Par Haas Avocats
5 années après la dernière actualisation du référentiel BCR, le CEPD a finalement publié la version finale du BCR-C, celle-ci engendrant de nouvelles obligations pour les responsables de traitements. La version qui sera applicable aux sous-traitants est en cours d’élaboration.
Cette mise à jour s’inscrit dans le prolongement de la consultation publique qui s’est tenue entre novembre 2022 et janvier 2023. Dans le cadre des observations qui lui ont été adressées, le CEPD a notamment clarifié certains aspects procéduraux tels que la notification annuelle à transmettre à l’autorité en charge d’instruire les demandes d’approbation des BCR.
Les modifications apportées par la mise à jour du réFérenciel BCR
Concrètement, les changements opérés par le CEPD gravitent autour des transferts de données réalisés en provenance d’une organisation assujettie au RGPD vers un destinataire situé dans un Etat tiers à l’Espace Economique Européen qui ne dispose pas d’une décision d’adéquation.
Il ressort de la nouvelle version des BCR-C que les principales modifications concernent :
- Les analyses d’impact des transferts de données hors UE: les BCR doivent prévoir une évaluation de la législation applicable à l’importateur de données afin de vérifier qu’elle n’obère pas l’application des obligations prévues dans les BCR. Le référent/ délégué à la protection des données doit être impliqué ou tout au moins informé de chacune de ces analyses. Dans la même veine, l’organisation importatrice de données doit signaler sans délai à l’entité exportatrice les obstacles légaux qui peuvent édulcorer ou empêcher l’application des BCR. Cette analyse doit être renouvelée périodiquement afin de prévenir toute évolution législative ou réglementaire qui serait susceptible d’empêcher l’application des BCR.
- Le traitement des accès et demandes d’accès gouvernementales : les BCR doivent faire état de l’engagement de chaque importateur de données à notifier à l’exportateur de données et à la personne concernée (lorsque cela est possible) l’existence d’un accès ou d’une demande d’accès adressée par une autorité étatique. Dans la mesure où une telle notification serait interdite légalement, l’importateur de données s’engage à employer ses meilleurs efforts pour obtenir une levée de l’interdiction et à les documenter (ex : renseigner les recours intentés contre l’accès ou les demandes d’accès des autorités compétentes). Dans l’hypothèse où l’organisation importatrice est obligée de faire suite à une telle requête, le transfert de données opéré à l’attention de l’autorité publique ne pourra concerner une volumétrie massive et disproportionnée de données personnelles.
- L’usage d’une déclaration unilatérale des employés : lorsque les employés s’engagent à respecter les BCR, il est nécessaire de documenter les procédures qui assureront l’effectivité de ces engagements.
- La responsabilité déléguée en matière de protection des données personnelles : en principe, les BCR doivent contenir un engagement du groupe prévoyant qu’à tout moment, une ou plusieurs entités se trouvant dans l’EEE acceptent de réparer les dommages résultant de la violation des BCR par une entité qui n’est pas implantée dans l’EEE. D’ailleurs, le formulaire de soumission doit confirmer que les organisations délégataires disposent de suffisamment d’actifs pour assurer la réparation des dommages causés aux victimes.
- Les audits : le délégué à la protection des données ne doit pas mener d’audit si cela le place dans une situation de conflit d’intérêts. Au surplus, les BCR ne doivent pas prévoir d’obstacles à la communication des rapports d’audit aux autorités publiques compétentes.
- La coopération avec les autorités publiques compétentes : les BCR ne doivent pas contenir de clause de confidentialité limitant ou empêchant la coopération de ses signataires avec les autorités publiques compétentes.
- La notification annuelle à transmettre à l’autorité en charge de l’instruction : Au moins une fois par année, l’organisation assurant de l’application des BCR au sein du groupe doit notifier à l’autorité responsable de l’instruction de la demande d’approbation des BCR, tous les changements opérés dans les BCR ou dans la liste des signataires en joignant à cette notification une notice d’information expliquant ces changements. Cette notification annuelle doit avoir lieu même en l’absence de changement.
Simplification des Obligations de Sécurité des Transferts de Données par le CEPD
Sur le plan formel, le CEPD a tenu à simplifier les supports en réunissant dans un même document le référentiel BCR-C existant et le formulaire de soumission. Dans le même esprit de simplification, les nouvelles obligations déclinées autour des transferts de données hors UE s’inspirent grandement des mesures de sécurité prévues dans les clauses contractuelles types comme en témoignent les obligations gravitant autour du traitement des demandes d’accès adressées par les autorités publiques.
Afin de boucler la boucle, il incombe au CEPD d’actualiser les obligations qui incomberont aux sous-traitants dans le cadre de la sécurisation des transferts de données intragroupes.
Si on prend un peu de recul, nul ne peut contester que les BCR ne sont pas très populaires auprès des Responsables de traitement, la rédaction de clauses contractuelles types étant privilégiées en raison de leur simplicité et de leur absence de coût.
Cette mise à jour du CEPD va-t-elle changer la tendance ? Nous regarderons ça de près.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
