Délibération 2025-111 du 13 novembre 2025

La Commission nationale de l'informatique et des libertés,

Saisie par la société TESSI au nom et pour le compte du groupe Tessi (ci-après "Tessi") d’une demande d’approbation de ses BCR "responsable du traitement" ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD), notamment ses articles 47, 57 et 64 ;

Vu la décision de la CJUE C-311/18 Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems, du 16 juillet 2020 ;

Vu les recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l'UE, du 18 juin 2021 ;

Vu les recommandations 1/2022 sur la demande d’approbation et sur les éléments et principes à inclure dans les BCR responsable du traitement (article 47 RGDP), du 20 juin 2023 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

Sur la proposition de Mme Anne Debet, commissaire, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,

Formule les observations suivantes :

En vertu de l’article 47-1 du RGPD, la CNIL approuve des règles d’entreprise contraignantes ("BCR") sous réserve que celles-ci répondent aux exigences prévues par cet article.

La mise en œuvre et l’adoption de BCR par un groupe d’entreprises visent à fournir des garanties aux responsables de traitement et aux sous-traitants établis sur le territoire de l’Union européenne ("UE") afin qu’un niveau de protection uniforme soit appliqué aux données transférées vers des pays tiers, et ce, indépendamment du niveau de protection conféré par chacun de ces pays tiers.

Toutefois, avant de mettre en application ces BCR, il incombe à l'exportateur de données situé dans un État membre, le cas échéant en collaboration avec l'importateur de données, d'apprécier si le niveau de protection requis par le droit de l’UE est respecté dans le pays tiers de destination, y compris dans les situations de transferts ultérieurs. Cette évaluation doit être effectuée afin de déterminer si les garanties établies par les BCR peuvent être respectées dans la pratique, compte tenu des circonstances du transfert et des conflits qui peuvent exister entre les exigences du droit du pays tiers et les droits fondamentaux garantis par l’UE. Si tel n'est pas le cas, l'exportateur de données situé dans un État membre, le cas échéant en collaboration avec l'importateur de données, doit évaluer s'il peut prévoir des mesures supplémentaires pour assurer un niveau de protection substantiellement équivalent à celui garanti au sein de l’UE. La mise en œuvre des mesures supplémentaires relève de la responsabilité de l’exportateur, y compris après l’approbation des BCR par l’autorité compétente. Par conséquent, ces mesures supplémentaires ne font pas partie des éléments analysés dans le cadre de la procédure d’approbation des BCR.

Dans le cas où l'exportateur de données établi dans un État membre n'est pas à même de prendre des mesures supplémentaires suffisantes pour assurer un niveau de protection substantiellement équivalent à celui garanti dans l’UE, il ne peut y avoir de transfert de données à caractère personnel vers le pays tiers en vertu des BCR. Par conséquent, l'exportateur de données est tenu de renoncer, de suspendre ou de mettre fin au transfert de données à caractère personnel. Dans la même logique, lorsque l’exportateur prend connaissance de nouveaux développements touchant à la protection des données dans un pays tiers qui diminuent le niveau de protection attendu, il est tenu de suspendre le transfert concerné ou d’y mettre fin.

Conformément à la procédure de coopération décrite par le document de travail WP263 rev.01[1], la documentation relative aux BCR "responsable du traitement" du groupe a été instruite par les services de la CNIL en qualité d’autorité compétente, puis par les services de deux autres autorités de protection des données agissant en qualité de co-examinatrices. Ces BCR ont également été revues par les autorités de protection des données des pays membres de l’espace économique européen ("EEE") en application de la procédure d’approbation mise en place par le Comité européen de la protection des données ("CEPD").

L’instruction des BCR "responsable du traitement" du groupe Tessi permet de conclure que celles-ci sont conformes aux critères imposés par l’article 47-1 du RGPD et les recommandations 1/2022, notamment parce que ces BCR :

i. sont rendues juridiquement contraignantes par un contrat intra-groupe et obligent chaque entité liée, y compris leurs employés, à les respecter (articles V.1, V.2 et annexes 3 et 8 des BCR) ;

ii. confèrent expressément aux personnes concernées des droits dont elles peuvent se prévaloir en tant que tiers bénéficiaires via l’article VIII.1 des BCR ;

iii. répondent aux exigences prévues par l’article 47-2 du RGPD :

a) la structure et les coordonnées du groupe d’entreprises et de chacune des entités liées sont détaillées dans l’annexe 2 des BCR ;

b) les transferts ou l'ensemble des transferts de données, y compris les catégories de données à caractère personnel, les types de traitements et leurs finalités, les types de personnes concernées et les pays tiers sont précisés à l’article III ainsi que dans l’annexe 12 des BCR ;

c) la nature juridiquement contraignante, tant interne qu’externe, des BCR est reconnue à l’article V des BCR ;

