Article 47 RGPD : les règles d'entreprise contraignantes

L’article 47 du RGPD est l’instrument intra-groupe par excellence. Quand un groupe multinational opère des transferts massifs et continus entre filiales — DRH centralisée à Paris, R&D à Bangalore, support client à Manille, hébergement cloud aux États-Unis —, signer une CCT par flux et par filiale devient ingérable. Les règles d’entreprise contraignantes (Binding Corporate Rules ou BCR) répondent à ce besoin opérationnel : une politique unique, approuvée par l’autorité chef de file après avis du CEPD, opposable à toutes les entités du groupe. C’est puissant, c’est lourd à instruire — 18 à 36 mois — et c’est encadré par 14 éléments obligatoires que je vais détailler. Voici le décryptage paragraphe par paragraphe de l’Art. 47, tel que je l’utilise en mission depuis l’entrée en application du RGPD.

Ce que dit l’article 47 du RGPD

L’Art. 47 s’intitule « Règles d’entreprise contraignantes ». Il s’inscrit dans le chapitre V du RGPD (Art. 44 à 50) consacré aux transferts vers des pays tiers. Il succède directement à l’Art. 46 qui en pose le principe (Art. 46(2)(b)) et précise le contenu obligatoire des BCR. Il compte trois paragraphes :

• l’autorisation par l’autorité de contrôle compétente selon le mécanisme de cohérence de l’Art. 63, sous trois conditions cumulatives (Art. 47(1)) ;
• les quatorze éléments obligatoires que doivent comporter les BCR (Art. 47(2)(a) à (n)) ;
• la procédure d’examen par actes d’exécution de la Commission européenne (Art. 47(3)).

Les BCR ne sont pas un contrat, contrairement aux clauses contractuelles types : elles sont une politique d’entreprise transformée en instrument juridiquement contraignant par l’effet combiné d’engagements unilatéraux et d’accords intra-groupe. Cette nature hybride — partie contractuelle, partie institutionnelle — est précisément ce qui leur donne leur souplesse opérationnelle. La sanction du manquement relève du plafond haut de l’Art. 83(5)© : 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. Pour le panorama complet des mécanismes de transfert, voir mon guide transfert de données hors UE.

Art. 47(1) : les trois conditions cumulatives d’approbation

Le paragraphe 1 dispose que l’autorité de contrôle compétente approuve les BCR « conformément au mécanisme de contrôle de la cohérence prévu à l’article 63, à condition que ces règles » : (a) soient juridiquement contraignantes, (b) confèrent expressément aux personnes concernées des droits opposables, et © répondent aux exigences du paragraphe 2.

Première condition — le caractère juridiquement contraignant. Les BCR doivent obliger juridiquement chaque entité du groupe membre, qu’elle soit dans l’UE ou en pays tiers, ainsi que ses employés. Cette force obligatoire est généralement obtenue par une combinaison d’instruments : un accord intra-groupe signé par toutes les entités, une politique interne opposable aux salariés via le contrat de travail ou le règlement intérieur, et — pour les transferts hors groupe vers des prestataires — un mécanisme de propagation contractuelle. Dans mon expérience, c’est le maillon le plus souvent fragilisé : un groupe qui ajoute une filiale sans l’avoir formellement adhérée aux BCR crée un trou dans le dispositif que la CNIL identifiera immédiatement en contrôle.

Deuxième condition — l’opposabilité expresse des droits aux personnes concernées. Les BCR doivent conférer directement aux salariés, clients ou autres personnes concernées le droit d’agir contre l’entité importatrice, devant les juridictions de l’État membre d’origine ou de leur résidence habituelle. C’est le mécanisme dit du « third-party beneficiary right » : la personne concernée n’est pas partie aux BCR mais peut s’en prévaloir directement. Ce point est non négociable et il est systématiquement vérifié à l’instruction.

Troisième condition — la conformité aux exigences du paragraphe 2, c’est-à-dire les quatorze éléments obligatoires. C’est sur ce volet que se concentre 80 % du travail d’instruction. Le CEPD a publié deux documents de référence : le WP 256 rev.01 du 6 février 2018 pour les BCR-Controller et le WP 257 rev.01 du 6 février 2018 pour les BCR-Processor, complétés par les Recommandations 1/2022 du CEPD du 14 juin 2023 sur les transferts ultérieurs.

