CEPD met à jour le référentiel BCR « responsable de traitement »

CEPD met à jour le référentiel BCR « responsable de traitement »

Le

Le RGPD (Règlement général sur la protection des données) est une réglementation de l’Union européenne qui protège les données personnelles des individus dans l’UE. Cependant, il peut arriver que des entreprises d’un même groupe soient situées dans des pays où le RGPD ne s’applique pas. Dans ce cas, pour transférer des données personnelles entre ces entreprises, il est nécessaire de garantir que le niveau de protection des données est essentiellement équivalent au RGPD. C’est là qu’interviennent les règles d’entreprise contraignantes ou BCR (binding corporate rules en anglais).

Les BCR sont un outil utilisé par les entreprises pour transférer des données personnelles en dehors de l’Espace économique européen à des responsables de traitement ou des sous-traitants internes, au sein du même groupe. Elles créent des droits pour les personnes concernées et contiennent des engagements pris par les entités du groupe visant à établir un niveau de protection des données essentiellement équivalent au RGPD.

En 2018, le Comité européen de la protection des données (CEPD) a publié des recommandations sur les éléments et principes devant figurer dans les BCR « responsable de traitement ». Ces recommandations ont été mises à jour en 2022 pour clarifier les exigences du référentiel et fournir des orientations supplémentaires aux entreprises candidates.

Lorsqu’une entreprise adopte les BCR « responsable de traitement », elle s’engage à ne transférer des données personnelles qu’après avoir effectué une analyse de la légalité du transfert et à mettre en place des garanties adéquates pour protéger les données transférées. Elle doit également suivre les principes de protection des données, tels que le respect de la vie privée et la sécurité des données, et coopérer avec les autorités de protection des données.

En adhérant aux BCR « responsable de traitement », les entreprises s’assurent que le niveau de protection des données est essentiellement équivalent au RGPD, même lorsque les données sont transférées en dehors de l’UE. Cela permet de garantir la confidentialité et la sécurité des données des personnes concernées, ainsi que leur droit à la protection de leurs données personnelles.

Il est important de noter que les BCR « responsable de traitement » ne sont pas une option obligatoire pour toutes les entreprises. Elles sont uniquement destinées aux groupes d’entreprises ou de sociétés engagées dans une activité économique commune qui souhaitent transférer des données personnelles entre différentes entités situées en dehors de l’UE. Si une entreprise ne remplit pas ces critères, elle devra utiliser d’autres méthodes pour garantir la protection des données personnelles lors de leur transfert en dehors de l’UE, comme les clauses contractuelles types ou les dispositifs de protection adéquats tels que les boucliers de protection de la vie privée.

Logiciel RGPD

Le Comité européen de la protection des données (CEPD) a publié des recommandations mises à jour sur les règles d’entreprise contraignantes « responsable de traitement » (BCR-C) en 2022. Ces recommandations sont une mise à jour du référentiel d’approbation et du formulaire d’instruction publiés en 2018.

Les mises à jour apportées par le CEPD visent à clarifier les exigences du référentiel et à fournir des orientations supplémentaires aux entreprises candidates. Elles reposent sur les interprétations communes dégagées par les autorités de protection des données dans le cadre des procédures d’approbation de BCR depuis l’entrée en application du RGPD.

Le référentiel mis à jour fait également la distinction entre ce qui doit être inclus dans le dossier présenté à l’autorité de protection des données en charge de l’instruction et ce qui doit figurer dans le corps des BCR. Il intègre également les exigences de l’arrêt « Schrems II » de la Cour de justice de l’Union européenne, qui impose aux entreprises adhérentes aux BCR de ne transférer des données qu’après avoir effectué une analyse de la législation du pays tiers de destination et de mettre en place des mesures pour garantir un niveau de protection des données personnelles essentiellement équivalent au RGPD.

Voici quelques exemples de mises à jour apportées par le CEPD dans les recommandations sur les BCR-C :

  • Clarification des exigences du référentient : le CEPD a précisé les éléments qui doivent être inclus dans les BCR-C afin de garantir un niveau de protection des données personnelles essentiellement équivalent au RGPD. Par exemple, les BCR doivent décrire les mesures de sécurité mises en place pour protéger les données personnelles contre toute perte, tout accès non autorisé, toute modification ou toute destruction illégale.
  • Orientations supplémentaires : le CEPD a fourni des orientations supplémentaires aux entreprises candidates afin de les aider à comprendre les attentes des autorités de protection des données. Par exemple, le CEPD a précisé que les BCR devaient inclure une description des modalités de mise en œuvre des droits des personnes concernées, comme le droit à l’effacement ou le droit à la portabilité des données.
  • Distinction entre le dossier de demande et le corps des BCR : le référentiel mis à jour fait la distinction entre ce qui doit être inclus dans le dossier de demande présenté à l’autorité de protection des données en charge de l’instruction et ce qui doit figurer dans le corps des BCR. Cela permet de clarifier les informations à fournir aux autorités et de faciliter le processus d’approbation des BCR.
  • Exigences de l’arrêt « Schrems II » : l’arrêt « Schrems II » de la Cour de justice de l’Union européenne impose aux entreprises adhérentes aux BCR de ne transférer des données qu’après avoir effectué une analyse de la législation du pays tiers de destination. Les BCR doivent donc inclure une description de cette analyse et des mesures mises en place pour garantir un niveau de protection des données personnelles essentiellement équivalent au RGPD.

Pour conclure, les mises à jour apportées par le CEPD dans les recommandations sur les BCR-C visent à clarifier les exigences du référentiel et à fournir des orientations supplémentaires aux entreprises candidates. Elles permettent également de tenir compte des exigences de l’arrêt « Schrems II » et de faciliter le processus d’approbation des BCR.

> Les nouvelles recommandations du CEPD pour les BCR-C (en anglais) – CEPD 

> Pourquoi mettre en place des BCR ? 

> Comment préparer un dossier de BCR 

> Quand et comment soumettre son projet de BCR aux autorités de protection des données ? 

> Soumettre un dossier d’approbation de règles d’entreprise contraignantes (Binding Corporate Rules ou BCR) à la CNIL 

DPO Partagé
DPO Partagé
DPO EXTERNALISE - Disponible du Lundi au Samedi - Contactez nous au 01 83 64 42 98 ou par mail à contact@dpo-partage.fr DPO PARTAGE est le leader des DPO en données de santé et données sensibles. Urgence Violation Données +33 7 56 94 70 90

Intéressant ? Partagez-le !

Newsletter

Audit gratuit Conformité RGPD

spot_imgspot_img

A ne pas manquer !

Encore plus d'actualités
Informations RGPD

Une faille majeure révèle les données de millions d’internautes : comprendre l’impact et les enjeux

Faille majeure révèle les données de millions d'internautes :...

La toile du renseignement français : entre premier et second cercle

Le renseignement français : Dans l'arène de la sécurité...

Écoutes, géolocalisations : une surveillance accrue en réponse aux menaces diversifiées en France

Écoutes, géolocalisations : Les récentes statistiques en France montrent...