[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"$f5-41VxYLv7ZH8kM2dp8C04svHbOy7NLYn-KZgqUTEbM":3},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":7,"wordCount":8,"readTime":9,"title":10,"nbDownloads":11,"excerpt":7,"lang":12,"url":13,"intro":14,"featured":4,"state":15,"author":16,"authorId":17,"datePublication":21,"dateCreation":22,"dateUpdate":23,"mainCategory":24,"categories":39,"metaDatas":66,"imageUrl":67,"imageThumbUrls":68,"id":76},false,"Le Règlement Général sur la Protection des données prévoit expressément l'utilisation de **règles d'entreprise contraignantes** (BCR) par un groupe d'entreprises ou un groupe d'entreprises exerçant une activité économique commune **pour les transferts de données à caractère personnel au sens de l'article 44 du RGPD**. \r\n\r\n## Qu'est-ce que les règles d'entreprise contraignantes ?\r\n\r\nLes règles d'entreprises contraignantes, ou BCR, sont un mécanisme utilisé par un groupe d'entreprises ou sociétés, engagées dans une activité commune, pour t**ransférer des données personnelles en dehors de l'Espace économique européen à des responsables de traitement ou sous-traitants internes, au sein du même groupe**. \r\n\r\nEffectivement, le champ d'application du RGPD est l’Union européenne ; celui-ci protège également les personnes concernées dans l'Union Européenne si elles sont, par exemple, clientes d’entreprises situées à l’étranger. \r\n\r\nToutefois, il se peut que des entités d'un même groupe soit situées dans des pays différents. \r\nDans ces cas là, il est possible que **certaines de ces entités soient situées dans des pays où le RGPD ne s'applique pas**.\r\n\r\nAinsi, pour qu'il puisse y avoir un **transfert** de données personnelles entre ces différentes entités, le **groupe doit garantir un niveau de protection des données de toutes ses sociétés ou entreprises**.\r\n\r\nCe **niveau de protection des données doit être équivalent au RGPD**. \r\n\r\n## Les recommandations actualisées du CEPD au sujet des règles d'entreprise contraignantes \r\n\r\nLe [Le Comité européen de la protection des données](https://www.dastra.eu/fr/article/le-comite-europeen-de-la-protection-des-donnees/52523) a récemment **actualisé son référentiel concernant les règles d'entreprise contraignante.** \r\n\r\nLes recommandations « constituent **une mise à jour du référentiel BCR-C existant** qui contient les critères d'approbation et les fusionnent avec le formulaire », explique la [Cnil](https://www.dastra.eu/fr/category/cnil/9).\r\n\r\nCes actualisations ont permis de :\r\n- **consigner les interprétations communes dégagées** par les autorités de protection des données le cadre des procédures d'approbation de BCR depuis l'entrée en vigueur du RGPD\r\n- **clarifier les exigences de ce référentiel**\r\n- fournir des **orientations supplémentaires** \r\n- favoriser la **compréhension** des **attentes des autorités** par l'ensemble des entreprises candidates\r\n\r\nLe référentiel actualisé fait également la **distinction** entre :\r\n- ce qui doit être **contenu dans le dossier présenté à l'autorité** de protection des données en charge de l'instruction \r\n- de ce qui doit **figurer dans le corps des règles d'entreprise contraignantes**\r\n\r\nEnfin, les recommandations **intègrent les exigences de l'arrêt Schrems II** de la Cour de justice de l'Union européenne (CJUE).\r\nEffectivement, ce nouveau référentiel prévoit que les entités adhérentes aux BCR s'engagent à ne transférer des données qu'après avoir procédé à une **analyse de la législation du pays tiers de destination**. \r\n\r\nEn toute hypothèse, les BCR devront également reprendre les **mêmes obligations que [celles déclinées dans les clauses contractuelles types](https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=fr)** avec entre autres : \r\n- la veille juridique, \r\n- les mesures additionnelles si nécessaire, \r\n- la mise à disposition des autorités de la documentation et, \r\n- la gestion des demandes d’accès par des autorités de pays tiers.