Comité Européen de la Protection des Données

Comité européen de la protection des données – Trente-cinquième séance plénière: Note d’information relative aux règles d’entreprise contraignantes soumises à l’autorité de contrôle du Royaume-Uni en tant qu’autorité de contrôle chef de file

Thursday, 23 July, 2020

Bruxelles, le 23 juillet - Compte tenu de la fin prochaine de la période de transition du Brexit, le comité européen de la protection des données a adopté une note d’information soulignant les mesures que doivent prendre les autorités de contrôle, les détenteurs de règles d’entreprise contraignantes (BCR) approuvées et les organisations dont les BCR sont en cours d’examen par l’autorité de contrôle du Royaume-Uni, de façon à garantir que ces BCR puissent servir d’instruments de transfert valides, à l’issue de la période de transition. Dans la mesure où l’autorité de contrôle du Royaume-Uni ne pourra plus prétendre au statut d’autorité de contrôle compétente en vertu du RGPD à la fin de la période de transition, les décisions d’approbation de l’autorité de contrôle du Royaume-Uni adoptées en vertu du RGPD ne produiront plus d’effets juridiques dans l’EEE. En outre, il est possible que le contenu des BCR concernées doive être modifié avant la fin de la période de transition, étant donné que celles-ci contiennent généralement des références à l’ordre juridique du Royaume-Uni. Tel est aussi le cas des BCR déjà approuvées en vertu de la directive 94/46/CE.

Les détenteurs de BCR dont l’autorité de contrôle chef de file BCR est l’autorité de contrôle du Royaume-Uni doivent prendre toutes les dispositions organisationnelles nécessaires pour identifier une nouvelle autorité de contrôle chef de file BCR dans l’EEE. Le changement d’autorité de contrôle chef de file BCR devra intervenir avant la fin de la période de transition du Brexit.

Les demandeurs de BCR actuels sont invités à prendre toutes les dispositions organisationnelles nécessaires afin d’identifier une nouvelle autorité de contrôle chef de file BCR dans l’EEE, bien avant la fin de la période de transition du Brexit, y compris en contactant l’autorité de contrôle en question afin de lui fournir toutes les informations nécessaires expliquant les raisons pour lesquelles ladite autorité est considérée comme étant la nouvelle autorité de contrôle chef de file BCR. Cette dernière reprendra alors l’examen de la demande et ouvrira officiellement une procédure d’approbation soumise à l’avis du comité européen de la protection des données. Toutes les BCR approuvées par l’autorité de contrôle chef de file du Royaume-Uni en vertu du RGPD devront faire l’objet d’une nouvelle décision d’approbation émise par la nouvelle autorité de contrôle chef de file BCR de l’EEE avant la fin de la période de transition, à la suite d’un avis du comité européen de la protection des données. Le comité européen de la protection des données a aussi adopté une annexe contenant une liste de contrôle des éléments à modifier dans les documents liés aux BCR dans le contexte du Brexit.

La présente note d’information est sans préjudice de l’analyse actuellement réalisée par le comité européen de la protection des données concernant les conséquences de l’arrêt DPC contre Facebook Ireland et Schrems de la CJUE sur les BCR en tant qu’instruments de transfert.

EDPB_Communiqué de presse_2020_13