RGPD : du nouveau dans les mécanismes d’attestation de conformité

Quelles bases légales de traitement ? Quels droits pour les personnes concernées ? Quels engagements de la part des importateurs de données en cas de demandes d’accès gouvernementales ? Autant d’aspects qui pourraient faire l’objet de nouveaux articles dans la version actualisée du référentiel BCR-C.

Le mécanisme juridique des BCR (binding corporate rules, « règles d’entreprise contraignantes ») cible les groupes d’entreprises engagées dans une activité économique commune. Il peut leur permettre d’attester de la « conformité RGPD » des transferts de données personnelles réalisés depuis les entités localisées dans l’Espace économique européen à destination d’entités situées dans d’autres zones. L’idée étant de garantir, sur toute la chaîne, un niveau de protection « essentiellement équivalent ».

La version « originale » du référentiel BCR date de 2018. Le 14 novembre 2022, le CEPD (Comité européen de la protection des données) a adopté une mise à jour, qu’il a soumise à consultation publique jusqu’à ce 10 janvier.

Il ne s’agit pas d’actualiser l’ensemble du référentiel. Pour le moment, cela concerne les recommandations applicables aux responsables de traitements (controllers, d’où l’appellation BCR-C). Des travaux sont en cours pour actualiser également celles à l’adresse des sous-traitants (processors, d’où BCR-P).

Les recommandations du CEPD englobent deux grands volets. D’un côté, les éléments et les principes à intégrer dans les BCR-C. De l’autre, les informations à fournir dans le formulaire d’instruction (à soumettre à l’autorité compétente pour validation des BCR-C).

Préciser les droits et les bases légales

En France, la Cnil a publié une visualisation comparative entre le tableau d’exigences de 2018 et celui qu’a approuvé le CEPD.

Entre les deux, apparaît notamment un article 5.1.2. C’est lui qui établit que les BCR-C devraient contenir « une liste exhaustive de toutes les bases légales de traitement sur lesquelles les [entités] membres souhaitent s’appuyer ».

Autre article nouveau : le 5.2. Son objet : les droits à conférer explicitement aux personnes concernées. Il s’agit ici essentiellement de reprendre les éléments qui figurent dans le RGPD : information, accès, rectification, effacement, opposition, etc.

L’article 5.4.2, lui aussi ajouté, suggère d’inclure l’engagement des importateurs à notifier les exportateurs en cas d’accès (ou de demande d’accès) gouvernemental à des données. Ou au moins à faire de leur mieux pour obtenir une exemption si cette notification leur est interdite.

De nombreux articles font l’objet de modifications. Pas tant pour y introduire des dispositions que préciser l’existant. Par exemple sur :

– Mesures de formation des employés concernés
– Fréquence des audits de conformité (avec une invitation à ne pas les confier au DPO dans l’éventualité d’un conflit d’intérêts)
– Coopération avec les autorités de protection des données
– Analyse des législations des pays tiers

Photo d’illustration © portalgda via Visualhunt / CC BY-NC-SA