Le CEPD adopte la version définitive du référentiel BCR « responsable de traitement »

Le 20 juin 2023, le Comité européen de la protection des données (CEPD) a adopté la version définitive de ses recommandations en matière de règles d’entreprise contraignantes « responsable de traitement » (BCR-C).

Que sont les règles d’entreprise contraignantes ou BCR ?

Le RGPD s’applique dans l’Union européenne (UE) aux traitement mis en œuvre par les sociétés qui y sont installées. Il protège également les personnes concernées dans l’UE, par exemple si elles sont clientes d’entreprises situées à l’étranger. Ainsi, dans le cas des multinationales, toutes les sociétés d’un même groupe ne sont pas forcément situées dans l’UE : certaines d’entre elles peuvent être implantées dans des pays où le RGPD ne s’applique pas. Pour transférer des données personnelles entre ces différentes entités, il est nécessaire qu’elles justifient de la mise en place de garanties appropriées assurant un niveau de protection équivalent à celui prévu par le RGPD.

Pour ce faire, il est possible de mettre en place des règles d’entreprise contraignantes (binding corporate rules ou BCR en anglais), car cet outil est spécifiquement conçu pour permettre, à l’échelle des groupes internationaux, le transfert de données personnelles en dehors de l'Espace économique européen entre responsables de traitement ou sous-traitants. Elles amènent les sociétés d’un même groupe à déployer un schéma de gouvernance commun, basé sur un référentiel approuvé par le CEPD, ce qui permet d’obtenir le niveau de protection des données requis.

BCR-C : les recommandations du CEPD

Le référentiel d’approbation BCR-C (WP256) et le formulaire de soumission (WP264) ont fait l’objet d’une actualisation en avril 2018 peu avant l’entrée en application du RGPD. Cinq ans plus tard, les autorités de protection européennes ont souhaité une mise à jour de cette documentation pour y apporter des modifications de forme, mais aussi de fond.

Il s’agissait :

• de simplifier les supports en fusionnant le référentiel BCR-C existant et le formulaire de soumission ;
• de mieux expliquer la distinction entre ce qui doit être contenu dans le dossier présenté à l'autorité en charge de l’instruction et ce qui doit figurer dans le corps des BCR ;
• de faire bénéficier les porteurs et les demandeurs des interprétations communes dégagées par les autorités de protection dans le cadre des procédures d'approbation de BCR ;
• de clarifier les exigences du référentiel, notamment en fournissant des orientations supplémentaires pour une meilleure compréhension des attentes des autorités ;
• d’intégrer les exigences de l'arrêt Schrems II de la CJUE : avec le nouveau référentiel, les entités adhérentes aux BCR s’engagent à ne transférer des données qu’après avoir procédé à une analyse de la législation du pays tiers de destination. Les BCR devront également reprendre les mêmes obligations que celles déclinées dans les clauses contractuelles types avec entre autres : la veille juridique, les mesures additionnelles si nécessaire, la mise à disposition de la documentation et la gestion des demandes d’accès par des autorités de pays tiers.

Lors de la séance plénière du 14 novembre 2022, le CEPD a donc adopté des recommandations relatives à la soumission de BCR et aux éléments et principes devant figurer dans les BCR elles-mêmes.

Le CEPD a tenu compte des retours formulés dans le cadre d’une consultation publique entre novembre 2022 et janvier 2023. Ainsi certains aspects procéduraux ont été clarifiés, tels que l’applicabilité des recommandations ou encore la notification annuelle à transmettre à l’autorité en charge de l’instruction. La version définitive du document a ensuite été adoptée le 20 juin 2023.

Le même travail d’actualisation du référentiel applicable aux BCR « sous-traitant » est en cours d'élaboration.