Art. 47(2) : les quatorze éléments obligatoires des BCR

Le paragraphe 2 énumère le contenu minimal des BCR. Ce n’est pas une liste indicative : c’est un cahier des charges dont l’absence d’un seul élément entraîne le rejet du dossier. Je les commente dans l’ordre du texte.

Art. 47(2)(a) — structure et coordonnées du groupe

Les BCR doivent identifier l’entreprise et chacun des membres du groupe. En pratique, on annexe un organigramme juridique détaillé (nom, forme sociale, siège, pays, lien capitalistique) et on prévoit une procédure de mise à jour automatique en cas d’acquisition ou de cession. Cette annexe est vivante : elle évolue plus vite que le corps des BCR.

Art. 47(2)(b) — transferts couverts

Les BCR doivent décrire les transferts ou catégories de transferts, les catégories de données à caractère personnel, le type de traitement et ses finalités, le type de personnes concernées affectées et le ou les pays tiers en question. C’est l’équivalent intra-groupe du registre des activités de traitement — et il doit être cohérent avec lui, sous peine d’incohérence relevée à l’instruction.

Art. 47(2)© — caractère juridiquement contraignant

Le texte exige que les BCR soient « juridiquement contraignantes, à l’interne comme à l’externe ». L’instrument retenu doit être documenté : accord intra-groupe (généralement signé par la holding et adhéré par chaque filiale), engagement unilatéral des entités (déclaration formalisée), articulation avec les contrats de travail et le règlement intérieur pour les salariés. Le CEPD attend une note juridique d’opposabilité par juridiction concernée, ce qui prend en pratique plusieurs mois de production.

Art. 47(2)(d) — application des principes de protection

Les BCR doivent garantir l’application des principes généraux relatifs à la protection des données : limitation de la finalité, minimisation, durée de conservation, qualité, sécurité. C’est la transposition de l’Art. 5 à l’échelle du groupe. Pratiquement, on construit un référentiel interne qui décline chaque principe en règles opérationnelles applicables à toutes les filiales.

Art. 47(2)(e) — droits des personnes concernées et voies de recours

Les BCR doivent décrire les droits des personnes concernées en matière de traitement et les moyens de les exercer, en lien avec les articles 12 à 22 du RGPD. Cela inclut notamment l’interdiction des décisions automatisées au sens de l’Art. 22 sans garanties spécifiques, la fourniture d’informations adéquates au sens des Art. 13 et 14, le droit de plainte auprès de l’autorité chef de file et le droit à un recours effectif, y compris au droit à indemnisation au sens de l’Art. 82.

Art. 47(2)(f) — responsabilité du membre établi dans l’UE

Disposition cardinale : un membre du groupe établi sur le territoire d’un État membre assume la responsabilité de toute violation des règles par tout membre concerné non établi dans l’UE. Sauf si cette entité prouve que la violation ne lui est pas imputable. C’est le mécanisme de la « liability in solidum » : la personne concernée peut agir contre l’entité européenne, qui se retournera ensuite contre l’entité fautive en pays tiers. Cette disposition est ce qui rend les BCR effectivement opposables — sans elle, l’opposabilité serait illusoire.

Art. 47(2)(g) — information des personnes concernées

Les BCR doivent prévoir l’information des personnes concernées sur les droits qu’elles tirent des BCR, en sus des informations dues au titre des Art. 13 et 14. En pratique, on intègre une clause spécifique BCR dans la mention d’information employeur, dans la politique de confidentialité externe et dans les documents contractuels client.

Art. 47(2)(h) — missions du DPO ou de tout autre responsable

Les BCR doivent décrire les missions de tout délégué à la protection des données désigné conformément à l’Art. 37, ou de toute autre personne ou entité chargée de la surveillance du respect des BCR au sein du groupe. La structure typique combine un Group DPO (souvent au siège) et des Local Privacy Officers dans les principales juridictions. Leur indépendance et leurs ressources doivent être documentées au sens de l’Art. 38, et leurs missions doivent être conformes à l’Art. 39.

