http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083
Le G 29 a publié les documents suivants, adoptés le 29 novembre 2017, mettant à jour les règles gouvernant les BCR ou Règles d’entreprise contraignantes :
- WP 256, Document de travail établissant un tableau reprenant les éléments et les principes contenus dans les BCR, et
- WP 257, Document de travail établissant un tableau avec les éléments et les principes qui se trouvent dans les BCR « sous-traitants ».
Le G29 indique que, compte tenu du fait que l’article 47.2 du RGPD énonce un ensemble minimal d’éléments à insérer dans les Règles d’entreprise contraignantes, ces tableaux modifiés visent à:
- ajuster le libellé du référentiel précédent afin de le rendre conforme à l’article 47 du RGPD,
- clarifier le contenu nécessaire des BCR comme indiqué à l’article 47 (en tenant compte des documents WP 742 et WP 1083 pour les BCR « responsables de traitement » et document WP 204 pour les BCR « sous-traitants », adoptés par le WP29 dans le cadre de la directive 95/46 / CE),
- faire la distinction entre ce qui doit être inclus dans les BCR et ce qui doit être présenté à l’autorité de surveillance compétente (SA compétente) dans la demande BCR (document WP 1334 pour les BCR « responsables de traitement » et document WP 195a pour le BCR « sous-traitants » ).
- Pour les BCR « responsable de traitement » : donner les principes des références textuelles correspondantes à l’article 47 du GDPR, et
- Fournir des explications / commentaires sur les principes un par un.
Le WP29 attire en particulier l’attention sur les éléments suivants,
Communs aux deux types de BCR :
- Droit de déposer une plainte : les personnes concernées devraient avoir le choix d’introduire leur demande devant l’autorité de contrôle dans l’État membre de leur résidence habituelle, de leur lieu de travail ou du lieu où la violation aurait été commise (conformément à l’art. 77 GDPR) ou devant la juridiction compétente des États membres de l’UE (choix de la personne concernée devant les juridictions où l’exportateur de données dispose d’un établissement ou celui dans lequel la personne concernée a sa résidence habituelle (article 79 GDPR);
- Champ d’application : les BCR doivent spécifier la structure et les coordonnées du groupe d’entreprises ou du groupe d’entreprises exerçant une activité économique conjointe et de chacun de ses membres (article 47.2.a du GDPR). Les BCR doivent également spécifier leur portée matérielle, à savoir les transferts ou l’ensemble des transferts de données, y compris les catégories de données personnelles, le type de traitement et ses finalités, les types de « personnes concernées » affectées et le nom du ou des pays tiers en question (article 47.2.b du GDPR).
Spécifiques aux BCR « responsable de traitement » :
- Principes relatifs à la protection des données : Outre les principes de loyauté, de transparence, de limitation des finalités, de qualité des données et de sécurité, les BCR devraient également expliquer les autres principes visés à l’article 47.2.d – notamment les principes de licéité, de minimisation des données, de limitation de la conservation, de garanties lors du traitement de catégories particulières de données personnelles, exigences relatives aux transferts ultérieurs à des organismes non liés par les BCR.
- Transparence : Toutes les personnes concernées bénéficiant des droits des tiers bénéficiaires devraient notamment recevoir les informations prévues aux articles 13 et 14 du RGPD et des informations sur leurs droits en matière de traitement et sur les moyens d’exercer ces droits, la clause relative à la responsabilité et les clauses relatives aux principes de protection des données.
- Responsabilité : toute entité agissant en tant que responsable du traitement doit être responsable et pouvoir démontrer la conformité aux BCR (article 5.2 RGPD).
Spécifiques aux BCR « sous-traitant »
- Principes relatifs à la protection des données : Outre les obligations découlant des principes de loyauté, de transparence, de licéité, de limitation des finalités, de qualité des données et de sécurité, les BCR doivent également expliquer d’autres exigences, notamment en matière de transferts ultérieurs à des organismes qui ne sont pas liés par les BCR;
- Responsabilité : les sous-traitants auront l’obligation de mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect de ses obligations, pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits. (article 28-3-RGDP);
- Contrat de prestation: le contrat de prestation entre le responsable du traitement et le sous-traitant doit contenir tous les éléments requis, conformément à l’article 28 du RGPD.
Contact : stephanie.faber@squirepb.com