Mise à jour du référentiel sur les règles d’entreprise contraignantes « responsable de traitement » par le Comité européen de la protection des données.

Mise à jour du référentiel sur les règles d’entreprise contraignantes « responsable de traitement » par le Comité européen de la protection des données. 

 

En vertu du Règlement général sur la protection des renseignements personnels, en l’absence d’une décision de la Commission européenne assurant qu’un pays tiers assure un niveau de protection adéquat (art. 45), le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers que s’il est prévu des garanties appropriées (art. 46).

Parmi ces garanties, on retrouve les règles d’entreprise contraignantes  (art. 47) (ou binding corporate rules ou BCR), soit 

« un outil qui peut être utilisé par un groupe d’entreprise ou de sociétés, engagées dans une activité économique commune, pour transférer des données personnelles en dehors de l’Espace économique européen entre responsable de traitement ou sous-traitants, au sein du même groupe. Elles amènent les sociétés adhérentes d’un même groupe à déployer un schéma de gouvernance commun qui permet d’établir un niveau de protection des données essentiellement équivalent à celui prévu par le RGPD. Les BCR créent également des droits pour les personnes concernées en tant que tiers bénéficiaires ».

(CNIL, « Glossaire »)  

Pour aller plus loin: 

• European Data Protection Board, Recommandations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rule (Art. 47 GDPR), 20 juin 2023;
• Commission nationale de l’informatique et des libertés, « Le CEDP adopte la version définitive du référentiel BCR « responsable de traitement »», 7 août 2023.