Gouvernance
Actualisation du BCR-C : plus de clarté pour les responsables de traitement
Par Pierre-Randolf Dufau, publié le 23 octobre 2023
Le Comité européen de la protection des données a adopté le 20 juin 2023 ses recommandations définitives sur les règles d’entreprise contraignantes (ou BCR pour Binding Corporate Rules). Cette actualisation ne concerne pour le moment que le BCR-C, applicable aux responsables de traitements dits «controllers». Outil clé pour le transfert de données intragroupe, le référentiel mis à jour apporte nombre de précisions pour la procédure de conformité au RGPD.
Par Cassandre Mariton & Huê Gasparoux, PRD Avocats
Pour rappel, et conformément au RGPD, le transfert de données personnelles de l’Union européenne vers des pays tiers avec lesquels il n’existe pas de décisions d’adéquation de la Commission européenne, ne peut avoir lieu que sur la base de garanties appropriées telles que des règles d’entreprise contraignantes (BCR, Binding Corporate Rules).
Essentielles pour les responsables de traitement des entreprises transnationales, les BCR permettent ainsi de transférer des données personnelles « en dehors de l’Espace économique européen entre responsables de traitement et sous-traitants ». La demande d’approbation de ces règles se fait par le biais d’un formulaire-type, validé par le Comité européen de la protection des données (CEPD).
Comme l’explique la CNIL, les recommandations et précisions que vient d’apporter le Comité, notamment sur le remplissage de ce formulaire et le contenu des BCR, visent ainsi à aider les sociétés à « obtenir le niveau de protection des données requis ».
En effet, le document adopté par le CEPD sépare au sein d’un tableau les éléments qui doivent figurer dans les règles contraignantes de ceux qui doivent apparaître dans le formulaire de demande.
Ainsi, parmi ces éléments requis, un certain nombre de droits, conférés aux personnes concernées par le transfert en tant que tiers bénéficiaires, doivent être contenus dans les deux documents. Le droit de ces personnes de déposer une plainte interne à l’entreprise doit par exemple être mentionné de manière expresse dans les BCR et dans le formulaire.
À l’inverse, le tableau explicatif adopté par le Comité explique que l’encadrement même de cette procédure interne de traitement des plaintes devra être défini au sein des BCR, sans devoir figurer dans le formulaire.
Le CEPD rappelle également aux responsables de traitement que le niveau de protection assuré par les règles contraignantes ne peut être inférieur à celui assuré par la législation européenne.
En 2024, lors de leur processus annuel de mise à jour, les responsables de traitement devront donc conformer leurs Binding Corporate Rules aux recommandations du Comité.
À noter que depuis la nouvelle décision d’adéquation, adoptée le 10 juillet 2023 par la Commission européenne pour les données transférées aux États-Unis, les BCR ne sont plus nécessaires dès lors que le destinataire des données fait partie de la liste des organismes certifiés, disponible sur le site du Département du Commerce étasunien.
L’adoption de cette décision d’équivalence vient donc alléger la tâche des responsables de traitement qui avaient, depuis l’arrêt Schrems II de 2020, l’obligation de vérifier le niveau de protection en vigueur dans chaque pays tiers destinataire. Ce processus d’actualisation bienvenu se poursuit à l’heure actuelle pour le référentiel BCR-P, applicable cette fois-ci aux sous-traitants, la lettre P se référant au terme « processors ».
À LIRE AUSSI :