Le groupe Rakuten vient d'adopter des règles d'entreprises contraignantes (BCR - « Binding Corporate Rules ») définissant les principes applicables au traitement des données personnelles par ses entreprises en cas de transferts en dehors de l'Union européenne. Ces règles visent en premier lieu à garantir que la protection dont bénéficient les employés et clients de Rakuten dans les Etats membres de l'Union européenne continue à s'appliquer lorsque les informations sont transférées en dehors de l'UE.
Ce mécanisme se prête surtout aux sociétés multinationales comme Rakuten, mettant en œuvre un grand nombre de transferts internationaux de données. Rakuten Inc. est une entreprise offrant des services sur Internet. Son siège mondial est situé au Japon et son établissement principal en Europe se trouve au Luxembourg.
Depuis un an, la CNPD a coopéré avec Rakuten en qualité d'autorité chef de file (« lead authority ») dans le cadre de la procédure de coopération et de reconnaissance mutuelle européenne, en collaboration avec les autorités de protection des données de sept autres pays européens où le groupe est implanté (à savoir l'Allemagne, l'Autriche, l'Espagne, l'Estonie, la France, l'Irlande et le Royaume-Uni). Ces dernières ont ainsi validé le résultat obtenu par la CNPD.