d) l'application des principes généraux relatifs à la protection des données, notamment la limitation de la finalité, la minimisation des données, la limitation des durées de conservation des données, la qualité des données, la protection des données dès la conception et la protection des données par défaut, la base juridique du traitement, le traitement de catégories particulières de données à caractère personnel, les mesures visant à garantir la sécurité des données, ainsi que les exigences en matière de transferts ultérieurs à des organismes qui ne sont pas liés par les règles d'entreprise contraignantes, sont visés aux articles IX, XIII, XIV.2, XV ainsi que dans les annexes 1 et 11 des BCR ;

e) les droits des personnes concernées à l'égard du traitement et les moyens d'exercer ces droits, y compris le droit de ne pas faire l'objet de décisions fondées exclusivement sur un traitement automatisé, y compris le profilage, conformément à l'article 22 du RGPD, le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente et devant les juridictions compétentes des États membres conformément aux articles 77 et 79 du RGPD et d'obtenir réparation et, le cas échéant, une indemnisation pour violation des règles d'entreprise contraignantes, sont prévus aux articles VIII.2, VIII.3,VIII.4, IX.1 et XII des BCR ;

f) l'acceptation, par le responsable du traitement ou le sous-traitant établi sur le territoire d'un État membre, de l'engagement de sa responsabilité pour toute violation des règles d'entreprise contraignantes par toute entité concernée non établie dans l'UE est précisée à l’article VII des BCR ; de même que le principe selon lequel l’exonération, en tout ou en partie, de cette responsabilité ne peut intervenir que si l’entité responsable prouve que le fait générateur du dommage n'est pas imputable à l'entité en cause ;

g) la manière dont les informations sur les règles d'entreprise contraignantes, notamment en ce qui concerne les éléments mentionnés aux points d), e) et f) de l’article 47.2 du RGPD, sont fournies aux personnes concernées, en sus des informations visées aux articles 13 et 14 du RGPD, est spécifiée à l’article VIII.4 des BCR ;

h) les missions de tout délégué à la protection des données, désigné conformément à l'article 37 du RGPD, ou de toute autre personne ou entité chargée de la surveillance du respect des règles d'entreprise contraignantes au sein du groupe d'entreprises, ou du groupe d'entreprises engagées dans une activité économique conjointe, ainsi que le suivi de la formation et le traitement des réclamations, sont détaillées à l’article IV ainsi que dans l’annexe 9 des BCR ;

i) les procédures de réclamation sont décrites aux articles VIII.3, XVII ainsi que dans l’annexe 4 des BCR ;

j) les mécanismes mis en place au sein du groupe d’entreprises pour garantir le contrôle du respect des règles d’entreprise contraignantes sont détaillés aux articles IV, IX.5.15, XIV, XVIII, XIX ainsi que dans l’annexe 7 des BCR. Ces mécanismes prévoient des audits sur la protection des données et des méthodes assurant que des mesures correctrices seront prises pour protéger les droits des personnes concernées. Les résultats de ces contrôles sont communiqués à la personne ou à l'entité visée au point h) ci-dessus et au conseil d'administration de l'entreprise qui exerce le contrôle du groupe d'entreprises, et sont mis à la disposition de l'autorité de contrôle compétente sur sa demande ;

k) les mécanismes mis en place pour communiquer et consigner les modifications apportées aux règles et pour communiquer ces modifications à l'autorité de contrôle sont précisés à l’article XX des BCR ;

l) le mécanisme de coopération avec l'autorité de contrôle, mis en place pour assurer le respect des règles par toutes les entités du groupe d'entreprises, est décrit à l’article XVI des BCR. L’obligation de mise à disposition de l'autorité de contrôle des résultats des contrôles des mesures visés au point j) ci-dessus est spécifiée à l’article XIX des BCR ;

m) les mécanismes permettant de communiquer à l'autorité de contrôle compétente toutes les obligations juridiques auxquelles une entité du groupe d'entreprises est soumise dans un pays tiers, et qui sont susceptibles d'avoir un effet négatif important sur les garanties fournies par les règles d'entreprise contraignantes, sont décrits à l’article VI des BCR ;

n) enfin, l’article XVIII ainsi que l’annexe 6 des BCR prévoient une formation appropriée en matière de protection des données pour le personnel ayant un accès permanent ou régulier aux données à caractère personnel.

Le CEPD a rendu l’avis n°23/2025 en date du 7 octobre 2025, conformément à l’article 64-1-f du RGPD. La Commission a tenu compte de cet avis. 

Décide :

La CNIL approuve les BCR responsable du traitement présentées par le groupe Tessi, en ce qu’elles fournissent des garanties appropriées pour le transfert de données à caractère personnel conformément aux articles 46-1, 46-2-b, 47-1 et 47-2 du RGPD. Afin de dissiper toute ambiguïté, la CNIL rappelle que l’approbation des BCR n’implique pas l’approbation de transferts spécifiques de données à caractère personnel effectués sur la base des BCR. En conséquence, l’approbation des BCR ne peut être interprétée comme une approbation des transferts vers des pays tiers inclus dans les BCR pour lesquels un niveau de protection substantiellement équivalent à celui assuré au sein de l'UE ne peut être garanti.

La mise en œuvre des BCR approuvées ne nécessite pas d’autorisation supplémentaire spécifique de la part des autorités européennes de protection des données concernées.

