La Commission nationale de l’informatique et des libertés (ci-après « la CNIL »),

Saisie par la société Tessi SAS au nom et pour le compte du groupe Tessi, d’une demande d’approbation de ses BCR « sous-traitant » ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD), notamment ses articles 47, 57 et 64 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

Sur la proposition de M^me Anne DEBET, commissaire, et après avoir entendu les observations de M. Damien MILIC, commissaire du Gouvernement,

Formule les observations suivantes :

En vertu de l’article 47-1 du RGPD, la CNIL approuve des règles d’entreprise contraignantes (« BCR ») sous réserve que celles-ci répondent aux exigences prévues par cet article.

La mise en œuvre et l’adoption de BCR par un groupe d’entreprises visent à fournir des garanties aux responsables de traitement et aux sous-traitants établis sur le territoire de l’Union européenne (« UE ») afin qu’un niveau de protection uniforme soit appliqué aux données transférées vers des pays tiers, et ce, indépendamment du niveau de protection conféré par chacun de ces pays tiers.

Toutefois, avant de mettre en application ces BCR, il incombe à l’exportateur de données situé dans un État membre, le cas échéant en collaboration avec l’importateur de données, d’apprécier si le niveau de protection requis par le droit de l’UE est respecté dans le pays tiers de destination, y compris dans les situations de transferts ultérieurs. Cette évaluation doit être effectuée afin de déterminer si les garanties établies par les BCR peuvent être respectées dans la pratique, compte tenu des circonstances du transfert et des conflits qui peuvent exister entre les exigences du droit du pays tiers et les droits fondamentaux. Si tel n’est pas le cas, l’exportateur de données situé dans un État membre, le cas échéant en collaboration avec l’importateur de données, doit évaluer s’il peut prévoir des mesures supplémentaires pour assurer un niveau de protection substantiellement équivalent à celui garanti au sein de l’UE. La mise en œuvre des mesures supplémentaires relève de la responsabilité de l’exportateur, y compris après l’approbation des BCR par l’autorité compétente. Par conséquent, ces mesures supplémentaires ne font pas partie des éléments analysés dans le cadre de la procédure d’approbation des BCR.

Dans le cas où l’exportateur de données établi dans un État membre n’est pas à même de prendre des mesures supplémentaires suffisantes pour assurer un niveau de protection substantiellement équivalent à celui garanti dans l’UE, il ne peut y avoir de transfert de données à caractère personnel vers le pays tiers en vertu des BCR. Par conséquent, l’exportateur de données est tenu de renoncer, de suspendre ou de mettre fin au transfert de données à caractère personnel. Dans la même logique, lorsque l’exportateur prend connaissance de nouveaux développements touchant à la protection des données dans un pays tiers qui diminuent le niveau de protection attendu ; il est tenu de suspendre ou mettre fin au transfert concerné.

Conformément à la procédure de coopération décrite par le document de travail WP263 rev.01[1], la documentation relative aux BCR « sous-traitant » du groupe a été instruite par les services de la CNIL en qualité d’autorité compétente, puis par les services de deux autres autorités de protection des données agissant en qualité de co-examinatrices. Ces BCR ont également été revues par les autorités de protection des données des pays membres de l’Espace économique européen (« EEE ») en application de la procédure d’approbation mise en place par le Comité européen de la protection des données (« CEPD »).

L’instruction des BCR « sous-traitant » du groupe permet de conclure que celles-ci sont conformes aux critères imposés par l’article 47-1 du RGPD et le document de travail WP257.rev.01, notamment parce que les BCR susmentionnées :

I. sont rendues juridiquement contraignantes par un contrat intra-groupe et imposent une obligation claire à chaque entité liée, y compris à leurs employés, de les respecter (section V des BCR et annexes 2, 3 et 7 des BCR) ;

II. confèrent expressément des droits aux personnes concernées leur permettant de s’en prévaloir en tant que tiers bénéficiaires via les sections VIII et IX.1 des BCR et l’annexe 4 des BCR ;

