Le CEPD met à jour le référentiel BCR « responsable de traitement »

20 décembre 2022

Le 14 novembre 2022, le Comité européen de la protection des données (CEPD) a adopté une version actualisée de ses recommandations en matière de règles d’entreprise contraignantes « responsable de traitement » (BCR-C).

Logo EDPB - CEPD

Que sont les règles d’entreprise contraignantes ou BCR ?

Le RGPD s’applique dans l’Union européenne et protège également les personnes concernées dans l’UE si elles sont, par exemple, clientes d’entreprises situées à l’étranger. Cependant, dans certains cas, les entités d’un même groupe peuvent être situées dans différents pays où le RGPD ne s’applique pas : pour transférer des données personnelles entre ces différentes entités, le groupe doit alors garantir que le niveau de protection des données de toutes ses sociétés est essentiellement équivalent au RGPD. Les règles d’entreprise contraignantes (binding corporate rules ou BCR en anglais) sont un outil qui peut être utilisé par un groupe d'entreprises ou de sociétés, engagées dans une activité économique commune, pour transférer des données personnelles en dehors de l'Espace économique européen à des responsables de traitement ou des sous-traitants internes, au sein du même groupe.

Les BCR créent des droits pour les personnes concernées en tant que tiers bénéficiaires, et contiennent des engagements pris par les entités du groupe visant à établir un niveau de protection des données essentiellement équivalent à celui prévu par le RGPD.

BCR-C : les nouvelles recommandations du CEPD

En 2018, le CEPD a mis à disposition deux documents du Groupe de travail Article 29 (qui deviendra ensuite le CEPD) en matière de BCR-C : le référentiel d’approbation BCR-C (WP256) et le formulaire d’instruction (WP264).

Lors de la séance plénière du 14 novembre 2022, le Comité européen de la protection des données (CEPD) a adopté des recommandations sur la demande d'approbation et sur les éléments et principes devant figurer dans les règles d'entreprise contraignantes du responsable de traitement (BCR-C).

Ces recommandations constituent une mise à jour du référentiel BCR-C existant qui contient les critères d'approbation et les fusionnent avec le formulaire.

Les nouvelles recommandations consignent les interprétations communes dégagées par les autorités de protection des données dans le cadre des procédures d'approbation de BCR depuis l'entrée en application du RGPD. Elles clarifient les exigences du référentiel, fournissent des orientations supplémentaires et visent à favoriser ainsi la compréhension des attentes des autorités par l’ensemble des entreprises candidates.

De plus, ce document actualisé fait la distinction entre ce qui doit être contenu dans le dossier présenté à l'autorité de protection des données en charge de l’instruction et ce qui doit figurer dans le corps des BCR.

Enfin, ces recommandations intègrent les exigences de l'arrêt « Schrems II » de la Cour de justice de l’Union européenne. Avec le nouveau référentiel, les entités adhérentes aux BCR s’engagent à ne transférer des données qu’après avoir procédé à une analyse de la législation du pays tiers de destination.

Les BCR devront également reprendre les mêmes obligations que celles déclinées dans les clauses contractuelles types avec entre autres : la veille juridique, les mesures additionnelles si nécessaire, la mise à disposition des autorités de la documentation et la gestion des demandes d’accès par des autorités de pays tiers.

Le même travail d’actualisation du référentiel applicable aux BCR « sous-traitant » est en cours d'élaboration.

Dès leur publication, toutes les nouvelles obligations issues des nouveaux référentiels seront applicables aux BCR aussi bien approuvées qu’en cours d’instruction. Le CEPD a déjà communiqué publiquement sur ce sujet en décembre 2020, indiquant que les référentiels étaient en cours de revue et que les porteurs de BCR devraient adapter, si nécessaire, leur documentation.

Les recommandations adoptées le 14 novembre sont soumises à une consultation publique jusqu’au 10 janvier 2023.

La CNIL met à disposition un outil de visualisation permettant l’identification des modifications apportées.

Les mots clés associés à cet article