Fréquence des audits de conformité, coopération avec les autorités de protection des données, formation des employés concernés… Autant d’éléments qui font l’objet de précisions dans la nouvelle version du BCR-C, adoptée il y a quelques semaines.
Ce référentiel émane du CEPD (Comité européen de la protection des données). Il sous-tend un mécanisme juridique qui permet en particulier, au sein de groupes internationaux, les transferts des données personnelles en dehors de l’Espace économique européen.
La version « originale » du référentiel BCR (binding corporate rules, « règles d’entreprise contraignantes ») datait d’avril 2018. Le CEPD n’a pour le moment modifié que les recommandations applicables aux responsables de traitement (controllers, d’où l’appellation BCR-C). Des travaux sont en cours pour actualiser celles à l’adresse des sous-traitants (processors, d’où BCR-P).
Le BCR-C encadre plus précisément les transferts en provenance de responsables de traitement établis dans un pays couvert par le RGPD et à destination d’autres entités du même groupe (responsables ou sous-traitants) établies dans des pays tiers non reconnus comme garantissant un niveau de protection adéquat. Autrement dit, situés hors EEA et ne bénéficiant pas d’une décision d’adéquation tel le Data Privacy Framework pour les USA.
Le BCR-P concerne les transferts en provenance de responsables non membres du groupe et que les entités de ce dernier traitent en tant que sous-traitants.