Le 20 juin 2023, le Comité européen de la protection des données a adopté la nouvelle version des règles d’entreprises contraignantes pour les responsables du traitement (BCR-C).

​

Il s’agit de leur première mise à jour depuis avril 2018, peu avant l’entrée en application du Règlement général sur la protection des données. Cette actualisation porte tant sur la forme que sur le fond de cet instrument juridique d’encadrement des transferts de données à caractère personnel.

​

Que sont les règles d’entreprise contraignantes ?

​

Les règles d’entreprises contraignantes ou BCR (Binding Corporate Rules en anglais) sont prévues à l’article 47 du Règlement général sur la protection des données (ci-après, le « RGPD »). Cet article établit leurs conditions d’élaboration et de mise en place.

​

Selon la Commission nationale informatique et des libertés (ci-après, la « Cnil »), elles désignent « un outil qui peut être utilisé par un groupe d'entreprises ou de sociétés, engagées dans une activité économique commune, pour transférer des données personnelles en dehors de l'Espace économique européen entre responsables du traitement ou sous-traitants, au sein du même groupe. Elles amènent les sociétés adhérentes d’un même groupe à déployer un schéma de gouvernance commun qui permet d’établir un niveau de protection des données essentiellement équivalent à celui prévu par le RGPD ».

​

Les BCR comportent en deux catégories :

​

• les règles d’entreprises contraignantes relatives aux contrôleurs (responsable du traitement) ou BCR-C ;
   

• les règles d’entreprises contraignantes relatives aux processeurs (sous-traitant) ou BCR-P.
   

Les premières (BCR-C) permettent d’encadrer les transferts de données personnelles de responsables du traitement établis dans l’Union européenne (ci-après, « l’UE ») à d’autres responsables du traitement ou à des sous-traitants, établis hors de l’UE, au sein d’un même groupe. Les BCR-P permettent quant à elles de créer une sphère de sécurité pour les transferts effectués entre les différentes sociétés du groupe lorsque le groupe agit en qualité de sous-traitant.

​

Ce sont les premières catégories qui font l’objet des dernières modifications du Comité européen de la protection des données (ci-après, le « CEPD »). 

​

BCR-C : les mises à jour du CEPD

​

La nouvelle version du référentiel BCR-C adoptée par le CEPD le 20 juin 2023 intervient cinq ans après la mise à jour d’avril 2018 apportée au référentiel d’approbation des règles d’entreprises contraignantes - responsable du traitement (BCR-C, WP256) ainsi qu’au formulaire de soumission correspondant (WP264).

​

Le nouveau référentiel contient les mises à jour suivantes :

​

• fusionner le référentiel BCR-C existant avec le formulaire de soumission pour simplifier les ressources ;
   

• clarifier la distinction entre les éléments à inclure dans le dossier soumis à l'autorité compétente et ceux qui doivent être incorporés dans le corps même des BCR ;
   

• incorporer les interprétations communes formulées par les autorités de protection au cours des procédures d'approbation des BCR, afin d'en faire profiter les porteurs et les demandeurs ;
   

• préciser les exigences du référentiel en fournissant des orientations supplémentaires pour mieux appréhender les attentes des autorités ;
   

• intégrer les obligations découlant de l'arrêt « Schrems II » de la Cour de justice de l'Union européenne : la nouvelle version du référentiel exige que les entités adhérant aux BCR n'effectuent des transferts de données qu'après avoir effectué une analyse de la législation en vigueur dans le pays tiers de destination. Les BCR devront également inclure les mêmes obligations que celles présentes dans les clauses contractuelles types, incluant des aspects tels que la surveillance juridique, des mesures additionnelles si nécessaires, la mise à disposition de la documentation, et la gestion des demandes d'accès émanant d'autorités de pays tiers.

​

A la suite de cette mise à jour, le CEPD a entrepris le même travail d’actualisation du référentiel applicable aux BCR «sous-traitant ».

​