Catégories
Justice:

Le CEPD adopte des orientations sur les règles d’entreprise contraignantes du contrôleur

Le 30 juin 2023, le comité européen de la protection des données (« EDPB ») a publié les recommandations 1/2022 sur la demande d’approbation et sur les éléments et principes figurant dans les règles d’entreprise contraignantes du responsable du traitement (art. 47 RGPD) (les « recommandations ”), qui ont été adoptées le 20 juin 2023. Les règles d’entreprise contraignantes (“BCR”) sont un mécanisme de transfert de données personnelles vers des pays tiers conformément au chapitre V du règlement général de l’UE sur la protection des données (“GDPR”), et doivent être approuvé par l’autorité de contrôle principale de l’organisation concernée. Les BCR créent des droits opposables et énoncent des engagements afin de créer, pour les données personnelles transférées dans le cadre des BCR, un niveau de protection essentiellement équivalent à celui prévu par le RGPD.

Les recommandations visent à :

  • Fournir un formulaire standard pour la demande d’approbation des BCR pour les contrôleurs (« BCR-C ») ;
  • Clarifier le contenu nécessaire des BCR-C comme indiqué à l’article 47 du RGPD ;
  • Faire une distinction entre ce qui doit être inclus dans les BCR-C et ce qui doit être présenté à l’autorité de contrôle chef de file des BCR dans la demande ; autre
  • Fournir des explications et des commentaires sur les exigences.