III. répondent aux exigences prévues par l’article 47-2 du RGPD :

a) la structure et les coordonnées du groupe d’entreprises et de chacune des entités liées sont détaillées dans le formulaire de soumission, qui a été fourni dans le cadre de l’instruction du dossier, à la section IV et en annexes 2 et 8 des BCR ;

b) les transferts ou l’ensemble des transferts de données, y compris les catégories de données à caractère personnel, les types de traitements et leurs finalités, les types de personnes concernées et les pays tiers en question sont précisés à la section III.2 et en annexe 11 des BCR ;

c) la nature juridiquement contraignante, tant interne qu’externe, des BCR est reconnue par les sections V, VII, VIII et IX.1 des BCR ainsi qu’aux annexes 2, 3 et 7 ;

d) l’application des principes généraux relatifs à la protection des données, notamment la limitation de la finalité, la minimisation des données , la limitation des durées de conservation des données, la qualité des données, la protection des données dès la conception et la protection des données par défaut, la base juridique du traitement, le traitement de catégories particulières de données à caractère personnel, les mesures visant à garantir la sécurité des données, ainsi que les exigences en matière de transferts ultérieurs à des organismes qui ne sont pas liés par les règles d’entreprise contraignantes sont visés aux sections IX, XI, XIII.2, XIV des BCR ainsi qu’ en annexes 1, 4 et 10 des BCR ;

e) le droit d’introduire une réclamation auprès de l’autorité de contrôle compétente et devant les juridictions compétentes des États membres conformément aux articles 77 et 79 du RGPD et d’obtenir réparation et, le cas échéant, une indemnisation pour violation des règles d’entreprise contraignantes, sont prévus à la section VIII des BCR ;

f) l’acceptation, par le sous-traitant établi sur le territoire d’un État membre, de l’engagement de sa responsabilité pour toute violation des règles d’entreprise contraignantes par toute entité concernée non établie dans l’UE est précisée à la section VII des BCR, de même que le principe selon lequel l’exonération, en tout ou en partie, de cette responsabilité peut intervenir uniquement si l’entité responsable prouve que le fait générateur du dommage n’est pas imputable à l’entité en cause ;

g) la manière dont les informations sur les règles d’entreprise contraignantes, notamment en ce qui concerne les éléments mentionnés aux points d), e) et f) de l’article 47.2 du RGPD, sont fournies aux personnes concernées, en sus des informations visées aux articles 13 et 14 du RGPD, est spécifiée aux sections VIII et IX.1 des BCR ;

h) les missions de tout délégué à la protection des données, désigné conformément à l’article 37 du RGPD, ou de toute autre personne ou entité chargée de la surveillance du respect des règles d’entreprise contraignantes au sein du groupe d’entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe, ainsi que le suivi de la formation et le traitement des réclamations sont détaillées aux sections IV, XIV et XV des BCR ainsi qu’en annexes 4, 5 et 8 des BCR ;

i) les procédures de réclamation y compris l’obligation du sous-traitant d’informer le responsable du traitement d’une demande ou d’une réclamation d’une personne concernée, sont décrites aux sections VIII et XIV des BCR et en annexe 4 des BCR ;

j) les mécanismes mis en place au sein du groupe d’entreprises pour garantir le contrôle du respect des règles d’entreprise contraignantes sont détaillés à la section XVI et en annexe 6 des BCR. Ces mécanismes prévoient des audits sur la protection des données et des méthodes assurant que des mesures correctrices seront prises pour protéger les droits des personnes concernées. Les résultats de ces contrôles sont communiqués à la personne ou à l’entité visée au point h) ci-dessus et au conseil d’administration de l’entreprise qui exerce le contrôle du groupe d’entreprises, et sont mis à la disposition de l’autorité de contrôle compétente sur demande (section XIII.1 des BCR) ;

k) les mécanismes mis en place pour communiquer et consigner les modifications apportées aux règles et pour communiquer ces modifications à l’autorité de contrôle sont précisés à la section XVII des BCR ;

l) le mécanisme de coopération avec l’autorité de contrôle mis en place pour assurer le respect des règles par toutes les entités du groupe d’entreprises est décrit à la section XIII.1 des BCR. L’obligation de mise à disposition de l’autorité de contrôle des résultats des contrôles des mesures visés au point j) ci-dessus est spécifiée par ce même article ;

m) les mécanismes permettant de communiquer à l’autorité de contrôle compétente toutes les obligations juridiques auxquelles une entité du groupe d’entreprises est soumise dans un pays tiers qui sont susceptibles d’avoir un effet négatif important sur les garanties fournies par les règles d’entreprise contraignantes sont décrits à la section VI des BCR ;

n) enfin, la section XV et l’annexe 5 des BCR prévoient une formation appropriée en matière de protection des données pour le personnel ayant un accès permanent ou régulier aux données à caractère personnel.

