Information juridique intelligente
 France | +33 170726541

Délibération n° 2017-238 du 7 septembre 2017 portant autorisation unique de transferts de données à caractère personnel hors Espace économique européen encadrés par les règles internes d'entreprise (BCR) « responsable de traitement » du groupe IBM (BCR 044)

As Enacted Cited authorities 1 Cited in Related
Vincent
JurisdictionFrance
Publication au Gazette officielJORF n°0218 du 17 septembre 2017
Record NumberJORFTEXT000035569056
Date de publication17 septembre 2017
CourtCOMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTES
Enactment Date07 septembre 2017


La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 25-II et 69 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, notamment ses articles 101 et 103 ;


Sur la proposition de Mme Marie-Hélène MITJAVILE, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Formule les observations suivantes :
En application de l'article 68 de la loi du 6 janvier 1978 modifiée, les transferts de données à caractère personnel à destination de pays qui ne sont membres ni de l'Union européenne ni de l'Espace économique européen ou qui n'assurent pas un niveau de protection suffisant sont interdits.
Néanmoins, il peut être fait exception à cette interdiction par application de l'article 69 de la loi précitée, notamment par décision de la Commission nationale de l'informatique et des libertés lorsqu'un niveau de protection suffisant est apporté aux données transférées par l'intermédiaire de règles internes, c'est-à-dire des règles contraignantes d'entreprise (« Binding Corporate Rules » - BCR) constituant un code de conduite interne s'imposant à toutes les entités d'un même groupe.
Au terme d'une procédure de coopération, la commission et les autorités européennes de protection des données compétentes ont reconnu les BCR « responsable de traitement » du groupe IBM (dont le siège social mondial est situé 1 New Orchard Road, Armonk, New York 10504-1722) conformes aux exigences posées par les documents de référence adoptés par le groupe de travail de l'article 29.
Ainsi, ces BCR sont réputées apporter un niveau de protection suffisant aux données personnelles transférées au sein du groupe IBM.
Les organismes mentionnés à l'article 1er ci-dessous, qui se référeront à la présente autorisation unique (n° BCR-044) et adresseront à la commission un engagement de conformité à celle-ci, seront autorisés à mettre en œuvre leurs transferts.
Un transfert ne peut être autorisé que dans la mesure où :
(i) lorsque cela est requis, la formalité relative au traitement auquel ce transfert se rattache a été dûment accomplie auprès de la Commission nationale de l'informatique et des libertés, et
(ii) le transfert est réalisé dans le strict respect du cadre défini par cette formalité.
Tout transfert de données à caractère personnel qui excéderait le cadre ou les exigences définis par la présente autorisation unique devra faire l'objet d'une décision d'autorisation spécifique.


Sur les responsables de traitement/champ d'application.
Seules les entités du...

Pour continuer la lecture

SOLLICITEZ VOTRE ESSAI

VLEX uses login cookies to provide you with a better browsing experience. If you click on 'Accept' or continue browsing this site we consider that you accept our cookie policy. ACCEPT