\r\n\r\nLa CNIL met à disposition un outil de visualisation permettant l’identification des modifications apportées.","\u003Cp>Le Règlement Général sur la Protection des données prévoit expressément l'utilisation de \u003Cstrong>règles d'entreprise contraignantes\u003C/strong> (BCR) par un groupe d'entreprises ou un groupe d'entreprises exerçant une activité économique commune \u003Cstrong>pour les transferts de données à caractère personnel au sens de l'article 44 du RGPD\u003C/strong>.\u003C/p>\n\u003Ch2 id=\"quest-ce-que-les-regles-dentreprise-contraignantes\">Qu'est-ce que les règles d'entreprise contraignantes ?\u003C/h2>\n\u003Cp>Les règles d'entreprises contraignantes, ou BCR, sont un mécanisme utilisé par un groupe d'entreprises ou sociétés, engagées dans une activité commune, pour t\u003Cstrong>ransférer des données personnelles en dehors de l'Espace économique européen à des responsables de traitement ou sous-traitants internes, au sein du même groupe\u003C/strong>.\u003C/p>\n\u003Cp>Effectivement, le champ d'application du RGPD est l’Union européenne ; celui-ci protège également les personnes concernées dans l'Union Européenne si elles sont, par exemple, clientes d’entreprises situées à l’étranger.\u003C/p>\n\u003Cp>Toutefois, il se peut que des entités d'un même groupe soit situées dans des pays différents.\nDans ces cas là, il est possible que \u003Cstrong>certaines de ces entités soient situées dans des pays où le RGPD ne s'applique pas\u003C/strong>.\u003C/p>\n\u003Cp>Ainsi, pour qu'il puisse y avoir un \u003Cstrong>transfert\u003C/strong> de données personnelles entre ces différentes entités, le \u003Cstrong>groupe doit garantir un niveau de protection des données de toutes ses sociétés ou entreprises\u003C/strong>.\u003C/p>\n\u003Cp>Ce \u003Cstrong>niveau de protection des données doit être équivalent au RGPD\u003C/strong>.\u003C/p>\n\u003Ch2 id=\"les-recommandations-actualisees-du-cepd-au-sujet-des-regles-dentreprise-contraignantes\">Les recommandations actualisées du CEPD au sujet des règles d'entreprise contraignantes\u003C/h2>\n\u003Cp>Le \u003Ca href=\"https://www.dastra.eu/fr/article/le-comite-europeen-de-la-protection-des-donnees/52523\">Le Comité européen de la protection des données\u003C/a> a récemment \u003Cstrong>actualisé son référentiel concernant les règles d'entreprise contraignante.\u003C/strong>\u003C/p>\n\u003Cp>Les recommandations « constituent \u003Cstrong>une mise à jour du référentiel BCR-C existant\u003C/strong> qui contient les critères d'approbation et les fusionnent avec le formulaire », explique la \u003Ca href=\"https://www.dastra.eu/fr/category/cnil/9\">Cnil\u003C/a>.\u003C/p>\n\u003Cp>Ces actualisations ont permis de :\u003C/p>\n\u003Cul>\n\u003Cli>\u003Cstrong>consigner les interprétations communes dégagées\u003C/strong> par les autorités de protection des données le cadre des procédures d'approbation de BCR depuis l'entrée en vigueur du RGPD\u003C/li>\n\u003Cli>\u003Cstrong>clarifier les exigences de ce référentiel\u003C/strong>\u003C/li>\n\u003Cli>fournir des \u003Cstrong>orientations supplémentaires\u003C/strong>\u003C/li>\n\u003Cli>favoriser la \u003Cstrong>compréhension\u003C/strong> des \u003Cstrong>attentes des autorités\u003C/strong> par l'ensemble des entreprises candidates\u003C/li>\n\u003C/ul>\n\u003Cp>Le référentiel actualisé fait également la \u003Cstrong>distinction\u003C/strong> entre :\u003C/p>\n\u003Cul>\n\u003Cli>ce qui doit être \u003Cstrong>contenu dans le dossier présenté à l'autorité\u003C/strong> de protection des données en charge de l'instruction\u003C/li>\n\u003Cli>de ce qui doit \u003Cstrong>figurer dans le corps des règles d'entreprise contraignantes\u003C/strong>\u003C/li>\n\u003C/ul>\n\u003Cp>Enfin, les recommandations \u003Cstrong>intègrent les exigences de l'arrêt Schrems II\u003C/strong> de la Cour de justice de l'Union européenne (CJUE).\nEffectivement, ce nouveau référentiel prévoit que les entités adhérentes aux BCR s'engagent à ne transférer des données qu'après avoir procédé à une \u003Cstrong>analyse de la législation du pays tiers de destination\u003C/strong>.