visée au point h) et au conseil d'administration de l'entreprise contrôlant un groupe d'entreprises, ou du groupe d'entreprises engagées dans une activité économique commune, et devraient être disponibles sur demande auprès de l'autorité de contrôle compétente ;

    • (k) les mécanismes de déclaration et d'enregistrement des modifications apportées aux règles et de déclaration de ces modifications à l'autorité de contrôle ;

    • l) le mécanisme de coopération avec l'autorité de contrôle pour garantir le respect par tout membre du groupe d'entreprises ou du groupe d'entreprises exerçant une activité économique commune, notamment en mettant à la disposition de l'autorité de contrôle les résultats des vérifications des mesures visées au point (j);

    • m) les mécanismes permettant de signaler à l'autorité de contrôle compétente toute obligation légale à laquelle un membre du groupe d'entreprises ou un groupe d'entreprises exerçant une activité économique commune est soumis dans un pays tiers et qui est susceptible d'avoir un effet négatif important sur les garanties apportées par les règles d’entreprise contraignantes ; et

    • (n) la formation appropriée en matière de protection des données pour le personnel ayant un accès permanent ou régulier aux données à caractère personnel.

  3. La Commission peut préciser le format et les procédures d'échange d'informations entre les responsables du traitement, les sous-traitants et les autorités de contrôle pour les règles d'entreprise contraignantes au sens du présent article. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen prévue à l'article 93, paragraphe 2.

Version du RGPD au Royaume-Uni

Règles d'entreprise contraignantes

  1. Le commissaire approuve les règles d'entreprise contraignantes, à condition qu'elles :

    • a) sont juridiquement contraignants, s'appliquent et sont appliqués par tous les membres concernés du groupe d'entreprises ou du groupe d'entreprises engagés dans une activité économique commune, y compris leurs salariés ;
    • (b) confèrent expressément des droits exécutoires aux personnes concernées concernant le traitement de leurs données personnelles ; et

    • c) remplir les exigences fixées au paragraphe 2.

  2. Les règles d'entreprise contraignantes visées au paragraphe 1 précisent au moins :

    • a) la structure et les coordonnées du groupe d'entreprises ou du groupe d'entreprises exerçant une activité économique commune et de chacun de ses membres;

    • (b) les transferts de données ou l'ensemble des transferts, y compris les catégories de données à caractère personnel, le type de traitement et ses finalités, le type de personnes concernées et l'identification du ou des pays tiers en question ;

    • (c) leur caractère juridiquement contraignant, tant en interne qu'en externe ;

    • (d) l'application des principes généraux de protection des données, en particulier la limitation de la finalité, la minimisation des données, les périodes de conservation limitées, la qualité des données, la protection des données dès la conception et par défaut, la base juridique du traitement, le traitement de catégories particulières de données à caractère personnel, les mesures visant à garantir la sécurité des données et les exigences en matière de transferts ultérieurs vers des organismes non liés par les règles d'entreprise contraignantes ;

    • (e) les droits des personnes concernées concernant le traitement et les moyens d'exercer ces droits, y compris le droit de ne pas faire l'objet de décisions fondées uniquement sur un traitement automatisé, y compris le profilage conformément à l'article 22, auprès du commissaire et devant un tribunal de conformément à l’article 79 (voir article 180 de la loi de 2018), et d’obtenir réparation et, le cas échéant, compensation en cas de violation des règles d’entreprise contraignantes ;

    • (f) l'acceptation par le responsable du traitement ou le sous-traitant établi au Royaume-Uni de la responsabilité de toute violation des règles d'entreprise contraignantes par tout membre concerné non établi au Royaume-Uni ; le responsable du traitement ou le sous-traitant n'est exonéré de cette responsabilité, en tout ou en partie, que s'il prouve qu'il n'est pas responsable du fait à l'origine du dommage ;

    • (g) la manière dont les informations sur les règles d'entreprise contraignantes, en particulier sur les dispositions visées aux points (d), (e) et (f) du présent paragraphe, sont fournies aux personnes concernées en plus des articles 13 et 14 ;

    • h) les tâches de tout délégué à la protection des données désigné conformément à l'article 37 ou de toute autre personne ou entité chargée de contrôler le respect des règles d'entreprise contraignantes au sein du groupe d'entreprises ou du groupe d'entreprises exerçant une activité économique commune, ainsi que le suivi de la formation et le traitement des plaintes ;

    • (i) les procédures de plainte ;