Art. 47(2)(i) — procédures de plainte

Les BCR doivent prévoir des procédures de réclamation ouvertes aux personnes concernées. Ces procédures doivent être faciles d’accès, documentées et traitées dans des délais comparables à ceux de l’Art. 12 — un mois, prorogeable de deux mois. L’absence de canal de plainte structuré est l’un des défauts les plus fréquemment relevés à l’instruction du dossier BCR.

Art. 47(2)(j) — mécanismes de vérification de la conformité

Le groupe doit mettre en place des mécanismes internes de vérification : programme d’audit, contrôles inopinés, indicateurs de conformité, reporting. Le CEPD attend un plan d’audit pluriannuel documenté, avec un échantillonnage des entités du groupe et des résultats actionnables. Dans mes dossiers, je conseille un cycle triennal couvrant l’ensemble du périmètre, avec des audits ciblés annuels sur les flux à risque.

Art. 47(2)(k) — mécanismes de signalement et d’enregistrement des modifications

Les BCR doivent prévoir comment les modifications sont communiquées à l’autorité de contrôle. La règle est claire : toute modification matérielle (ajout d’une catégorie de transferts, changement de finalité, modification d’un droit) doit faire l’objet d’une notification préalable à l’autorité chef de file, qui peut nécessiter une réapprobation. Les modifications mineures (mise à jour de l’organigramme, adaptations rédactionnelles) sont consolidées dans un rapport annuel.

Art. 47(2)(l) — mécanisme de coopération avec l’autorité de contrôle

Les BCR doivent organiser la coopération avec l’autorité de contrôle, notamment l’engagement à mettre à disposition de cette autorité les résultats des vérifications mentionnées au point (j) ainsi qu’à respecter les avis qu’elle peut rendre sur toute question de protection des données. Cette obligation matérialise la dimension de supervision continue : les BCR ne sont pas un sésame définitif, c’est un dispositif vivant sous contrôle.

Art. 47(2)(m) — reporting des contraintes légales du pays tiers

Les BCR doivent prévoir le mécanisme de signalement à l’autorité de contrôle compétente de toute exigence juridique à laquelle un membre du groupe est soumis dans un pays tiers, qui serait susceptible d’avoir un effet négatif important sur les garanties prévues par les BCR. Cette clause est devenue centrale après l’arrêt CJUE C-311/18 Schrems II du 16 juillet 2020 : elle transforme les BCR en dispositif d’alerte sur les législations de surveillance étrangère (FISA Section 702, Executive Order 12333, lois locales équivalentes en Chine, en Russie, etc.).

Art. 47(2)(n) — formation appropriée du personnel

Les BCR doivent prévoir une formation appropriée au personnel ayant un accès permanent ou régulier aux données à caractère personnel. C’est le volet le plus négligé en pratique — et pourtant le plus simple à documenter : modules e-learning, sessions présentielles, fréquence (au minimum annuelle), traçabilité des taux de complétion. La CNIL vérifie ce volet en contrôle, comme en attestent les sanctions récentes pour défaut de formation des collaborateurs.

Art. 47(3) : la procédure d’examen par actes d’exécution

Le paragraphe 3 renvoie à la procédure d’examen prévue à l’Art. 93(2) pour permettre à la Commission de spécifier le format et les procédures d’échange d’informations entre responsables, sous-traitants et autorités de contrôle pour les BCR. Cette comitologie n’a pas, à ce jour, donné lieu à un acte d’exécution majeur — mais elle reste mobilisable pour homogénéiser le format des dossiers.

En pratique, c’est le CEPD qui structure la procédure par ses lignes directrices (WP 256 et 257 rev.01) et par son standard d’application form. Le mécanisme de cohérence de l’Art. 64 impose un avis du CEPD avant approbation par l’autorité chef de file, ce qui mobilise toutes les autorités de contrôle européennes intéressées. C’est ce qui explique les délais d’instruction : 18 à 36 mois, parfois davantage pour les groupes complexes.

