Transferts de données intragroupes (BCR-ST)

Avec ses recommandations 1/2026 relatives aux règles d’entreprise contraignantes (binding corporate rules - BCR) applicables aux sous-traitants (BCR-ST), le Comité européen de la protection des données (CEPD) clarifie le positionnement de cet outil au sein de l’architecture des transferts internationaux de données. Loin d’une simple mise à jour technique, ce texte, actuellement soumis à consultation publique, redéfinit le périmètre, la portée juridique et la fonction stratégique des BCR-ST.

Prévues par l’article 47 du RGPD, les BCR sont des règles internes adoptées par un groupe multinational afin d’encadrer les transferts de données personnelles entre ses différentes entités, notamment lorsque certaines sont situées hors de l’Espace économique européen (EEE). Plus spécifiquement, les BCR-ST, outil de transfert au titre de l’article 46 du RGPD, peuvent être utilisées par une société du groupe agissant en qualité de sous-traitant pour le compte d’un responsable de traitement, afin de transférer des données à des entités du groupe situées en dehors de l’EEE, que celles-ci interviennent comme sous-traitants ou sous-traitants ultérieurs au sein du même groupe.

Une mise à jour attendue du cadre BCR pour sous-traitants

Les recommandations publiées le 15 janvier 2026 visent à harmoniser le référentiel applicable aux BCR-ST en tenant compte de l’expérience acquise au cours des procédures d’approbation des dossiers depuis l’entrée en vigueur du RGPD, ainsi que des enseignements tirés des travaux préparatoires des recommandations 1/2022 sur les règles d’entreprise contraignantes pour les responsables du traitement (BCR-RT). Ces nouvelles recommandations abrogent et remplacent ainsi deux textes de référence approuvés en 2018 par le CEPD : le WP265 (recommandation sur le formulaire type) et le WP257 (tableau des éléments et principes requis dans les BCR).

Les recommandations visent d’abord à rendre le cadre des BCR-ST plus lisible et opérationnel. Le CEPD fournit ainsi un modèle de demande d’approbation harmonisé, précise le contenu que doivent réellement comporter ces règles au regard du RGPD et distingue mieux ce qui relève du document BCR lui-même de ce qui doit être produit dans le dossier soumis à l’autorité chef de file. L’objectif de cette mise à jour est clair : expliciter les exigences applicables et sécuriser les procédures d’approbation, dans un contexte où les groupes attendent davantage de prévisibilité dans l’instruction de leurs BCR.

Un périmètre d’utilisation clarifié et restreint

Une des évolutions apportées par les recommandations concerne le champ d’application des BCR-ST. Le Comité précise que ces règles n’ont vocation à couvrir que les transferts intervenant au sein du groupe après que les données ont été confiées à l’un de ses membres agissant en tant que sous-traitant pour le compte d’un responsable du traitement qui n’est pas membre du groupe. Elles organisent donc la circulation interne entre entités agissant comme sous-traitants ou sous-traitants ultérieurs. En revanche, elles ne sauraient constituer le fondement du transfert initial réalisé par un responsable de traitement externe vers une entité du groupe située hors de l’EEE. Ce transfert doit en effet continuer à reposer sur un autre mécanisme de l’article 46 du RGPD, notamment celui des clauses contractuelles types.

Cette précision limite la portée que certains groupes avaient pu attribuer aux BCR-ST et en recentre l’usage sur leur fonction première : garantir la continuité du niveau de protection des données au sein de chaînes de sous-traitance internationales souvent complexes, et non servir de mécanisme universel de transfert.

Quelle articulation avec l’article 28 du RGPD ?

Les recommandations viennent également préciser la manière dont les BCR-ST s’articulent avec les obligations contractuelles imposées par l’article 28 du RGPD. Elles rappellent que la mise en place de BCR au sein d’un groupe ne dispense pas de conclure un accord de traitement avec le client responsable de traitement, ledit contrat devant faire référence aux BCR pour en assurer l’effectivité. En revanche, ces règles internes ont vocation à simplifier l’organisation de la sous-traitance au sein du groupe, en évitant la conclusion systématique d’accords distincts entre entités pour les opérations réalisées en chaîne. Le CEPD insiste toutefois sur un point : les contrats conclus doivent rester cohérents avec les BCR et ne peuvent en aucun cas réduire le niveau de protection qu’elles garantissent.

