Le groupe PayPal vient d'adopter de nouvelles règles d'entreprises contraignantes (« Binding Corporate Rules » ou « BCR » en anglais). Ces règles définissent l’ensemble des principes applicables aux traitements de données personnelles opérés par les différentes entités de PayPal à travers le monde. Les BCR visent ainsi à garantir que la protection dont bénéficient les employés et clients de PayPal dans les Etats membres de l'Union européenne continue à s'appliquer lorsque leurs données sont transférées en dehors de l'UE.
Ce mécanisme se prête bien aux sociétés multinationales comme PayPal, mettant en œuvre un grand nombre de transferts internationaux de données. PayPal (Europe) S.à r.l. et Cie, S.C.A. est un établissement de crédit établi au Luxembourg et soumis à la surveillance de la CSSF (Commission de Surveillance du Secteur Financier). Sa société mère, PayPal Inc., est située en Californie aux États-Unis. Jusqu’en juillet 2015, l’entreprise faisait partie du groupe eBay, qui possède également une charte BCR validée par la CNPD. Suite à cette scission, PayPal a souhaité disposer de nouvelles règles d’entreprise contraignantes afin de maintenir un niveau élevé de protection des données quelle que soit leur localisation.
Depuis le départ par PayPal du groupe eBay, la CNPD a coopéré en qualité d'autorité chef de file (« lead authority ») avec ses homologues européens dans le cadre de la procédure de coopération et de reconnaissance mutuelle européenne. Suite à l’analyse effectuée par la CNPD, l’ensemble des autorités de protection des données européennes ont ainsi marqué leur accord pour autoriser au niveau national des transferts de données s’opérant dans le cadre de ces BCR.