actualisé suite au RGPD

Procèdure règles d'entreprise contraignantes

Tous les transferts de données personnelles réalisés en dehors de l’Union européenne doivent garantir aux personnes concernées un niveau de protection adéquat (art. 44 RGPD). Ce niveau de protection adéquat peut être garanti par différents mécanismes dont les BCR (art. 47 RGPD). Les BCR permettent à des entreprises au sein d’un même groupe d’entreprises d’échanger des données hors de l’Union Européenne sans que le niveau de protection des personnes garanti par le RGPD ne soit compromis.

Quelle est la procédure à suivre pour soumettre des BCR?

ÉTAPE 1

Vous êtes responsable de traitement ? Complétez le formulaire WP264
Vous êtes sous-traitant ? Complétez le formulaire WP265.

ÉTAPE 2

Dans la section 1.3 du formulaire WP264 ou le WP265 mentionné à l’étape 1 vous devez désigner une autorité « compétente » (art. 64 RGPD) et justifier votre choix conformément aux critères énoncés au point 1.2 du WP263 rev.01 (document en annexe). Vous fournissez à l’autorité désignée les informations listées au point 1.5 du WP263 rev.01 (document en annexe).

ÉTAPE 3

2 semaines
(+ max 2 semaines)
L'autorité désignée prend une décision sur sa compétence. Elle peut, le cas échéant, vous demander des informations complémentaires. Si elle s’estime compétente pour examiner les BCR, elle informe les autres autorités concernées  de sa décision. Les autorités concernées ont deux semaines pour émettre des objections sur sa compétence. 

Dans le contexte d’une procédure BCR, les autorités de protection des données concernées sont:
• Dans le cadre de règles d’entreprise contraignantes pour les responsables de traitement : toutes les autorités des pays à partir desquels des transferts sont opérés par le demandeur.
• Dans le cadre de règles d’entreprise contraignantes pour les sous-traitants: toutes les autorités sont concernées.
1 moisSi l’autorité désignée par le demandeur estime qu’elle n’est pas compétente, elle motive sa décision et recommande une autorité plus appropriée en concertation avec les autres autorités concernées

ÉTAPE 4

Pas de délaisSi les autorités concernées n’ont pas émis d’objections à la compétence de l’autorité désignée par le demandeur dans le délai de deux semaines, l'autorité désignée est considérée comme « compétente » pour mener la procédure BCR. Elle désigne une ou deux autorités d’appui (co-reviewer(s) - deux autorités d’appui seront désignées si 14 ou plus de 14 Etats membres sont concernés par les transferts) puis commence l'examen des BCR au regards des critères listés par le WP256 (pour les responsables de traitements) et par le WP257 (pour les sous-traitants). 
1 moisLorsque l’autorité « compétente » estime que les BCR sont conformes aux critères listés dans les lignes directrices du WP256 (pour les responsables de traitements) et par le WP257 (pour les sous-traitants), elle envoie les BCR aux autorités d’appui (co-reviewer(s)). A partir de l’envoi par l’autorité « compétente » des BCR, la ou les autorité(s) d’appui ont un mois pour transmettre à l’autorité « compétente » leurs objections éventuelles quant à la conformité des règles. Si elles émettent des objections, l’autorité « compétente » les transmettra au demandeur.

ÉTAPE 5

Max 1 moisLorsque l’autorité « compétente » et les autorités d’appui s’accordent sur le fait  que les BCR assurent un niveau de protection adéquat, l’autorité « compétente » transmet les règles à l’ensemble des autorités concernées pour leur commentaires et/ou objections éventuels. Cette consultation ne dure pas plus d’un mois.
Pas de délaisSi les autorités de protection des données concernées émettent des objections, l’autorité « compétente » les transmettra au demandeur.

ÉTAPE 6

8 semaines
(plus max 6 semaines)
Si les autorités de protection des données concernées n’émettent aucune objection sur les règles d'entreprise contraignantes, et que le Secrétariat Général de l'APD approuve la décision consolidée, l’autorité « compétente » transmet sa décision et les informations pertinentes au Comité Européen de la Protection des Données (ci-après « EDPB ») qui rend un avis conformément à l’article 64.3 du RGPD et l’article 10 de ses règles de procédure dans un délai de 8 semaines, prolongeable de 6 semaines.
Pas de délaisa. si l’EDPB approuve les BCR, elles peuvent être adoptées par l’autorité « compétente » ;
b. si l'EDPB estime que des amendements sont nécessaires, l’autorité « compétente » les communique au demandeur.

ÉTAPE 7

Pas de délaisLorsque les BCR seront approuvées par l’autorité « compétente », elles seront communiquées à l’ensemble des autorités concernées.

▶ ATTENTION

Conformément  à l’article 46.2 du RGPD, les procédures d’autorisations nationales n’existent plus !