Les règles d’entreprise contraignantes (REC) ont été introduites comme outil de transfert de données par l’article 47 du Règlement général sur la protection des données. Elles représentent des politiques basées sur les normes européennes de protection des données, sont élaborées par les entreprises multinationales afin d’assurer des mesures adéquates quant au transfert de données entre les entreprises, au sein du groupe, et doivent inclure tous les principes fondamentaux de protection des données et les droits applicables, ainsi qu’être juridiquement contraignantes et acceptées par l’ensemble des entités au sein du groupe.
Les principales informations que les REC sont censées contenir sont les suivantes :
– la structure et les coordonnées du groupe d’entreprises ou du groupe d’entreprises engagées dans une activité économique conjointe et de chacune de leurs entités ;
– les transferts ou l’ensemble des transferts de données, y compris les catégories de données à caractère personnel, le type de traitement et ses finalités, le type de personnes concernées affectées et le nom du ou des pays tiers en question ;
– leur nature juridiquement contraignante, tant interne qu’externe ;
– l’application des principes généraux relatifs à la protection des données ; les droits des personnes concernées à l’égard du traitement et les moyens d’exercer ces droits ;
– l’acceptation, par le responsable du traitement ou le sous-traitant établi sur le territoire d’un Etat membre, de l’engagement de sa responsabilité pour toute violation des règles d’entreprise contraignantes par toute entité du groupe concerné, non établie dans l’Union ;
– la manière dont les informations sur les règles d’entreprise contraignantes sont fournies aux personnes concernées, en sus des informations visées aux articles 13 et 14 du RGDP ;
– les missions de tout délégué à la protection des données ou de toute autre personne ou entité chargée de la surveillance du respect des règles d’entreprise contraignantes au sein du groupe d’entreprises ou du groupe d’entreprises engagées dans une activité économique conjointe, ainsi que le suivi de la formation et le traitement des réclamations ;
– les procédures de réclamation ;
– les mécanismes mis en place au sein du groupe d’entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe pour garantir le contrôle du respect des règles d’entreprise contraignantes ;
– les mécanismes mis en place pour communiquer et consigner les modifications apportées aux règles et pour communiquer ces modifications à l’autorité de contrôle ;
– le mécanisme de coopération avec l’autorité de contrôle mis en place pour assurer le respect des règles par toutes les entités du groupe d’entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe ;
– les mécanismes permettant de communiquer à l’autorité de contrôle compétente toutes les obligations juridiques auxquelles une entité du groupe d’entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe, est soumise dans un pays tiers, qui sont susceptibles d’avoir un effet négatif important sur les garanties fournies par les règles d’entreprise contraignantes ;
– la formation appropriée en matière de protection des données pour le personnel ayant un accès permanent ou régulier aux données à caractère personnel.
Les entreprises transmettent les règles pour approbation aux autorités nationales chargées de la protection des données des pays vers lesquels le transfert est effectué. Pour faciliter ce processus, le mécanisme de contrôle de la cohérence, prévu par l’article 63 du RGPD, est appliqué. L’objectif principal est de permettre aux entreprises de suivre le processus de demande d’autorisation en passant par une autorité de protection des données d’un des Etats membres (autorité principale de coordination), qui coordonne la documentation transmise avec les autorités concernées de protection des données et assure la coordination de l’ensemble du processus. Dès que l’ensemble des autorités concernées évaluent les documents et soumettent leurs commentaires, l’autorité principale envoie son projet de décision au Comité européen de la protection des données (CoEPD), qui émet un avis sur la base de la documentation communiquée. Une fois la procédure terminée (après avis du CoEPD et actions ultérieures concernant les REC), l’autorité compétente approuve les règles.
Les approbations antérieures des REC, effectuées en vertu de la Directive 95/46/CE, restent valables jusqu’à ce que les autorités de contrôle compétentes ne décident qu’elles doivent être modifiées, remplacées ou révoquées.
Le CoEPD a approuvé les documents de travail et recommandations suivants, qui décrivent la procédure d’approbation et fournissent des orientations sur la structure et les exigences liées aux règles d’entreprise contraignantes :