Conformément à l’article 58-2-j du RGPD, chaque autorité de protection des données concernée dispose du pouvoir d’ordonner la suspension des flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale dans le cas où les garanties appropriées prévues par les BCR responsable du traitement du groupe Tessi ne seraient pas respectées.

La présidente,

M.-L. Denis

Cette décision peut faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.

ANNEXE

Les BCR responsable du traitement du groupe Tessi approuvées par la présente décision s’étendent au périmètre décrit ci-après :

a. Champ d’application.

Ces BCR responsable du traitement s'appliquent à tous les transferts de données personnelles à partir des entités du groupe Tessi établies dans l'EEE, agissant en qualité de responsable du traitement, vers des entités du groupe Tessi établies dans un pays tiers, agissant en qualité de responsable du traitement ou de sous-traitant interne, ainsi qu'à leurs transferts ultérieurs vers d'autres entités du groupe Tessi établies dans un pays tiers, agissant en qualité de responsable du traitement ou de sous-traitant interne (article III des BCR).

b. Etats membres de l’EEE depuis lesquels les transferts sont effectués.

Les États membres de l’EEE depuis lesquels les transferts sont effectués sont visés dans l’annexe 2 des BCR et sont les suivants : Bulgarie, Espagne et France.

c. Pays tiers vers lesquels les transferts sont effectués.

Les pays tiers vers lesquels les transferts sont effectués sont visés dans l’annexe 2 des BCR et sont les suivants : Madagascar, Maroc, Maurice, Royaume-Uni, Sénégal, Suisse et Tunisie.

d. Les finalités des transferts.

Les finalités des transferts sont détaillées dans l’annexe 12 des BCR. Elles comprennent notamment les finalités suivantes :

• activités liées au développement d'applications de solutions logicielles, de sites web et d'applications mobiles dont les entités du groupe Tessi sont éditrices : étude et conception, création, test et recette ;
• gestion des services informatiques : support (assistance téléphonique, email), traitement des incidents et exploitation ;
• gestion des ressources humaines : gestion du recrutement, du personnel et des salaires, administration des ressources humaines, gestion des carrières, communication des ressources humaines, gestion de la paie, télétravail, formation du personnel, gestion de l'action sociale, gestion des déplacements, élections professionnelles, médecine du travail (visite médicale, suivi de l’invalidité) etc. ;
• gestion de la sécurité informatique et physique ;
• audit et contrôle interne : qualité, sécurité, conformité ;
• gestion des affaires (achat, vente) : fournisseurs, partenaires, clients, etc. ;
• gestion de la relation client (CRM) ;
• gestion des communications (internes, institutionnelles) telles que : gestion des sites web, des bulletins d'information, des événements et des enquêtes de satisfaction ;
• élaboration de statistiques pour les besoins internes et le contrôle de la gestion sociale ;
• archivage ;
• maintien en condition opérationnelle et optimisation des performances des solutions développées par le groupe Tessi ;
• amélioration des performances de l'entreprise ;
• suivi individuel des performances et de la progression des projets ;
• gestion des processus juridiques et obligations connexes ;
• indexation des RH dématérialisées (signature de contrats, gestion électronique de documents) et des documents fiscaux ;
• recouvrement ;
• gestion des stocks et administration des achats ;
• fourniture de matériel ;
• rapports pour les statistiques et analyses pour la gestion des activités ;
• gestion des finances.

e. Catégories de personnes concernées.

Les catégories de personnes concernées sont détaillées dans l’annexe 12 des BCR et comprennent les :

• employés ;
• cadres ;
• stagiaires ;
• candidats à l’emploi ;
• clients (actuels et potentiels) ;
• partenaires commerciaux (actuels et potentiels) ;
• fournisseurs (actuels et potentiels) ;
• prestataires de services (actuels et potentiels) ;
• sous-traitants (actuels et potentiels) ;
• sous-traitants ultérieurs (actuels et potentiels).

f. Catégories de données à caractère personnel transférées.

Les catégories de données à caractère personnel transférées sont détaillées dans l’annexe 12 des BCR et comprennent les :

• données d'identification ;
• données relatives à la vie professionnelle ;
• données de connexion (logs et adresses IP) ;
• données relatives à la vie privée (données personnelles des familles des personnes concernées et les contacts d’urgence) ;
• données économiques et financières (revenus, impôts, données bancaires, droits sociaux, et situation financière) ;
• données sensibles (appartenance syndicale (élus), données médicales, sécurité sociale, judiciaire, femmes enceintes, IRP, attestation de sécurité sociale ou copie de carte vitale (si conservée), date d'arrêt de travail, date d'hospitalisation, événements familiaux, existence d'un handicap (oui/non), affiliation syndicale et type de mandat, avis de la médecine du travail, cas de maladies professionnelles, numéro de sécurité sociale, taux d'invalidité, reconnaissance de la qualité de travailleur handicapé, date du congé maladie, dossiers de maladies professionnelles, invalidité, déclaration d’invalidité) ;
• données d’infractions (Extrait du casier judiciaire) ;
• données de localisation.

[1] Approuvé par le CEPD le 25 mai 2018.