RGPD : du changement dans l'attestation de conformité

Le référentiel BCR-C, qui permet d’attester de la « conformité RGPD » de transferts de données personnelles au sein de groupes internationaux, vient d’être actualisé.

Fréquence des audits de conformité, coopération avec les autorités de protection des données, formation des employés concernés… Autant d’éléments qui font l’objet de précisions dans la nouvelle version du BCR-C, adoptée il y a quelques semaines.

Ce référentiel émane du CEPD (Comité européen de la protection des données). Il sous-tend un mécanisme juridique qui permet en particulier, au sein de groupes internationaux, les transferts des données personnelles en dehors de l’Espace économique européen.

La version « originale » du référentiel BCR (binding corporate rules, « règles d’entreprise contraignantes ») datait d’avril 2018. Le CEPD n’a pour le moment modifié que les recommandations applicables aux responsables de traitement (controllers, d’où l’appellation BCR-C). Des travaux sont en cours pour actualiser celles à l’adresse des sous-traitants (processors, d’où BCR-P).

Le BCR-C encadre plus précisément les transferts en provenance de responsables de traitement établis dans un pays couvert par le RGPD et à destination d’autres entités du même groupe (responsables ou sous-traitants) établies dans des pays tiers non reconnus comme garantissant un niveau de protection adéquat. Autrement dit, situés hors EEA et ne bénéficiant pas d’une décision d’adéquation tel le Data Privacy Framework pour les USA.

Le BCR-P concerne les transferts en provenance de responsables non membres du groupe et que les entités de ce dernier traitent en tant que sous-traitants.

L’arrêt Schrems II intégré au BCR-C

La mise à jour du BCR-C a notamment impliqué l’intégration des exigences de l’arrêt Schrems II de la CJUE. À ce titre, les entités adhérentes s’engagent à ne transférer des données qu’après avoir analysé la législation du pays tiers de destination. Les règles devront par ailleurs reprendre les obligations déclinées dans les clauses contractuelles types.

Au rang des nouveaux articles, le 5.1.2 établit la nécessité d’intégrer, dans les BCR, une liste de bases légales de traitement sur lesquelles les entités membres souhaitent s’appuyer.
Le 5.2 porte sur les droits à conférer explicitement aux personnes concernées. Il s’agit essentiellement de reprendre les éléments qui figurent dans le RGPD.
Le 5.4.2 impose d’inclure l’engagement des importateurs (destinataires) à notifier les exportateurs en cas d’accès (ou de demande d’accès) gouvernemental à des données.

Le CEPD avait soumis une première version à consultation publique entre novembre 2022 et janvier 2023. Certains aspects procéduraux ont été clarifiés dans la version finale. Par exemple, la possibilité de déléguer, sous certaines circonstances, le remplissage du formulaire BCR à une autre entité que le siège social. Ou l’obligation de notification annuelle des autorités compétentes même à défaut de modification du BCR-C.

Lire aussi : RGPD : la CNIL face aux spécificités des IA