Les règles d'entreprises contraignantes sont un outil juridique prévu par l'article 47 du RGPD permettant de transférer des données personnelles hors de l'Espace Economique Européen (EEE) entre responsables de traitement ou sous-traitants au sein d'un même groupe d'entreprises ou de sociétés.
Les règles d’entreprises contraignantes s'adressent aux groupes d'entreprises ou de sociétés implantés dans un ou plusieurs pays de l’Union Européenne ou de l'EEE ainsi qu'en dehors de l'EEE et qui transfèrent régulièrement entre elles des données personnelles hors de l’Union Européenne ou de l'EEE.
Il existe deux types de règles d'entreprises contraignantes :
les règles d'entreprises « responsable de traitement » : elles permettent d’encadrer les transferts de données personnelles de responsables de traitement établis dans l’Union Européenne à d’autres responsables de traitement ou à des sous-traitants établis hors de l’Union Européenne au sein du même groupe ;
les règles d'entreprises en qualité de « sous-traitant » : elles permettent de sécuriser les transferts effectués entre les différentes entreprises ou sociétés du groupe (sous-traitantes ou responsables de traitement) hors de l'Espace Economique Européen lorsque le groupe agit en tant que sous-traitant.