Le 21 janvier 2025, le Comité européen de la protection des données (EDPB) a adopté son opinion sur le projet de décision de la CNIL concernant les Binding Corporate Rules (BCR) du groupe Coface. Cette validation marque une étape importante dans la stratégie de conformité internationale du groupe en matière de protection des données personnelles.
Les BCR constituent un mécanisme juridique permettant d'encadrer les transferts de données personnelles au sein d'un groupe multinational. Pour Coface, acteur majeur de l'assurance-crédit opérant dans plus de 70 pays, ces règles sont essentielles pour garantir un niveau adéquat de protection des données lors des transferts intra-groupe.
L'EDPB a examiné le projet de BCR selon les exigences du RGPD et les recommandations WP256 rev.01. Les principaux éléments validés incluent :
- La structure de gouvernance et les mécanismes de contrôle interne
- Les procédures de formation et de sensibilisation des employés
- Les processus d'audit
- Les mécanismes de coopération avec les autorités de protection des données
- Les règles de mise à jour des BCR
Cette décision établit un précédent important pour les groupes internationaux, particulièrement dans le secteur financier. Elle démontre l'importance d'une approche structurée et documentée des transferts de données personnelles.
• Réaliser une cartographie détaillée des flux de données intra-groupe et identifier les transferts nécessitant un encadrement spécifique
• Mettre en place une gouvernance dédiée pour le suivi et la mise à jour des règles de transfert de données
• Développer un programme de formation adapté pour sensibiliser les équipes aux exigences des BCR
• Documenter les processus de contrôle et d'audit relatifs aux transferts de données personnelles
• Établir des procédures claires pour la gestion des demandes d'exercice des droits et des violations de données
Inscrivez-vous et accèdez à l’ensemble de l’actualité GRACES.Community.