    • j) les mécanismes au sein du groupe d'entreprises ou du groupe d'entreprises exerçant une activité économique commune pour assurer la vérification du respect des règles d'entreprise contraignantes. Ces mécanismes comprennent des audits de protection des données et des méthodes permettant de garantir des actions correctives visant à protéger les droits de la personne concernée. Les résultats de cette vérification devraient être communiqués à la personne ou à l'entité visée au point h) et au conseil d'administration de l'entreprise contrôlant un groupe d'entreprises, ou du groupe d'entreprises engagées dans une activité économique commune, et devraient être disponibles sur demande au commissaire;

    • k) les mécanismes permettant de signaler et d'enregistrer les modifications apportées aux règles et de signaler ces modifications au commissaire;

    • l) le mécanisme de coopération avec l'autorité de contrôle pour garantir le respect par tout membre du groupe d'entreprises ou du groupe d'entreprises exerçant une activité économique commune, notamment en mettant à la disposition du commissaire les résultats des vérifications des mesures visées au point (j);

    • m) les mécanismes permettant de signaler au commissaire toute obligation légale à laquelle un membre du groupe d'entreprises ou un groupe d'entreprises exerçant une activité économique commune est soumis dans un pays tiers et qui est susceptible d'avoir un effet négatif important sur l'activité économique commune. les garanties apportées par les règles d'entreprise contraignantes ; et

    • (n) la formation appropriée en matière de protection des données pour le personnel ayant un accès permanent ou régulier aux données à caractère personnel.
Aller au sujet
Simple. Sécurisé. Durable.

Découvrez notre plateforme en action avec une session pratique personnalisée en fonction de vos besoins et de vos objectifs.

Réservez votre démo
img

Commentaire technique

Les règles d’entreprise contraignantes doivent :

  • Être juridiquement exécutoire.

  • Contenir un ensemble d’instructions claires pour toutes les parties concernées, employés et partenaires.

  • Accordez aux personnes concernées des droits tangibles.

  • Contenir un minimum d’informations techniques, contractuelles et juridiques (également appelées « contenu minimum »).

  • Se soumettre à une procédure d'approbation qui ratifie l'accord aux yeux de l'autorité compétente en matière de protection des données.

Clause 27701 de la norme ISO 7.5.1 (Identifier la base du transfert de données personnelles entre juridictions) et article 47 du RGPD de l'UE

Dans cette section, nous parlons des articles 47 (1)(a), 47 (1)(b), 47 (1)(c), 47 (2)(a), 47 (2)(b), 47 ( 2)(c), 47 (2)(d), 47 (2)(e), 47 (2)(f), 47 (2)(g), 47 (2)(h), 47 (2) (i), 47 (2)(j), 47 (2)(k), 47 (2)(l), 47 (2)(m), 47 (2)(n) et 47 (3)

De temps en temps, il peut être nécessaire de transférer des informations personnelles entre deux juridictions distinctes. Lorsque cela se produit, les organisations doivent justifier et documenter la nécessité de le faire.

Les règles réglementaires et juridiques régionales varient en fonction de l'origine des données et de l'endroit où elles seront transférées.

Les organisations doivent prendre en compte toutes les lois, cadres et réglementations pertinents chaque fois qu'elles ont besoin de transférer des données entre juridictions, y compris le recours à une autorité de contrôle désignée.

Index des articles liés au RGPD de l'UE et aux clauses ISO 27701

Article RGPDArticle ISO 27701Clauses complémentaires ISO 27701
RGPD de l’UE, articles 47 (1)(a) à 47 (3)ISO 27701 7.5.1Aucun

Comment l'aide d'ISMS.online

Avec ISMS.online, il vous est facile de vous lancer directement dans la démarche de conformité au RGPD et de démontrer facilement un niveau de protection qui va au-delà du « raisonnable », le tout dans un emplacement sécurisé et toujours disponible auquel vous pouvez accéder de n'importe où.

Si, à tout moment de votre parcours vers le RGPD, pour quelque raison que ce soit, vous ressentez un manque de confiance, de capacité ou de volonté d'agir, nous pouvons mettre notre équipe d'experts internes à votre disposition ou recommander l'un de nos partenaires de confiance pour vous aider. vous dans la réalisation de vos objectifs.

En savoir plus par planifier une démo.

Cela nous aide à adopter un comportement positif qui fonctionne pour nous.
& notre culture.

Emmie Cooney
Directeur des opérations, Amigo

Réservez votre démo

Approuvé par les entreprises du monde entier
  • Simple et facile à utiliser
  • Conçu pour le succès de la norme ISO 27001
  • Vous fait gagner du temps et de l'argent
Réservez votre démo
img

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage