La Commission nationale de l’informatique et des libertés (ci-après « la CNIL »),

Saisie par la société Thales S.A. au nom et pour le compte du groupe Thales (ci-après « Thales ») d’une demande d’approbation de ses BCR « sous-traitant » ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD), notamment ses articles 47, 57 et 64 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

Sur la proposition de M^me Anne DEBET, commissaire, et après avoir entendu les observations de M. Damien MILIC, commissaire du Gouvernement,

Formule les observations suivantes :

En vertu de l’article 47-1 du RGPD, la CNIL approuve des règles d’entreprise contraignantes (« BCR ») sous réserve que celles-ci répondent aux exigences prévues par cet article.

La mise en œuvre et l’adoption de BCR par un groupe d’entreprises visent à fournir des garanties aux responsables de traitement et aux sous-traitants établis sur le territoire de l’Union européenne (« UE ») afin qu’un niveau de protection uniforme soit appliqué aux données transférées vers des pays tiers, et ce, indépendamment du niveau de protection conféré par chacun de ces pays tiers.

Toutefois, avant de mettre en application ces BCR, il incombe à l’exportateur de données situé dans un État membre, le cas échéant en collaboration avec l’importateur de données, d’apprécier si le niveau de protection requis par le droit de l’UE est respecté dans le pays tiers de destination, y compris dans les situations de transferts ultérieurs. Cette évaluation doit être effectuée afin de déterminer si les garanties établies par les BCR peuvent être respectées dans la pratique, compte tenu des circonstances du transfert et des conflits qui peuvent exister entre les exigences du droit du pays tiers et les droits fondamentaux. Si tel n’est pas le cas, l’exportateur de données situé dans un État membre, le cas échéant en collaboration avec l’importateur de données, doit évaluer s’il peut prévoir des mesures supplémentaires pour assurer un niveau de protection substantiellement équivalent à celui garanti au sein de l’UE. La mise en œuvre des mesures supplémentaires relève de la responsabilité de l’exportateur, y compris après l’approbation des BCR par l’autorité compétente. Par conséquent, ces mesures supplémentaires ne font pas partie des éléments analysés dans le cadre de la procédure d’approbation des BCR.

Dans le cas où l’exportateur de données établi dans un État membre n’est pas à même de prendre des mesures supplémentaires suffisantes pour assurer un niveau de protection substantiellement équivalent à celui garanti dans l’UE, il ne peut y avoir de transfert de données à caractère personnel vers le pays tiers en vertu des BCR. Par conséquent, l’exportateur de données est tenu de renoncer, de suspendre ou de mettre fin au transfert de données à caractère personnel. Dans la même logique, lorsque l’exportateur prend connaissance de nouveaux développements touchant à la protection des données dans un pays tiers qui diminuent le niveau de protection attendu ; il est tenu de suspendre ou mettre fin au transfert concerné.

Conformément à la procédure de coopération décrite par le document de travail WP263 rev.01[1], la documentation relative aux BCR « sous-traitant » du groupe a été instruite par les services de la CNIL en qualité d’autorité compétente, puis par les services de deux autres autorités de protection des données agissant en qualité de co-examinatrices. Ces BCR ont également été revues par les autorités de protection des données des pays membres de l’Espace économique européen (« EEE ») en application de la procédure d’approbation mise en place par le Comité européen de la protection des données (« CEPD »).

L’instruction des BCR « sous-traitant » du groupe permet de conclure que celles-ci sont conformes aux critères imposés par l’article 47-1 du RGPD et le document de travail WP257 rev.01, notamment parce que les BCR susmentionnées :

I. sont rendues juridiquement contraignantes par un contrat intra-groupe et imposent une obligation claire à chaque entité liée, y compris à leurs employés, de les respecter (article 3 des BCR, annexe 11 des BCR et article 2 du contrat intra-groupe) ;

II. confèrent expressément des droits aux personnes concernées leur permettant de s’en prévaloir en tant que tiers bénéficiaires via l’article 10.2 des BCR ;

III. répondent aux exigences prévues par l’article 47-2 du RGPD :

a) la structure et les coordonnées du groupe d’entreprises et de chacune des entités liées sont détaillées dans le formulaire de soumission qui a été fourni dans le cadre de l’instruction du dossier ainsi qu’à l’annexe 7 des BCR ;

b) les transferts ou l’ensemble des transferts de données, y compris les catégories de données à caractère personnel, les types de traitements et leurs finalités, les types de personnes concernées et les pays tiers en question sont précisés en annexes 1 et 8 des BCR ;

c) la nature juridiquement contraignante, tant interne qu’externe, des BCR est reconnue à l’article 3 des BCR, annexe 11 des BCR et à l’article 2 du contrat intra-groupe ;

d) l’application des principes généraux relatifs à la protection des données, notamment la limitation de la finalité, la minimisation des données, la limitation des durées de conservation des données, la qualité des données, la protection des données dès la conception et la protection des données par défaut, la base juridique du traitement, le traitement de catégories particulières de données à caractère personnel, les mesures visant à garantir la sécurité des données, ainsi que les exigences en matière de transferts ultérieurs à des organismes qui ne sont pas liés par les règles d’entreprise contraignantes, sont visés aux articles 4, 5, 8 et 13 des BCR ;

e) le droit d’introduire une réclamation auprès de l’autorité de contrôle compétente et devant les juridictions compétentes des États membres conformément aux articles 77 et 79 du RGPD et d’obtenir réparation et, le cas échéant, une indemnisation pour violation des règles d’entreprise contraignantes, sont prévus aux articles 9, 10, 11 et 12 des BCR ;

f) l’acceptation, par le sous-traitant établi sur le territoire d’un État membre, de l’engagement de sa responsabilité pour toute violation des règles d’entreprise contraignantes par toute entité concernée non établie dans l’UE est précisée à l’article 9 des BCR, de même que le principe selon lequel l’exonération, en tout ou en partie, de cette responsabilité peut intervenir uniquement si l’entité responsable prouve que le fait générateur du dommage n’est pas imputable à l’entité en cause ;

g) la manière dont les informations sur les règles d’entreprise contraignantes, notamment en ce qui concerne les éléments mentionnés aux points d), e) et f) de l’article 47.2 du RGPD, sont fournies aux personnes concernées, en sus des informations visées aux articles 13 et 14 du RGPD, est spécifiée à l’article 17.1 des BCR ;

h) les missions de tout délégué à la protection des données, désigné conformément à l’article 37 du RGPD, ou de toute autre personne ou entité chargée de la surveillance du respect des règles d’entreprise contraignantes au sein du groupe d’entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe, ainsi que le suivi de la formation et le traitement des réclamations, sont détaillées à l’article 20 des BCR et en annexes 2, 3, 5 et 6 des BCR ;

i) les procédures de réclamation y compris l’obligation du sous-traitant d’informer le responsable du traitement d’une demande ou d’une réclamation d’une personne concernée, sont décrites aux articles 11 et 12 des BCR ainsi qu’aux annexes 2 et 3 des BCR ;

j) les mécanismes mis en place au sein du groupe d’entreprises pour garantir le contrôle du respect des règles d’entreprise contraignantes sont détaillés à l’article 19 et en annexe 4 des BCR. Ces mécanismes prévoient des audits sur la protection des données et des méthodes assurant que des mesures correctrices seront prises pour protéger les droits des personnes concernées. Les résultats de ces contrôles sont communiqués à la personne ou à l’entité visée au point h) ci-dessus et au conseil d’administration de l’entreprise qui exerce le contrôle du groupe d’entreprises, et sont mis à la disposition de l’autorité de contrôle compétente sur demande ;

k) les mécanismes mis en place pour communiquer et consigner les modifications apportées aux règles et pour communiquer ces modifications à l’autorité de contrôle sont précisés à l’article 21 des BCR ;

l) le mécanisme de coopération avec l’autorité de contrôle mis en place pour assurer le respect des règles par toutes les entités du groupe d’entreprises est décrit à l’article 16 des BCR. L’obligation de mise à disposition de l’autorité de contrôle des résultats des contrôles des mesures visées au point j) ci-dessus est spécifiée à l’article 19 des BCR ;

m) les mécanismes permettant de communiquer à l’autorité de contrôle compétente toutes les obligations juridiques auxquelles une entité du groupe d’entreprises est soumise dans un pays tiers qui sont susceptibles d’avoir un effet négatif important sur les garanties fournies par les règles d’entreprise contraignantes sont décrits à l’article 8 des BCR ;

n) enfin, l’article 18 et l’annexe 5 des BCR prévoient une formation appropriée en matière de protection des données pour le personnel ayant un accès permanent ou régulier aux données à caractère personnel.

Le CEPD a rendu l’avis n°32/2023 en date du 28 novembre 2023, conformément à l’article 64- 1-f du RGPD. La Commission a tenu compte de cet avis.

Décide :

La CNIL approuve les BCR « sous-traitant » présentées par le groupe Thales, en ce qu’elles fournissent des garanties appropriées pour le transfert de données à caractère personnel conformément aux articles 46-1, 46-2-b, 47-1 et 47-2 du RGPD. Afin de dissiper toute ambigüité, la CNIL rappelle que l’approbation des BCR n’implique pas l’approbation de transferts spécifiques de données à caractère personnel effectués sur la base des BCR. En conséquence, l’approbation des BCR ne peut être interprétée comme une approbation des transferts vers des pays tiers inclus dans les BCR pour lesquels un niveau de protection substantiellement équivalent à celui assuré au sein de l’UE ne peut être garanti.

La mise en œuvre des BCR approuvées ne nécessite pas d’autorisation supplémentaire spécifique de la part des autorités européennes de protection des données concernées.

Conformément à l’article 58-2-j du RGPD, chaque autorité de protection des données concernée dispose du pouvoir d’ordonner la suspension des flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale dans le cas où les garanties appropriées prévues par les BCR « sous-traitant » du groupe Thales ne seraient pas respectées.

La Présidente

Marie-Laure DENIS

ANNEXE

Les BCR « sous-traitant » du groupe Thales qui sont approuvées par la présente décision s’étendent au périmètre décrit ci-après :

a. Champ d’application.

Ces BCR « sous-traitant » s’appliquent aux transferts de données à caractère personnel depuis des entités Thales agissant en qualité de sous-traitants situées dans l’EEE vers des entités du même groupe agissant en qualité de sous-traitant ultérieurs situées en dehors de l’EEE, ainsi qu’aux transferts ultérieurs vers d’autres entités Thales situées en dehors de l’EEE (article 2.3 BCR).

b. Etats membres de l’EEE depuis lesquels les transferts sont effectués.

Ces Etats membres sont visés à l’annexe 7.1 des BCR. Il s’agit des pays suivants : France, Autriche, Belgique, Danemark, Estonie, Finlande, Allemagne, Grèce, Hongrie, Italie, Lettonie, Pays-Bas, Norvège, Pologne, Portugal, Roumanie, Espagne et Suède.

c. Pays tiers vers lesquels les transferts sont effectués.

Ces pays tiers sont mentionnés en annexes 7.2 et 8 des BCR. Il s’agit des pays suivants : Afrique du Sud, Algérie, Arabie Saoudite, Argentine, Australie, Bahreïn, Bolivie, Brésil, Cameroun, Canada, Chili, Chine, Colombie, Corée du Sud, Côte d’Ivoire, Égypte, Emirats Arabes Unis, Etats-Unis d’Amérique, Gabon, Hong-Kong, Inde, Indonésie, Israël, Japon, Kazakhstan, Kenya, Liban, Malaisie, Maroc, Maurice, Mexique, Nigeria, Nouvelle-Zélande, Oman, Pakistan, Philippines, Qatar, Royaume-Uni, Sénégal, Singapour, Suisse, Taiwan, Thaïlande, Turquie et Venezuela.

d. Les finalités des transferts.

Ces finalités sont détaillées en annexe 1 des BCR, comme suit :

• Traitements de données dans le cadre de l’externalisation, de l’hébergement et de la gestion de systèmes informatiques et de sécurité fournis par Thales à ses clients
• Traitement de données résultant du support technique et des opérations de maintenance effectués pour le compte de clients en exécution d’un contrat
• Traitement de données afin de fournir du support technique et des services de maintenance aux clients pour des systèmes de surveillance et de navigation
• Traitements destinés à assurer l’organisation, le suivi et l’exécution de sessions de formation dispensées par Thales à ses clients en tant que Sous-Traitant
• Collecte et traitement de données par Thales pour le compte de ses clients compagnies aériennes afin de fournir des services à ces compagnies
• Collecte et traitement de données par Thales pour le compte de ses clients compagnies aériennes afin de fournir des services personnalisés aux usagers
• Collecte et traitement de données par Thales pour le compte de ses clients impliquant la consolidation et la redistribution de données à ses clients ou à des tiers désignés par les clients
• Traitements afin d’adapter et ajuster les produits aux besoins des clients
• Traitement de données personnelles pour la gestion bancaire numérique
• Traitement de données personnelles pour la vérification d’identité et la reconnaissance faciale
• Traitement de données personnelles pour des services de connectivité à la demande afin de connecter des objets aux réseaux cellulaires
• Traitement de données personnelles pour des solutions de licences de programmes informatiques

e. Catégories de personnes concernées.

Ces catégories sont indiquées dans l’article 2.2 des BCR. Elles couvrent les :

• contacts des clients de Thales ;
• employés des clients de Thales ;
• contacts des clients des clients de Thales (client final) ;
• employés des clients des clients de Thales ;
• contacts des prestataires et fournisseurs de Thales ;
• employés des prestataires et fournisseurs de Thales.

f. Catégories de données à caractère personnel transférées.

Ces catégories sont reprises par l’article 2.2 des BCR. Il s’agit de :

• données d’identification ;
• données relatives à la vie professionnelle ;
• données de connexion ;
• données biométriques ;
• données économiques et financières ;
• données de localisation ;
• permis de conduire ;
• toute information disponible publiquement.

[1] Approuvé par le CEPD le 25 mai 2018.