Réf. : CNIL, communiqué, 20 décembre 2022
Lecture: 2 min
N3724BZX
Citer l'article
Créer un lien vers ce contenu
par Vincent Téchené
le 26 Décembre 2022
► Le 14 novembre 2022, le Comité européen de la protection des données (CEPD) a adopté une version actualisée de ses recommandations en matière de règles d’entreprise contraignantes « responsable de traitement » (BCR-C).
En 2018, le CEPD a mis à disposition deux documents du Groupe de travail Article 29 (qui deviendra ensuite le CEPD) en matière de BCR-C : le référentiel d’approbation BCR-C (WP256) et le formulaire d’instruction (WP264).
Le 14 novembre 2022, il a adopté des recommandations sur la demande d'approbation et sur les éléments et principes devant figurer dans les règles d'entreprise contraignantes du responsable de traitement (BCR-C).
Ces recommandations constituent une mise à jour du référentiel BCR-C existant qui contient les critères d'approbation et les fusionnent avec le formulaire.
Les nouvelles recommandations (en anglais) consignent les interprétations communes dégagées par les autorités de protection des données dans le cadre des procédures d'approbation de BCR depuis l'entrée en application du « RGPD » (Règlement n° 2016/679, du 27 avril 2016 N° Lexbase : L0189K8I). Elles clarifient les exigences du référentiel, fournissent des orientations supplémentaires et visent à favoriser ainsi la compréhension des attentes des autorités par l’ensemble des entreprises candidates.
De plus, ce document actualisé fait la distinction entre ce qui doit être contenu dans le dossier présenté à l'autorité de protection des données en charge de l’instruction et ce qui doit figurer dans le corps des BCR.
Enfin, ces recommandations intègrent les exigences de l'arrêt « Schrems II » de la Cour de justice de l’Union européenne (CJUE, 16 juillet 2020, aff. C-311/18 N° Lexbase : A26443RD, J. Martinez, Lexbase Affaires, octobre 2020, n° 649 N° Lexbase : N4708BYZ). Avec le nouveau référentiel, les entités adhérentes aux BCR s’engagent à ne transférer des données qu’après avoir procédé à une analyse de la législation du pays tiers de destination.
Les BCR devront également reprendre les mêmes obligations que celles déclinées dans les clauses contractuelles types avec entre autres : la veille juridique, les mesures additionnelles si nécessaire, la mise à disposition des autorités de la documentation et la gestion des demandes d’accès par des autorités de pays tiers.
Il est à noter que le même travail d’actualisation du référentiel applicable aux BCR « sous-traitant » est en cours d'élaboration.
Dès leur publication, toutes les nouvelles obligations issues des nouveaux référentiels seront applicables aux BCR aussi bien approuvées qu’en cours d’instruction.
Les recommandations adoptées le 14 novembre sont soumises à une consultation publique jusqu’au 10 janvier 2023.
En outre, la CNIL met à disposition un outil de visualisation permettant l’identification des modifications apportées.
© Reproduction interdite, sauf autorisation écrite préalable
newsid:483724
Parcours utilisateur
Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.
Données analytiques
Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.