Procédure d’instruction et coût opérationnel

Trois étapes structurent en pratique la procédure d’approbation. D’abord, le choix de l’autorité chef de file, qui repose sur les critères du WP 263 rev.01 du CEPD : siège du décideur principal au sein de l’UE, volume de traitement, présence opérationnelle. Pour la France, la CNIL est désignée chef de file pour de nombreux groupes français. Ensuite, le dépôt du dossier auprès de l’autorité chef de file : application form, projet de BCR, organigramme, notes juridiques, plan d’audit, modèle de mention d’information, procédure de plainte. Enfin, l’instruction collégiale via le mécanisme de cohérence de l’Art. 64 : examen par les autorités intéressées (où le groupe a une activité significative), questions, ajustements, vote au CEPD, décision finale de l’autorité chef de file.

Le coût d’un dossier BCR est rarement inférieur à 150 000 € en honoraires externes, et peut atteindre 500 000 € pour les groupes complexes. Le coût interne (mobilisation des équipes RH, IT, juridique, DPO Group) est souvent du même ordre. La durée moyenne observée sur les dossiers récents est de 24 à 30 mois entre le dépôt et l’approbation finale.

BCR vs CCT vs décision d’adéquation : quand les utiliser

Une question revient systématiquement en mission : faut-il monter un dossier BCR ou se contenter de CCT ? Je donne la même réponse depuis dix ans : tout dépend du volume et de la stabilité des flux intra-groupe.

Les CCT 2021/914 (Art. 46(2)©) sont l’outil le plus efficient pour les flux ponctuels, la sous-traitance hors groupe et les volumes limités. Elles se signent en quelques semaines, n’exigent pas d’autorisation préalable, et offrent une couverture juridique solide pour la majorité des situations. Leur défaut : chaque nouvelle entité, chaque nouvelle finalité, chaque modification structurelle exige une signature additionnelle ou un avenant — d’où une charge de gestion linéaire qui devient ingérable au-delà de 20 ou 30 entités.

Les BCR (Art. 46(2)(b) + Art. 47) offrent une flexibilité structurelle : une politique unique couvre tout le groupe, les transferts ultérieurs sont prévus, les nouvelles entités sont adhérées par addendum sans renégociation, les évolutions sont gérées par la procédure de modification de l’Art. 47(2)(k). En contrepartie, le ticket d’entrée est élevé : 18 à 36 mois et plusieurs centaines de milliers d’euros.

Les décisions d’adéquation au sens de l’Art. 45 restent l’option la plus simple — quand elles sont disponibles. Pour les flux vers le Royaume-Uni, le Japon, la Suisse, les transferts intra-groupe relèvent simplement de l’Art. 45 sans BCR ni CCT. Pour les États-Unis, le Data Privacy Framework couvre les filiales américaines auto-certifiées sur dpf.gov ; les filiales non certifiées restent sur Art. 46.

Ma règle pratique : moins de 30 entités, flux stables → CCT. Plus de 50 entités, flux dynamiques, présence multinationale forte → BCR. Entre les deux, on arbitre selon la trajectoire de croissance. Et systématiquement, dans la phase d’instruction des BCR, on continue d’utiliser les CCT comme filet de sécurité — ce qui permet de ne pas suspendre les flux pendant les 24 mois d’instruction.

Sanctions, jurisprudence et contrôle CNIL

L’Art. 47 ne fait pas l’objet de jurisprudence directe, mais son non-respect — c’est-à-dire le transfert intra-groupe sans BCR, sans CCT, et sans décision d’adéquation — relève du plafond haut de l’Art. 83(5)© : 20 millions d’euros ou 4 % du CA annuel mondial. Plusieurs décisions illustrent l’attention portée par les autorités à la cartographie des flux intra-groupe :

• la CNIL SAN-2024-001 Hubside du 4 avril 2024 (525 000 €) retient au titre des circonstances aggravantes une cartographie défaillante des sous-traitants ultérieurs — le même raisonnement s’applique aux flux intra-groupe non encadrés ;
• la mise en demeure CNIL Google Analytics du 10 février 2022 s’inscrit dans le contexte de Schrems II et illustre la mobilisation du plafond haut Art. 83(5)© ;
• les décisions homologues de la Datenschutzbehörde autrichienne (22 décembre 2021), du Garante italien (23 juin 2022) et du Datatilsynet danois (21 septembre 2022) confirment la coordination européenne via le guichet unique.

