Le 14 novembre dernier, le CEPD a adopté une mise à jour de ses recommandations relatives aux règles d’entreprises contraignantes « responsable de traitement ou BCR-C ; en ce mois de décembre la CNIL se saisi du sujet et revient sur ce référentiel actualisé.
Pour mémoire, les BCR (outils issus du RGPD) sont des règles applicables aux entités d’un même groupe qui ne situeraient pas toutes dans l’Union Européenne et qui se transfèrent entre elles des données personnelles. Ainsi, ces BCR permettent de garantir un niveau de protection des données personnelles dans toutes les entités du groupe même en dehors de l’Union Européenne.
La CNIL rappelle dans son communiqué que les BCR créent des droits pour les personnes concernées en tant que tiers bénéficiaires et engagent les entités du groupe à garantir un niveau de protection équivalent à celui imposé par le RGPD.
L’actualisation réalisée en cette fin d’année concerne plus particulièrement le référentiel d’approbation des BCR « responsable de traitement » et le formulaire d’instruction présenté aux autorités de protection.
Les mises à jour adoptées concernant notamment :
- la clarification des exigences du référentiel,
- l’ajout d’orientations supplémentaires pour une meilleure compréhension des attentes des autorités de contrôle,
- la distinction entre le contenu du corps textuel des BCR et celui du dossier d’instruction présenté aux autorités,
- la prise en compte de l’arrêt « Schrems II » de la Cour de Justice de l’Union Européenne (CJUE),
- l’ajout de l’obligation d’analyser la législation du pays tiers de destination,
- la prise en compte des nouvelles Clauses Contractuelles Types (CCT).
Le CEPD est également en train de revoir les BCR « sous-traitant » qui seront sans doute bientôt adoptées.
Consultez ici le communiqué de la CNIL : Le CEPD met à jour le référentiel BCR « responsable de traitement »