Le RGPD (Règlement général sur la protection des données) est une réglementation de l’Union européenne qui protège les données personnelles des individus dans l’UE. Cependant, il peut arriver que des entreprises d’un même groupe soient situées dans des pays où le RGPD ne s’applique pas. Dans ce cas, pour transférer des données personnelles entre ces entreprises, il est nécessaire de garantir que le niveau de protection des données est essentiellement équivalent au RGPD. C’est là qu’interviennent les règles d’entreprise contraignantes ou BCR (binding corporate rules en anglais).
Les BCR sont un outil utilisé par les entreprises pour transférer des données personnelles en dehors de l’Espace économique européen à des responsables de traitement ou des sous-traitants internes, au sein du même groupe. Elles créent des droits pour les personnes concernées et contiennent des engagements pris par les entités du groupe visant à établir un niveau de protection des données essentiellement équivalent au RGPD.
En 2018, le Comité européen de la protection des données (CEPD) a publié des recommandations sur les éléments et principes devant figurer dans les BCR “responsable de traitement”. Ces recommandations ont été mises à jour en 2022 pour clarifier les exigences du référentiel et fournir des orientations supplémentaires aux entreprises candidates.
Lorsqu’une entreprise adopte les BCR “responsable de traitement”, elle s’engage à ne transférer des données personnelles qu’après avoir effectué une analyse de la légalité du transfert et à mettre en place des garanties adéquates pour protéger les données transférées. Elle doit également suivre les principes de protection des données, tels que le respect de la vie privée et la sécurité des données, et coopérer avec les autorités de protection des données.
En adhérant aux BCR “responsable de traitement”, les entreprises s’assurent que le niveau de protection des données est essentiellement équivalent au RGPD, même lorsque les données sont transférées en dehors de l’UE. Cela permet de garantir la confidentialité et la sécurité des données des personnes concernées, ainsi que leur droit à la protection de leurs données personnelles.
Exclusivité DPO PARTAGE
Trouver le DPO d'une société
Nouveau service pour trouver le DPO d'une société et lui ecrire pour rectifier vos données.
Annuaiare des DPOIl est important de noter que les BCR “responsable de traitement” ne sont pas une option obligatoire pour toutes les entreprises. Elles sont uniquement destinées aux groupes d’entreprises ou de sociétés engagées dans une activité économique commune qui souhaitent transférer des données personnelles entre différentes entités situées en dehors de l’UE. Si une entreprise ne remplit pas ces critères, elle devra utiliser d’autres méthodes pour garantir la protection des données personnelles lors de leur transfert en dehors de l’UE, comme les clauses contractuelles types ou les dispositifs de protection adéquats tels que les boucliers de protection de la vie privée.
Le Comité européen de la protection des données (CEPD) a publié des recommandations mises à jour sur les règles d’entreprise contraignantes “responsable de traitement” (BCR-C) en 2022. Ces recommandations sont une mise à jour du référentiel d’approbation et du formulaire d’instruction publiés en 2018.
Les mises à jour apportées par le CEPD visent à clarifier les exigences du référentiel et à fournir des orientations supplémentaires aux entreprises candidates. Elles reposent sur les interprétations communes dégagées par les autorités de protection des données dans le cadre des procédures d’approbation de BCR depuis l’entrée en application du RGPD.
Le référentiel mis à jour fait également la distinction entre ce qui doit être inclus dans le dossier présenté à l’autorité de protection des données en charge de l’instruction et ce qui doit figurer dans le corps des BCR. Il intègre également les exigences de l’arrêt “Schrems II” de la Cour de justice de l’Union européenne, qui impose aux entreprises adhérentes aux BCR de ne transférer des données qu’après avoir effectué une analyse de la législation du pays tiers de destination et de mettre en place des mesures pour garantir un niveau de protection des données personnelles essentiellement équivalent au RGPD.
Voici quelques exemples de mises à jour apportées par le CEPD dans les recommandations sur les BCR-C :
- Clarification des exigences du référentient : le CEPD a précisé les éléments qui doivent être inclus dans les BCR-C afin de garantir un niveau de protection des données personnelles essentiellement équivalent au RGPD. Par exemple, les BCR doivent décrire les mesures de sécurité mises en place pour protéger les données personnelles contre toute perte, tout accès non autorisé, toute modification ou toute destruction illégale.
- Orientations supplémentaires : le CEPD a fourni des orientations supplémentaires aux entreprises candidates afin de les aider à comprendre les attentes des autorités de protection des données. Par exemple, le CEPD a précisé que les BCR devaient inclure une description des modalités de mise en œuvre des droits des personnes concernées, comme le droit à l’effacement ou le droit à la portabilité des données.
- Distinction entre le dossier de demande et le corps des BCR : le référentiel mis à jour fait la distinction entre ce qui doit être inclus dans le dossier de demande présenté à l’autorité de protection des données en charge de l’instruction et ce qui doit figurer dans le corps des BCR. Cela permet de clarifier les informations à fournir aux autorités et de faciliter le processus d’approbation des BCR.
- Exigences de l’arrêt “Schrems II” : l’arrêt “Schrems II” de la Cour de justice de l’Union européenne impose aux entreprises adhérentes aux BCR de ne transférer des données qu’après avoir effectué une analyse de la législation du pays tiers de destination. Les BCR doivent donc inclure une description de cette analyse et des mesures mises en place pour garantir un niveau de protection des données personnelles essentiellement équivalent au RGPD.
Pour conclure, les mises à jour apportées par le CEPD dans les recommandations sur les BCR-C visent à clarifier les exigences du référentiel et à fournir des orientations supplémentaires aux entreprises candidates. Elles permettent également de tenir compte des exigences de l’arrêt “Schrems II” et de faciliter le processus d’approbation des BCR.
> Les nouvelles recommandations du CEPD pour les BCR-C (en anglais) – CEPD
> Pourquoi mettre en place des BCR ?
> Comment préparer un dossier de BCR
> Quand et comment soumettre son projet de BCR aux autorités de protection des données ?