Soumettre des règles d’entreprise contraignantes
Tous les transferts de données personnelles depuis l’UE vers un pays tiers ou à une organisation internationale doivent garantir aux personnes concernées un niveau de protection adéquat (art. 44 du RGPD). Ce niveau de protection adéquat peut être garanti par différents mécanismes, dont les règles d’entreprise contraignantes (souvent désignées par l’acronyme anglais « BCR » pour « Binding Corporate Rules ») au sens de l'article 47 du RGPD.
Les BCR permettent à un responsable du traitement ou à un sous-traitant établi sur le territoire d'un État membre de l’UE de transférer des données à caractère personnel à un responsable du traitement ou à un sous-traitant établi dans un ou plusieurs pays tiers au sein d'un groupe d'entreprises, ou d'un groupe d'entreprises engagées dans une activité économique conjointe.
Il existe deux types de BCR :
- Les BCR pour les responsables du traitement (ou « BCR-C » pour « BCR for controllers ») : ces BCR permettent d’encadrer des transferts de données à caractère personnel effectués par des responsables du traitement établis dans l’Union européenne vers d'autres responsables du traitement ou vers des sous-traitants du même groupe établis dans des pays tiers qui n'ont pas été reconnus comme offrant un niveau de protection adéquat en vertu de l'article 45 du RGPD,
- Les BCR pour les sous-traitants (ci-après « BCR-P » pour « BCR for processors ») : ces BCR s'appliquent aux données qui seront traitées par des membres du groupe établis dans l’Union européenne agissant en tant que sous-traitant(s) pour le compte d'un responsable du traitement établis dans l’Union européenne mais qui n'est pas membre du groupe, et qui sont ensuite transférées et traitées par des membres du groupe en tant que sous-traitants ultérieurs dans des pays tiers qui n'ont pas été reconnus comme offrant un niveau de protection adéquat en vertu de l'article 45 du RGPD.
Comment soumettre des BCR auprès de l’Autorité de protection des données ?
Avant d’introduire un dossier de BCR, veuillez prendre contact avec l’APD à l’adresse suivante : bcr@apd-gba.be
Une prise de contact sera planifiée avec nos juristes afin d’expliquer la procédure et de discuter de la pertinence de votre projet de BCR en tant qu’outil de transfert.
Après cette rencontre, vous pourrez introduire le dossier en suivant les étapes ci-dessous.
Nous vous invitons à nous fournir la documentation décrite ci-dessous en anglais étant donné qu’elle devra être soumise à nos homologues européens à différentes étapes de la procédure.
Procédure:
- Vous êtes responsable du traitement ? Complétez la Partie 1 du formulaire (« Application for Approval ») contenu dans les Recommendations 1/2022 on the application for approval and on the elements and principles to be found in Controller Binding Corporate Rules (ci-après « Recommandations 1/2022 ») et envoyez-la par e-mail à l’adresse suivante : bcr@apd-gba.be
- Vous êtes sous-traitant ? Complétez la Partie 1 du formulaire WP265 et envoyez-la par e-mail à l’adresse suivante : bcr@apd-gba.be
Dans les deux mois suivant la réception de ces formulaires, l'APD informera le demandeur, le cas échéant, du caractère incomplet de son dossier.
L’APD prend une décision sur sa compétence. Elle peut, le cas échéant, vous demander des informations complémentaires.
2 semaines (+ max. 2 semaines) |
Si elle s’estime compétente pour être « BCR Lead » et examiner les BCR, elle informe ses homologues européens au sein de l’EDPB de sa décision. Les autorités concernées ont deux semaines pour émettre des objections sur sa compétence. Ce délai peut être prolongé de deux semaines à la demande d’une autorité concernée. Dans le contexte de la procédure d’approbation des BCR, les autorités concernées sont les autorités situées dans les pays à partir desquels les transferts auront lieu, tel que spécifié par les demandeurs ou, en cas de BCR-P, toutes les autorités de contrôle des états membres (vu qu’un sous-traitant établi dans un état membre peut fournir des services à des responsables du traitement dans plusieurs états membres, – voire dans tous). |
---|---|
1 mois | Si l’APD estime qu’elle n’est pas compétente, elle motive sa décision et recommande une autorité plus appropriée en concertation avec les autres autorités concernées. |
Pas de délais |
Si les autorités concernées n’ont pas émis d’objections, l’APD informe le demandeur et l’invite à lui communiquer :
|
---|---|
Pas de délais | L’APD effectue l’examen des BCR au regard des critères repris dans les Recommendations 1/2022 (BCR-C) ou dans le WP256 (BCR-P) (souvent désignés par le terme « référentiel ») et communique ses remarques au demandeur. Il peut y avoir plusieurs tours de commentaires. |
Pas de délais | L’APD trouve une ou deux autorités d’appui (« co-reviewer(s) »). Deux autorités d’appui seront désignées si 14 Etats membres ou plus sont concernés par les transferts. Une seule autorité d’appui peut être désignée si 13 Etats membres ou moins sont concernés par les transferts. |
---|---|
1 mois (ou plus si plusieurs tours de commentaires) | Lorsque l’APD estime que les BCR sont conformes aux critères repris dans les Recommendations 01/2022 (BCR-C) ou dans le tableau repris dans le WP256 (BCR-P), elle envoie les BCR au(x) co-reviewer(s). Le ou les co-reviewer(s) ont un mois pour transmettre à l’APD leurs objections éventuelles quant à la conformité des règles. Si elles émettent des objections, l’APD les transmettra au demandeur. Il peut y avoir plusieurs tours de commentaires. |
Max. 1 mois | Lorsque l’APD et les co-reviewers s’accordent sur le fait que les BCR assurent un niveau de protection adéquat et donc qu’elles sont conformes aux critères repris dans les Recommendations 01/2022 (BCR-C) ou dans le tableau repris dans le WP256 (BCR-P), l’APD transmet le projet de BCR à l’ensemble des autorités concernées pour leurs commentaires et/ou objections éventuels. Les autorités ont en principe un mois pour réagir. |
---|---|
Pas de délais | Si les autorités de protection des données concernées émettent des objections, l’APD les transmettra au demandeur. Il peut y avoir plusieurs tours de commentaires avant d’aboutir à une version finalisée. |
8 semaines (+ max. 6 semaines) |
Une fois que les BCR sont finalisées, le Secrétariat Général de l'APD rédige un projet de décision d’approbation des BCR et le transmet avec les informations pertinentes au Comité Européen de la Protection des Données (souvent désigné par l’acronyme anglais « EDPB » pour « European Data Protection Board ») qui rend un avis sur ce projet de décision conformément à l’article 64.3 du RGPD et à l’article 10 de ses règles de procédure dans un délai de 8 semaines, prolongeable de 6 semaines. |
---|---|
Pas de délais | a. si l’EDPB approuve le projet de décision, l’APD peut adopter sa décision d’approbation des BCR; b. si l'EDPB estime que des amendements sont nécessaires, l’APD les communique au demandeur. |
Pas de délais | Lorsque les BCR seront approuvées par l’APD, elles seront communiquées à l’ensemble des autorités concernées. |
---|