Sur le terrain, la CNIL contrôle aujourd’hui systématiquement la cohérence registre / BCR / contrats de sous-traitance : un transfert mentionné au registre sans fondement BCR ou CCT documenté est un manquement caractérisé. C’est exactement le type de cartographie que Legiscope automatise — la consolidation des flux, l’identification de l’instrument applicable et la production des notes d’évaluation associées.

Plan opérationnel pour mettre les BCR en place

Sur le terrain, je structure le projet BCR en six chantiers que je conseille à tous les groupes qui s’engagent dans la démarche.

Chantier 1 — décision stratégique. Avant tout dépôt, valider en comité de direction l’opportunité du projet : périmètre (controller / processor / mixte), arbitrage CCT versus BCR, budget, calendrier. Désigner un Group DPO ou un sponsor interne avec mandat formel.

Chantier 2 — cartographie exhaustive. Mettre à jour le registre des traitements à l’échelle du groupe : flux intra-groupe, finalités, catégories de personnes, durées, sous-traitance ultérieure. Cette base alimente l’annexe des transferts couverts (Art. 47(2)(b)).

Chantier 3 — rédaction du corpus. Rédiger les BCR (corps + annexes), l’accord intra-groupe, la politique interne, les modèles de mention d’information, la procédure de plainte, le plan d’audit. Tester la cohérence avec les Art. 5, 6, 12-22, 24, 25, 28, 30, 32, 33-34, 35-36, 37-39 du RGPD.

Chantier 4 — adhésion juridique. Faire signer l’accord intra-groupe par toutes les entités, mettre en place les engagements unilatéraux, articuler avec les contrats de travail et le règlement intérieur, intégrer les BCR aux contrats clients pertinents. Documenter par juridiction l’opposabilité (notes pays).

Chantier 5 — dépôt et instruction. Constituer le dossier d’application, déposer auprès de l’autorité chef de file, suivre l’instruction collégiale, répondre aux questions du CEPD et des autorités intéressées, ajuster le projet de BCR. Maintenir en parallèle les CCT existantes comme dispositif de repli.

Chantier 6 — déploiement et maintenance. Après approbation, déployer les BCR dans tout le groupe : formation des managers et collaborateurs (Art. 47(2)(n)), communication interne, mise à jour des documents contractuels et des mentions d’information, programmation du plan d’audit, processus de notification des modifications. Prévoir une revue annuelle complète avec rapport au sponsor exécutif.

Articulation avec les autres articles

L’Art. 47 ne s’applique jamais seul. Son écosystème normatif est dense :

• l’Art. 46(2)(b) — base juridique des BCR comme garantie appropriée ;
• l’Art. 5(2) et l’Art. 24 — l’accountability impose au responsable de prouver la conformité du dispositif BCR ;
• l’Art. 28 — articulation BCR-Processor avec le contrat de sous-traitance ;
• l’Art. 30 — les BCR doivent être cohérentes avec le registre des activités de traitement ;
• l’Art. 32 — les mesures techniques et organisationnelles imposées par les BCR sont aussi des mesures de sécurité ;
• l’Art. 35 — les flux intra-groupe à risque significatif doivent faire l’objet d’une AIPD ;
• les Art. 37 à 39 — gouvernance DPO Group / Local DPO ;
• l’Art. 49 — dérogations résiduelles, à n’utiliser qu’en complément exceptionnel ;
• l’Art. 64 — mécanisme de cohérence pour l’avis du CEPD ;
• l’Art. 83(5)© — plafond haut des sanctions.

Ce qu’il faut retenir

• L’Art. 47 RGPD organise les règles d’entreprise contraignantes (BCR), instrument intra-groupe permettant à un groupe multinational d’encadrer ses transferts par une politique unique opposable à toutes ses entités, en lieu et place des CCT signées flux par flux.
• Les BCR doivent satisfaire trois conditions cumulatives (Art. 47(1)) : être juridiquement contraignantes, conférer expressément des droits opposables aux personnes concernées, et inclure les quatorze éléments obligatoires de l’Art. 47(2)(a) à (n).
• L’approbation passe par le mécanisme de cohérence de l’Art. 64 : avis du CEPD, décision de l’autorité chef de file. Procédure typique : 18 à 36 mois, coût 150 000 € à 500 000 €.
• Les BCR sont un investissement : ticket d’entrée élevé, mais flexibilité opérationnelle (transferts ultérieurs, nouvelles entités, mises à jour) qui justifie le projet pour les groupes de plus de 50 entités ou aux flux intra-groupe dynamiques.
• Le manquement aux exigences de l’Art. 47 relève du plafond haut de l’Art. 83(5)© : 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, et la CNIL contrôle systématiquement la cohérence registre / BCR / sous-traitance.

