En l’absence de décision d’adéquation, les exportateurs de données peuvent se fonder sur des règles d’entreprise contraignantes (en anglais « binding corporate rules » ou « BCR »), qui sont conçues pour permettre aux groupes d’entreprises et aux organisations multinationales de transférer des données à caractère personnel de l’EEE vers des entités affiliées situées en dehors de l’EEE, conformément au chapitre V du RGPD.[1]
Les BCR sont des règles internes adoptées par un groupe d’entreprises, qui définissent sa politique globale en matière de transferts internationaux de données à caractère personnel. Ces règles doivent être contraignantes et respectées par toutes les entités du groupe, quel que soit leur pays d'établissement, ainsi que par tous leurs employés. En outre, elles doivent expressément conférer des droits opposables aux personnes concernées en ce qui concerne le traitement de leurs données à caractère personnel.
Il existe deux types différents de BCR. Le choix du type correct de BCR est important étant donné qu’elles couvrent des situations différentes qui sont sujettes à des exigences différentes en ce qui concerne le contenu des BCR, comme précisé à l’article 47 du RGPD.
Les BCR pour responsables de traitement (dites « BCR-C ») couvrent les transferts d’une entité du groupe établie dans l’EEE et agissant en tant que responsable du traitement vers une autre entité du groupe établie dans le pays tiers qui agit en tant que sous-traitant ou sous-traitant ultérieur. De plus amples informations sur le champ d’application et les exigences des BCR-C sont disponibles dans le référentiel du CEPD pour les responsables du traitement, adopté le 20 juin 2023.[2]
Les BCR pour sous-traitants (dites « BCR-P ») couvrent les transferts d’une entité du groupe établie dans l’EEE et agissant en tant que sous-traitant pour un responsable du traitement externe vers une autre entité du groupe en tant que sous-traitant. De plus amples informations sur le champ d’application et les exigences des BCR-P sont disponibles dans le document de travail modifié du groupe de travail « article 29 » (WP29) sur les règles d’entreprise contraignantes pour les transformateurs (wp257rev).[3]
Les BCR sont approuvées par l’autorité de contrôle compétente, qui se coordonnent avec les autres autorités de contrôle, conformément au mécanisme de contrôle de la cohérence prévu à l’article 63 du RGPD.
Processus d’approbation des BCR
La procédure d’approbation des règles d’entreprise contraignantes pour les responsables du traitement et pour les sous-traitants est définie à l’article 47, paragraphe 1, et aux articles 63 à 65 du RGPD.
Le processus d’approbation des BCR comprend les étapes suivantes :[4]
- identification de l’autorité de contrôle chef de file pour l’approbation des BCR,
- procédure de coopération pour l’approbation des BCR entre l’autorité de contrôle chef de file, les autorités de contrôle agissant en tant qu’autorités secondaires et les autres autorités de contrôle concernées,
- adoption de l’avis du comité européen de la protection des données,[5]
- adoption d’une décision nationale par l’autorité de contrôle chef de file, en tenant compte de l’avis du comité européen de la protection des données.
Conformément à l’article 6 du règlement no 7/2020 de la CNPD du 3 avril 2020[6] fixant le montant et les modalités de paiement des redevances dans le cadre de ses pouvoirs d’autorisation et de consultation, chaque groupe d’entreprises établi sur le territoire luxembourgeois, qui soumet des règles d’entreprise contraignantes à la CNPD pour approbation conformément à l’article 47 du RGPD, doit payer une redevance de 1 500 EUR à la CNPD.
[1] Article 46, paragraphe 2, et article 47 du RGPD.
[2] Recommandations 1/2022 de l’EDPBsur la demande d’approbation et sur les éléments et principes figurant dans les règles d’entreprise contraignantes du contrôleur disponibles à l’adresse suivante : https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-12022-application-approval-and_fr
Document[3] de travail sur les règles d’entreprise contraignantes pour les sous-traitants (wp257rev.01): https://ec.europa.eu/newsroom/article29/items/614110
[4] Article 47, paragraphe 1, article 63 et article 64, paragraphe 1, point f), du RGPD et document de travail du groupe de travail « Article 29 » du 11 avril 2018 établissant une procédure de coopération pour l’approbation de « règles d’entreprise contraignantes » pour les responsables du traitement et les sous-traitants au titre du RGPD (WP263rev.01), approuvé par le comité européen de la protection des données le 25 mai 2018.
[5] Conformément à l’article 64, paragraphe 3, du RGPD.
[6] Disponible sous : https://cnpd.public.lu/content/dam/cnpd/fr/decisions-avis/2020/07-2020-reglement-CNPD-redevances-signe.pdf.