Le CEPD adopte sa contribution à l’évaluation de la directive « Police-Justice » et le nouveau référentiel BCR sous-traitant
21 janvier 2026
Le 15 janvier 2026, le Comité européen de la protection des données a adopté sa contribution à l’évaluation de la directive européenne en matière de protection des données dans le cadre répressif ainsi que le nouveau référentiel applicable aux règles d’entreprise contraignantes (BCR-ST).
Le Comité européen de la protection des données (CEPD) a adopté le 15 janvier 2026 un rapport pour soutenir l’évaluation par la Commission européenne de la directive en matière de protection des données dans le cadre répressif.
La Commission doit présenter son rapport public sur l’évaluation et le réexamen de la directive dite « police-justice » au Parlement européen et au Conseil au plus tard le 6 mai 2026. En amont, la Commission a recueilli les points de vue des autorités européennes de protection des données sur l’application et le fonctionnement de cette directive au cours de la période allant de janvier 2022 au 31 août 2025.
Le CEPD facilite la coopération et la coordination entre les autorités de contrôle lorsqu’elles supervisent le traitement des données par les autorités répressives. Le secrétariat du CEPD assure également le secrétariat du comité de supervision coordonné (CSC), qui assure le contrôle coordonné des systèmes d’information à grande échelle et des organes et agences de l’UE dans les domaines de l’application de la loi et de la justice pénale.
Dans son rapport, le CEPD souligne le rôle clé de la directive dite « police-justice ». Les autorités ont de plus en plus conseillé les autorités nationales compétentes sur l’atténuation des violations de données, tandis que de nombreuses autorités ont également mené des activités de sensibilisation et publié des orientations.
Le CEPD prend note de la demande des autorités de protection des données visant d’une part à clarifier le champ d’application de cette directive, notamment sur les possibles recoupements avec le RGPD, et d’autre part à relever de manière plus approfondie les défis posés par l’utilisation croissante des nouvelles technologies, telles que l’IA, dans un contexte répressif. Le CEPD souligne la nécessité pour les autorités répressives de recourir à ces outils dans le strict respect des dispositions de la directive, en veillant à ce que leur utilisation soit nécessaire, proportionnée et assortie de garanties adéquates.
Selon le CEPD, dans le contexte de la jurisprudence qui s’est développée depuis la dernière évaluation de la directive police-justice, il est essentiel de renforcer encore sa mise en œuvre dans l’ensemble de l’Union européenne. En outre, le rôle des délégués à la protection des données (DPD) devrait être renforcé afin de garantir l’application efficace et cohérente des règles en matière de protection des données dans les activités répressives.
Enfin, le CEPD souligne que tant les autorités que le CEPD ont besoin de ressources financières et humaines supplémentaires pour mener à bien les nouvelles tâches découlant d’actes juridiques récents, y compris les responsabilités liées au CSC, dont les activités comprennent désormais également la surveillance du système d’information sur les visas (VIS), de Prüm II et du système d’entrée/sortie (EES).
D’autre part, le CEPD a adopté les recommandations 1/2026 sur la demande d’approbation et sur les éléments et principes qui doivent figurer dans les règles d’entreprise contraignantes pour les (BCR-ST).
Les recommandations 1/2026 constituent la mise à jour du formulaire type de soumission et du référentiel contenant les éléments et principes requis pour l’approbation des BCR-ST. Elles abrogent et remplacent ainsi deux textes de référence pour les BCR-ST approuvées en 2018 par le CEPD – le WP265 (recommandation sur le formulaire type de soumission) et le WP257 (tableau des éléments et principes requis dans les BCR) – tout en regroupant désormais en un seul document leur contenu substantiellement révisé.
Les BCR-ST sont un outil de transfert au titre de l’article 46 du RGPD, qui peuvent être utilisées par un groupe d’entreprises agissant en qualité de pour le compte d’un qui n’est pas membre du groupe pour transférer des données à caractère personnel en dehors de l'Espace économique européen à des sous-traitants au sein du même groupe. Les BCR créent des droits opposables et énoncent des engagements visant à établir un niveau de protection des données essentiellement équivalent à celui prévu par le RGPD.
Les nouvelles recommandations s’appuient sur l’accord obtenu par les autorités de contrôle et l’expérience commune acquise au cours des procédures d’approbation de nombreux dossiers de BCR-ST depuis l’entrée en application du RGPD, ainsi que sur les enseignements tirés des travaux préparatoires ayant mené à l’adoption des recommandations 1/2022 sur les règles d’entreprise contraignantes pour les responsables du traitement (BCR-RT).
Les recommandations 1/2026 précisent les critères et offrent des explications claires pour garantir la conformité au RGPD des BCR-ST élaborées par des groupes d’entreprises. Les recommandations détaillent notamment les cas où les BCR-ST peuvent être utilisées, à savoir uniquement pour les transferts intragroupes entre sous-traitants, lorsque le responsable du traitement ne fait pas partie du groupe.
En outre, les recommandations précisent que les BCR-ST sont conçues pour répondre aux exigences de l’article 28, paragraphe 4, du RGPD. Cela signifie qu’il n’est pas nécessaire pour un sous-traitant membre d’un groupe porteur de BCR-ST de signer un contrat de sous-traitance distinct avec chacun des autres sous-traitants faisant partie du même groupe.
Les recommandations seront ouvertes à la consultation publique jusqu’au 2 mars 2026.
Les membres du CEPD ont également procédé à un échange de point de vue concernant le prochain avis conjoint sur l’omnibus numérique, dont l’adoption est prévue lors de la réunion plénière de février.