FAQ

Quelle différence entre BCR-Controller et BCR-Processor ?

Les BCR-Controller s’appliquent aux transferts intra-groupe en qualité de responsable de traitement (typiquement les flux RH ou clients d’un groupe multinational). Les BCR-Processor s’appliquent aux transferts intra-groupe en qualité de sous-traitant (typiquement un éditeur SaaS européen avec des filiales hors UE qui réalisent une partie de la prestation). Les deux régimes sont encadrés par les WP 256 rev.01 et WP 257 rev.01 du CEPD du 6 février 2018 et exigent les quatorze éléments de l’Art. 47(2). Un groupe peut déposer les deux pour couvrir l’ensemble de ses positions.

Combien de temps faut-il pour faire approuver des BCR ?

En pratique, 18 à 36 mois entre le dépôt initial et l’approbation finale par l’autorité chef de file. La durée dépend de la complexité du groupe (nombre d’entités, juridictions concernées), de la qualité du dossier initial, et du volume des questions du CEPD et des autorités intéressées via le mécanisme de cohérence de l’Art. 64. Pendant cette période, les flux doivent rester couverts par les CCT 2021/914 comme dispositif de repli — sans quoi le groupe se met en infraction.

Les BCR couvrent-elles aussi les transferts hors groupe ?

Non. Les BCR ne couvrent que les transferts entre entités du groupe adhérentes. Pour les transferts vers des sous-traitants externes hors groupe (éditeur SaaS, prestataire cloud), le groupe doit recourir aux CCT 2021/914 ou à un autre instrument de l’Art. 46. En revanche, les BCR-Processor couvrent les transferts intra-groupe d’un sous-traitant qui exécute la prestation pour ses clients — c’est leur intérêt principal pour les éditeurs SaaS multinationaux.

Faut-il refaire un Transfer Impact Assessment quand on a des BCR ?

Oui. L’arrêt CJUE C-311/18 Schrems II du 16 juillet 2020 s’applique à tous les instruments de l’Art. 46, BCR comprises. Le groupe doit donc évaluer, par juridiction d’importation, si la législation locale ne prive pas les BCR de leur effet utile (notamment au regard des pouvoirs d’accès des autorités publiques étrangères). Cette obligation est aujourd’hui formalisée par la clause Art. 47(2)(m) de signalement des contraintes légales du pays tiers et par les Recommandations 01/2020 du CEPD du 18 juin 2021. Les groupes ayant des entités aux États-Unis, en Chine, en Russie ou dans d’autres juridictions à régime de surveillance fort doivent documenter des mesures supplémentaires (chiffrement avec clé conservée en UE, pseudonymisation, contrôles d’accès renforcés).

Que se passe-t-il si une nouvelle filiale rejoint le groupe après l’approbation ?

Deux situations. Si la filiale opère dans une juridiction déjà couverte par les BCR et avec des traitements de même nature, elle adhère par addendum à l’accord intra-groupe sans nécessiter de réapprobation : il suffit de notifier l’autorité chef de file dans le rapport annuel, conformément à l’Art. 47(2)(k). Si la filiale opère dans une juridiction nouvelle ou avec des traitements de nature différente, c’est une modification matérielle qui exige une notification préalable à l’autorité chef de file et, selon l’ampleur, une éventuelle réinstruction partielle. C’est précisément cette flexibilité qui justifie le projet BCR pour les groupes en croissance externe.

---

Vous voulez recevoir mes analyses RGPD chaque semaine ? Abonnez-vous à la newsletter — décryptages CNIL, jurisprudence CJUE, méthodes de mise en conformité.