[Brèves] Mise à jour par le CEDP du référentiel BCR « responsable de traitement »

► Le 14 novembre 2022, le Comité européen de la protection des données (CEPD) a adopté une version actualisée de ses recommandations en matière de règles d’entreprise contraignantes « responsable de traitement » (BCR-C).

En 2018, le CEPD a mis à disposition deux documents du Groupe de travail Article 29 (qui deviendra ensuite le CEPD) en matière de BCR-C : le référentiel d’approbation BCR-C (WP256) et le formulaire d’instruction (WP264).

Le 14 novembre 2022, il a adopté des recommandations sur la demande d'approbation et sur les éléments et principes devant figurer dans les règles d'entreprise contraignantes du responsable de traitement (BCR-C).

Ces recommandations constituent une mise à jour du référentiel BCR-C existant qui contient les critères d'approbation et les fusionnent avec le formulaire.

Les nouvelles recommandations (en anglais) consignent les interprétations communes dégagées par les autorités de protection des données dans le cadre des procédures d'approbation de BCR depuis l'entrée en application du « RGPD » (Règlement n° 2016/679, du 27 avril 2016 N° Lexbase : L0189K8I). Elles clarifient les exigences du référentiel, fournissent des orientations supplémentaires et visent à favoriser ainsi la compréhension des attentes des autorités par l’ensemble des entreprises candidates.

De plus, ce document actualisé fait la distinction entre ce qui doit être contenu dans le dossier présenté à l'autorité de protection des données en charge de l’instruction et ce qui doit figurer dans le corps des BCR.

Enfin, ces recommandations intègrent les exigences de l'arrêt « Schrems II » de la Cour de justice de l’Union européenne (CJUE, 16 juillet 2020, aff. C-311/18 N° Lexbase : A26443RD, J. Martinez, Lexbase Affaires, octobre 2020, n° 649 N° Lexbase : N4708BYZ). Avec le nouveau référentiel, les entités adhérentes aux BCR s’engagent à ne transférer des données qu’après avoir procédé à une analyse de la législation du pays tiers de destination.

Les BCR devront également reprendre les mêmes obligations que celles déclinées dans les clauses contractuelles types avec entre autres : la veille juridique, les mesures additionnelles si nécessaire, la mise à disposition des autorités de la documentation et la gestion des demandes d’accès par des autorités de pays tiers.

Il est à noter que le même travail d’actualisation du référentiel applicable aux BCR « sous-traitant » est en cours d'élaboration.

Dès leur publication, toutes les nouvelles obligations issues des nouveaux référentiels seront applicables aux BCR aussi bien approuvées qu’en cours d’instruction.

Les recommandations adoptées le 14 novembre sont soumises à une consultation publique jusqu’au 10 janvier 2023.

En outre, la CNIL met à disposition un outil de visualisation permettant l’identification des modifications apportées.

© Reproduction interdite, sauf autorisation écrite préalable