Cette clarification présente un intérêt opérationnel notable pour les groupes disposant de centres de services partagés, de plateformes cloud internes ou de traitements réalisés de manière décentralisée au sein du groupe. Elle ouvre la voie à une rationalisation documentaire, les BCR pouvant constituer à la fois un instrument de transfert et un cadre contractuel interne.

Les limites de l’approbation des BCR

Les recommandations prennent soin de dissiper une ambiguïté fréquente : l’approbation des BCR par une autorité de contrôle ne constitue pas une validation globale des traitements ou des transferts opérés en pratique. Cette décision confirme uniquement que les règles internes du groupe répondent, sur le papier, aux exigences de l’article 47 du RGPD et sont susceptibles d’offrir des garanties appropriées pour encadrer des flux vers des pays tiers.

La CEPD insiste ainsi sur le fait que la responsabilité des entreprises reste entière dans la mise en œuvre concrète des transferts. Chaque entité exportatrice, ainsi que le responsable de traitement pour le compte duquel les données sont transférées, doit vérifier au cas par cas que les conditions du RGPD sont respectées, apprécier les risques liés au pays de destination et, le cas échéant, prévoir des mesures complémentaires. Ces éléments ne sont pas examinés par les autorités dans la procédure d’approbation elle-même.

Les groupes devront donc continuer à documenter, pour chaque transfert, le respect des exigences du RGPD et la nécessité éventuelle de mettre en place des garanties complémentaires. Les BCR apparaissent ainsi comme un socle organisationnel, mais non comme une garantie exhaustive. Cette position confirme la tendance observée depuis plusieurs années : aucun mécanisme de transfert n’est désormais considéré comme autosuffisant et une évaluation au cas par cas est nécessaire.

Une structuration accrue du contenu des BCR

Les recommandations ne modifient pas les exigences juridiques issues de l’article 47 du RGPD, mais elles en encadrent plus précisément la présentation et la documentation. Le CEPD distingue ainsi clairement ce qui doit relever du document BCR lui-même de ce qui doit être présenté dans le cadre du dossier d’approbation, là où, jusqu’à présent, la frontière restait largement façonnée par la pratique et par les échanges avec l’autorité chef de file.

Cette évolution se matérialise notamment par la mise à jour du formulaire type et du référentiel contenant les éléments et principes requis pour l’approbation des BCR-ST. Les groupes sont invités à présenter leur organisation, la structure de leurs entités concernées, la cartographie des flux de données, ainsi que les mécanismes internes de contrôle et de gouvernance. Ils sont également incités à documenter précisément la répartition des responsabilités entre entités, les circuits de décision en matière de traitement des données, les mécanismes d’audit interne, les procédures de gestion des incidents ou encore les modalités d’information des personnes concernées. Cette standardisation devrait, à terme, apporter davantage de prévisibilité dans l’instruction des dossiers. Mais elle implique aussi un investissement en amont plus important.

Vers un outil de gouvernance plutôt que de simple transfert

Au-delà des ajustements techniques, les recommandations 1/2026 marquent une évolution plus profonde des BCR-ST. Celles-ci apparaissent désormais comme un outil stratégique de gouvernance des données à l’échelle du groupe. Mais cette évolution suppose en contrepartie un investissement plus important des groupes qui sont invités à documenter avec précision les éléments et principes qui doivent figurer dans les BCR-ST. Les recommandations sont actuellement soumises à consultation publique jusqu’au 2 mars 2026, offrant aux entreprises, aux praticiens et aux organisations professionnelles l’occasion de faire valoir leurs observations avant l’adoption de la version finale.

Article paru dans Option finance le 3 mars 2026