Le CEPD a rendu l’avis n° 27/2023 en date du 28 novembre 2023, conformément à l’article 64-1-f du RGPD. La Commission a tenu compte de cet avis.

Décide :

La CNIL approuve les BCR « sous-traitant » présentées par le groupe Tessi, en ce qu’elles fournissent des garanties appropriées pour le transfert de données à caractère personnel conformément aux articles 46-1, 46-2-b, 47-1 et 47-2 du RGPD. Afin de dissiper toute ambigüité, la CNIL rappelle que l’approbation des BCR n’implique pas l’approbation de transferts spécifiques de données à caractère personnel effectués sur la base des BCR. En conséquence, l’approbation des BCR ne peut être interprétée comme une approbation des transferts vers des pays tiers inclus dans les BCR pour lesquels un niveau de protection substantiellement équivalent à celui assuré au sein de l’UE ne peut être garanti.

La mise en œuvre des BCR approuvées ne nécessite pas d’autorisation supplémentaire spécifique de la part des autorités européennes de protection des données concernées.

Conformément à l’article 58-2-j du RGPD, chaque autorité de protection des données concernée dispose du pouvoir d’ordonner la suspension des flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale dans le cas où les garanties appropriées prévues par les BCR « sous-traitant » du groupe Tessi ne seraient pas respectées.

La Présidente

Marie-Laure DENIS

ANNEXE

Les BCR « sous-traitant » du groupe Tessi qui sont approuvées par la présente décision couvrent le champ d’application suivant :

a. Champ d’application. Ces BCR « sous-traitant » s’appliquent lorsqu’une entité du groupe Tessi liée par les BCR agit en tant que sous-traitant pour le compte et sur les instructions d’un responsable du traitement établi dans l’UE qui n’est pas une entité du groupe Tessi (section III et annexes 2 et 11 des BCR).

b. Etats membres de l’EEE depuis lesquels les transferts sont effectués : France, Espagne, Bulgarie (annexe 2 des BCR).

c. Pays tiers vers lesquels les transferts sont effectués : les transferts de données à caractère personnel se font vers les entités du groupe Tessi localisées en Suisse, au Royaume-Uni, en Tunisie et à Maurice (annexe 2 des BCR).

d. Les finalités des transferts : les finalités sont détaillées à la section III.2.2 et en annexe 11 des BCR. Elles dépendent des services fournis et couvrent notamment les activités suivantes :

• développement d’applications : étude, conception, création d’applications web, applications mobiles ;
• tests et recettes des applications ;
• gestion des services informatiques : support, exploitation ;
• gestion de la sécurité informatique ;
• audits et contrôle interne : qualité, sécurité, conformité ;
• gestion des opérations promotionnelles relatives aux offres de remboursement, aux primes différées et aux jeux concours ;
• gestion des opérations de marketing ;
• gestion des réclamations ;
• gestion des sites Web et applications mobiles dans le cadre des services clients ;
• gestion et traitement des flux électroniques et papier : catégorisation, dactylographie, codage, enrichissement des fichiers clients, etc.

e. Catégories de personnes concernées : ces catégories sont listées à la section III.2.1 et en annexe 11 des BCR (clients et clients des clients) :

• les employés ;
• les stagiaires ;
• les clients ;
• les partenaires commerciaux ;
• les fournisseurs ;
• les prestataires et sous-traitants.

f. Catégories de données à caractère personnel transférées : ces catégories sont listées à la section III.2.1 et en annexe 11 des BCR :

• les données relatives à l’identité ;
• les données relatives à la vie professionnelle ;
• les données de connexion (les journaux (logs) et les adresses IP) ;
• les informations économiques et financières (revenus, impôts, données bancaires, droits sociaux, situation financière, etc.) ;
• les données sensibles.

[1] Approuvé par le CEPD le 25 mai 2018.