\u003C/p>\n\u003Cp>En toute hypothèse, les BCR devront également reprendre les \u003Cstrong>mêmes obligations que \u003Ca href=\"https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=fr\" rel=\"nofollow\">celles déclinées dans les clauses contractuelles types\u003C/a>\u003C/strong> avec entre autres :\u003C/p>\n\u003Cul>\n\u003Cli>la veille juridique,\u003C/li>\n\u003Cli>les mesures additionnelles si nécessaire,\u003C/li>\n\u003Cli>la mise à disposition des autorités de la documentation et,\u003C/li>\n\u003Cli>la gestion des demandes d’accès par des autorités de pays tiers.\u003C/li>\n\u003C/ul>\n\u003Cp>La CNIL met à disposition un outil de visualisation permettant l’identification des modifications apportées.\u003C/p>\n",null,540,3,"Nouvelles recommandations en matière de règles d’entreprise contraignantes",0,"fr","recommandations-en-matiere-de-regles-dentreprise-contraignantes","Le 14 novembre 2022, le Comité européen de la protection des données (CEPD) a adopté une version actualisée de ses recommandations en matière de règles d’entreprise contraignantes « responsable de traitement » (BCR-C).","Published",{"id":17,"displayName":18,"avatarUrl":19,"bio":7,"blogUrl":7,"color":7,"userId":17,"creationDate":20},654,"Estelle Penin","https://static.dastra.eu/tenant-3/avatar/654/microsoftteams-image-3-modifie-150.png","2022-06-20T10:17:59","2023-03-31T15:59:00","2023-03-31T15:59:08.7888377","2026-04-20T12:16:29.5264207",{"id":25,"name":26,"description":27,"url":28,"color":29,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":30},2,"Blog","A list of curated articles provided by the community","blog","#28449a",[31,33,36],{"lang":12,"name":26,"description":32},"Une liste d'articles rédigés par la communauté",{"lang":34,"name":26,"description":35},"es","Una lista de artículos escritos por la comunidad",{"lang":37,"name":26,"description":38},"de","Eine Liste von Artikeln, die von der Community verfasst wurden",[40,45],{"id":25,"name":26,"description":27,"url":28,"color":29,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":41},[42,43,44],{"lang":12,"name":26,"description":32},{"lang":34,"name":26,"description":35},{"lang":37,"name":26,"description":38},{"id":46,"name":47,"description":48,"url":49,"color":50,"parentId":25,"count":7,"imageUrl":7,"parent":51,"order":56,"translations":57},69,"Expertise","Gain insights from our experts on GDPR compliance, data protection, and privacy challenges. In-depth articles, professional analysis, and real-world best practices.","indepth","#000000",{"id":25,"name":26,"description":27,"url":28,"color":29,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":52},[53,54,55],{"lang":12,"name":26,"description":32},{"lang":34,"name":26,"description":35},{"lang":37,"name":26,"description":38},5,[58,60,63],{"lang":12,"name":47,"description":59},"Bénéficiez des conseils de nos experts sur la conformité RGPD, la protection des données et les enjeux privacy. Articles de fond, analyses et retours d’expérience métier.",{"lang":37,"name":61,"description":62},"Fachwissen","Entdecken Sie die Artikel unserer DSGVO-Experten",{"lang":34,"name":64,"description":65},"Experiencia","Descubre los artículos de nuestros expertos en Privacy",[],"https://static.dastra.eu/content/b5f7e166-8cf4-4ca3-a9a4-a1920f89dae8/copie-de-template-sanctions-1000.png",[69,70,71,72,73,74,75],"https://static.dastra.eu/content/b5f7e166-8cf4-4ca3-a9a4-a1920f89dae8/copie-de-template-sanctions-1000.webp","https://static.dastra.eu/content/b5f7e166-8cf4-4ca3-a9a4-a1920f89dae8/copie-de-template-sanctions.webp","https://static.dastra.eu/content/b5f7e166-8cf4-4ca3-a9a4-a1920f89dae8/copie-de-template-sanctions-1500.webp","https://static.dastra.eu/content/b5f7e166-8cf4-4ca3-a9a4-a1920f89dae8/copie-de-template-sanctions-800.webp","https://static.dastra.eu/content/b5f7e166-8cf4-4ca3-a9a4-a1920f89dae8/copie-de-template-sanctions-600.webp","https://static.dastra.eu/content/b5f7e166-8cf4-4ca3-a9a4-a1920f89dae8/copie-de-template-sanctions-300.webp","https://static.dastra.eu/content/b5f7e166-8cf4-4ca3-a9a4-a1920f89dae8/copie-de-template-sanctions-100.webp",53897]