Le RGPD (Règlement général sur la protection des données) est en train de mettre à jour les règles d’entreprise contraignantes (BCR) au niveau européen. Le mécanisme juridique des BCR cible les groupes d’entreprises engagés dans une activité économique commune. Il permet aux entreprises d’attester de la conformité RGPD des transferts de données personnelles réalisés depuis les entités localisées dans l’Espace économique européen vers d’autres zones.
Nouveaux mécanismes RGPD pour les BCR
La version originale du référentiel BCR date de 2018. Le 14 novembre 2022, le CEPD (Comité européen de la protection des données) a adopté une mise à jour, qui a été soumise à consultation publique jusqu’au 10 janvier. Il ne s’agit pas de mettre à jour l’ensemble du référentiel, mais seulement les recommandations applicables aux responsables de traitements (controllers, d’où l’appellation BCR-C). Des travaux sont également en cours pour mettre à jour les recommandations applicables aux sous-traitants (processors, d’où BCR-P).
Les recommandations du CEPD incluent deux grands volets. D’un côté, les éléments et les principes à intégrer dans les BCR-C. De l’autre, les informations à fournir dans le formulaire d’instruction (à soumettre à l’autorité compétente pour validation des BCR-C). Les nouvelles recommandations incluent des éléments tels que les bases légales de traitement, les droits des personnes concernées et les engagements des importateurs de données en cas de demandes d’accès gouvernementales.
Les bases légales de traitement sont les fondements juridiques sur lesquels une entreprise peut traiter des données personnelles. Les BCR-C devraient inclure une liste exhaustive de toutes les bases légales sur lesquelles les entités membres souhaitent s’appuyer pour traiter les données.
Les droits des personnes concernées sont également importants. Les BCR-C devraient inclure des informations sur les droits des personnes concernées, tels que l’information, l’accès, la rectification, l’effacement, l’opposition, etc.
Les engagements des importateurs de données en cas de demandes d’accès gouvernementales sont également importants. Les BCR-C devraient inclure des informations sur les engagements des importateurs à notifier les exportateurs en cas d’accès (ou de demande d’accès) gouvernemental à des données. Ou au moins à faire de leur mieux pour obtenir une exemption si cette notification leur est interdite.
Mécanismes RGPD pour les BCR qu’est ce qu’une entreprises contraignantes
Une entreprise contraignante est un groupe d’entreprises qui sont engagées dans une activité économique commune et qui ont adopté des règles internes pour garantir la conformité avec les normes de protection des données en vigueur. Ces règles sont appelées règles d’entreprise contraignantes (BCR) et elles peuvent inclure des politiques, des procédures et des mécanismes pour garantir la conformité avec les lois et réglementations en matière de protection des données, y compris le RGPD. Les BCR peuvent également inclure des mécanismes de surveillance et de vérification pour s’assurer que les règles sont respectées, ainsi que des mesures pour gérer les incidents de sécurité de données. Les BCR permettent aux entreprises de transférer des données personnelles entre différents pays de l’Union Européenne en garantissant que les données sont protégées de manière adéquate.
