accordion-iconalert-iconarrow-leftarrowarticleShowedbacktotopCreated with Sketch. bookmarkcall-iconcheckchecked-iconclockclose-grcloseconnexion-iconfb-col fb-footer-iconfb-iconfb feedMark__icon--radiofeedMark__icon--starPage 1Created with Avocode.filterAccordion-arrowgoo-col headerBtn__icon--connecthomeinfo-blueinfo insta-1 instalank2IconCreated with Avocode.lglasslink-2linklink_biglinkedin-footer-iconlinkedin-iconlinkedin Svg Vector Icons : http://www.onlinewebfonts.com/icon lock-bluelockmail-bluemail-iconmailnot_validoffpagenavi-next-iconpdf-download-iconplus print-iconreadLaterFlagrelatedshare-icontagsLink-icontop-pagetw-col tw-footer-icontw-icontwitter unk-col user-blueuseruserName__icon--usernamevalidyoutube-footer-iconyoutube Svg Vector Icons : http://www.onlinewebfonts.com/icon
Offert

RGPD : le CEPD met à jour le référentiel BCR « responsable de traitement »

AAI
CNIL, actualités, 20 déc. 2022
[21.12.2022]

Le Comité européen de la protection des données a adopté le 14 novembre une version actualisée de ses recommandations en matière de règles d'entreprise contraignantes « responsable de traitement » (BCR-C).

La CNIL met à disposition un outil de visualisation permettant l'identification des modifications apportées.

Les règles d'entreprise contraignantes (ou BCR pour Binding corporate rules) sont un instrument juridique européen auquel une société multinationale ou un groupe d'entreprises peut recourir afin de garantir un niveau adéquat de protection des données à caractère personnel lors du transfert de ces données, au sein du groupe, au départ d'un pays situé dans l'Union européenne (UE) ou dans l'Espace économique européen (EEE) vers un pays tiers.

En 2018, le Comité européen de la protection des données (CEPD) a mis à disposition deux documents du Groupe de travail Article 29 (qui deviendra ensuite le CEPD) en matière de BCR-C : le référentiel d'approbation BCR-C (WP256) et le formulaire d'instruction (WP264).

Le 14 novembre dernier, il a adopté des recommandations sur la demande d'approbation et sur les éléments et principes devant figurer dans les règles d'entreprise contraignantes du responsable de traitement (BCR-C).

Soumises à une consultation publique jusqu'au 10 janvier 2023, ces recommandations « constituent une mise à jour du référentiel BCR-C existant qui contient les critères d'approbation et les fusionnent avec le formulaire », explique la Commission nationale de l'informatique et des libertés (CNIL) dans une actualité publiée sur son portail web, en précisant qu'elles « consignent les interprétations communes dégagées par les autorités de protection des données dans le cadre des procédures d'approbation de BCR depuis l'entrée en application du RGPD ». Elles :
- clarifient les exigences du référentiel,
- fournissent des orientations supplémentaires et,
- visent à favoriser ainsi la compréhension des attentes des autorités par l'ensemble des entreprises candidates.

De plus, ce document actualisé fait la distinction entre ce qui doit être contenu dans le dossier présenté à l'autorité de protection des données en charge de l'instruction et ce qui doit figurer dans le corps des BCR.

Les recommandations intègrent également les exigences de l'arrêt « Schrems II » de la Cour de justice de l'Union européenne (CJUE) (V. en dernier lieu : Arrêt « Schrems II » : le décryptage de la CNIL dans des questions-réponses). « Avec le nouveau référentiel, les entités adhérentes aux BCR s'engagent à ne transférer des données qu'après avoir procédé à une analyse de la législation du pays tiers de destination. »

Les BCR « devront également reprendre les mêmes obligations que celles déclinées dans les clauses contractuelles types avec entre autres : la veille juridique, les mesures additionnelles si nécessaire, la mise à disposition des autorités de la documentation et la gestion des demandes d'accès par des autorités de pays tiers », ajoute la CNIL qui précise que « le même travail d'actualisation du référentiel applicable aux BCR ‘ sous-traitant ' est en cours d'élaboration ».

« Dès leur publication, toutes les nouvelles obligations issues des nouveaux référentiels seront applicables aux BCR aussi bien approuvées qu'en cours d'instruction. » Sachant que le CEPD a déjà communiqué publiquement sur ce sujet en décembre 2020, indiquant que les référentiels étaient en cours de revue et que les porteurs de BCR devraient adapter, si nécessaire, leur documentation.