Quand et comment soumettre son projet de BCR aux autorités de protection des données ?

28 janvier 2020

La nouvelle procédure d’approbation des BCR issue du RGPD prévoit désormais la saisine du Comité européen à la protection des données (CEPD). À cette fin, il est important de bien identifier les documents constitutifs du dossier pour les besoins de l’instruction par l’autorité compétente et par les autres autorités.

Quelle est la procédure d’approbation des BCR ?

La procédure d’approbation comprend cinq paliers :

  1. Un premier niveau d’instruction effectué au niveau national par l’autorité compétente ;
  2. A l’issue de cette première étape d’accompagnement, le projet modifié est adressé à deux autres autorités de protection qui peuvent alors formuler des commentaires ;
  3. Le dossier est ensuite communiqué à toutes les autorités dans le cadre d’une étape dite de « coopération ». L’autorité compétente à un rôle d’intermédiaire en faisant remonter au demandeur les demandes de modifications émanant de ses homologues ;
  4. Le projet est soumis pour avis au Comité européen de la protection des données (CEPD) ;
  5. Enfin, le projet est adopté par l’autorité compétente. L’avis du CEPD et la délibération de l’autorité compétente sont publiés.

Ainsi, le RGPD a introduit une étape supplémentaire dans la procédure d’adoption des BCR : la soumission du projet à l’avis du CEPD. La « reconnaissance mutuelle » (qui permettait de reconnaître que l’instruction menée par une autorité valait pour plusieurs autres) a disparu. La succession de ces différentes étapes permet de s’assurer que toutes les autorités ont la possibilité de prendre connaissance du projet et d’émettre des commentaires, de façon à ce que le dossier présente les garanties juridiques appropriées permettant son approbation.

Les délais d'instruction de règles d'entreprise contraignantes varient de 18 à 24 mois en moyenne. Ces délais se justifient par la portée du BCR et la nécessité d’apporter au demandeur le maximum de sécurité juridique à l’échelle européenne.

Comment soumettre un projet de BCR à la CNIL ?

Votre dossier de demande d’approbation de BCR doit comporter les pièces suivantes :

  • Le projet de règles d’entreprises contraignantes « responsable de traitement » et ses annexes (liste des entités, politique de gestion des plaintes, etc.) ;
  • le formulaire d’instruction de « BCR responsable de traitement (Recommandations 1/2022 partie 2) » complété ;
  • le tableau du référentiel d’approbation (Recommandations 1/2022 partie 3) complété comprenant les références aux articles de votre projet de BCR.

Les documents préparatoires peuvent être transmis en anglais mais la traduction française du projet de BCR soumis à l’approbation de la CNIL est indispensable pour finaliser l’instruction.

Votre dossier de demande d’approbation de BCR doit comporter les pièces suivantes :

  • Le  projet de règles d’entreprises contraignantes « sous-traitant » et ses annexes (liste des entités) ;
  • le formulaire d’instruction de « BCR sous-traitant (WP265) » complété ;
  • le tableau du référentiel WP257 complété comprenant les références aux articles de votre projet de règles d’entreprises contraignantes.

Les documents préparatoires peuvent être transmis en anglais mais la traduction française du projet de BCR soumis à l’approbation de la CNIL est indispensable pour finaliser l’instruction.

Dans un premier temps, le groupe transmet le formulaire d’instruction des « BCR responsable de traitement (Recommandations 1/2022 partie 2) »  et/ou celui des « BCR sous-traitant » (WP265). La CNIL notifie ses homologues européens de sa saisine en qualité d'autorité compétente. Les autres autorités de contrôle disposent d’un délai d’un mois pour émettre des objections : l’instruction des dossiers de BCR ne peut débuter avant l’écoulement de ce délai.

Par la suite, le groupe pourra envoyer le formulaire d'instruction intégralement complété ainsi que son projet de BCR.

 


Comment la CNIL vous accompagne ?

Lorsque la CNIL est autorité compétente, elle est l’interlocuteur unique du demandeur. Les services de la CNIL accompagnent le groupe dans le cadre de la procédure jusqu’à ce que les BCR soient conformes aux référentiels européens.

En pratique, le demandeur, éventuellement représenté par un cabinet d’avocats, garde la plume du projet de BCR. Les services de la CNIL vont d’une part instruire le dossier, poser des questions et orienter le demandeur en suggérant des modifications, le cas échéant, et d’autre part expliciter les demandes des autres autorités. A ce titre, le demandeur peut être amené à fournir des informations ou des documents complémentaires qui n’auraient pas été communiqués lors de la saisine initiale.

Les services de la CNIL interviennent également lors de la phase de coopération en faisant entendre la voix du demandeur, lorsque cela est nécessaire, et en fournissant des informations sur l’organisme aux homologues. Enfin, de par sa participation active à la coopération dans le cadre de l’examen des dossiers de BCR au CEPD, y compris les dossiers des autres autorités, la CNIL fait bénéficier le demandeur de conseils pratiques et de retours d’expérience.

Vous pouvez  contacter le service des outils de la conformité de la CNIL qui est à vos côtés pour toute question relative à  la procédure ou à la méthodologie applicable aux BCR. Vous devez soumettre votre projet à la CNIL via le téléservice dédié.

Pour plus d’information, vous pouvez vous référer aux éléments contenus dans les référentiels et formulaires d’instruction ci-dessous :


Instruction des BCR par les autorités de contrôle

Vous trouverez de plus amples informations sur la procédure d'adoption des BCR par les autorités de contrôle sur le site de la Commission européenne (en anglais) et celui du Comité Européen de la Protection des Données.

 

Soumettre un projet de BCR


La CNIL vous accompagne dans votre projet

Contactez-nous : bcr@cnil.fr


[Infographie] Les règles d'entreprise contraignantes - Cliquez pour accéder à la version imprimable