Avec ses recommandations 1/2026 relatives aux règles d’entreprise contraignantes (binding corporate rules - BCR) applicables aux sous-traitants (BCR-ST), le Comité européen de la protection des données (CEPD) clarifie le positionnement de cet outil au sein de l’architecture des transferts internationaux de données. Loin d’une simple mise à jour technique, ce texte, actuellement soumis à consultation publique, redéfinit le périmètre, la portée juridique et la fonction stratégique des BCR-ST.
Prévues par l’article 47 du RGPD, les BCR sont des règles internes adoptées par un groupe multinational afin d’encadrer les transferts de données personnelles entre ses différentes entités, notamment lorsque certaines sont situées hors de l’Espace économique européen (EEE). Plus spécifiquement, les BCR-ST, outil de transfert au titre de l’article 46 du RGPD, peuvent être utilisées par une société du groupe agissant en qualité de sous-traitant pour le compte d’un responsable de traitement, afin de transférer des données à des entités du groupe situées en dehors de l’EEE, que celles-ci interviennent comme sous-traitants ou sous-traitants ultérieurs au sein du même groupe.
Une mise à jour attendue du cadre BCR pour sous-traitants
Les recommandations publiées le 15 janvier 2026 visent à harmoniser le référentiel applicable aux BCR-ST en tenant compte de l’expérience acquise au cours des procédures d’approbation des dossiers depuis l’entrée en vigueur du RGPD, ainsi que des enseignements tirés des travaux préparatoires des recommandations 1/2022 sur les règles d’entreprise contraignantes pour les responsables du traitement (BCR-RT). Ces nouvelles recommandations abrogent et remplacent ainsi deux textes de référence approuvés en 2018 par le CEPD : le WP265 (recommandation sur le formulaire type) et le WP257 (tableau des éléments et principes requis dans les BCR).
Les recommandations visent d’abord à rendre le cadre des BCR-ST plus lisible et opérationnel. Le CEPD fournit ainsi un modèle de demande d’approbation harmonisé, précise le contenu...
