La Commission nationale de l’informatique et des libertés,

Saisie par la société Worldline SA au nom et pour le compte du groupe Worldline (ci-après Worldline ) d’une demande d’approbation de ses BCR sous-traitant ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD), notamment ses articles 47, 57 et 64 ;

Vu la décision de la CJUE C-311/18 Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems, du 16 juillet 2020 ;

Vu les recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE, du 18 juin 2021 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

Sur la proposition de M^me Anne Debet, commissaire, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,

Formule les observations suivantes :

En vertu de l’article 47-1 du RGPD, la CNIL approuve des règles d’entreprise contraignantes ( BCR ) sous réserve que celles-ci répondent aux exigences prévues par cet article.

La mise en œuvre et l’adoption de BCR par un groupe d’entreprises visent à fournir des garanties aux responsables de traitement et aux sous-traitants établis sur le territoire de l’Union européenne ( UE ) afin qu’un niveau de protection uniforme soit appliqué aux données transférées vers des pays tiers, et ce, indépendamment du niveau de protection conféré par chacun de ces pays tiers.

Toutefois, avant de mettre en application ces BCR, il incombe à l’exportateur de données situé dans un État membre, le cas échéant en collaboration avec l’importateur de données, d’apprécier si le niveau de protection requis par le droit de l’UE est respecté dans le pays tiers de destination, y compris dans les situations de transferts ultérieurs. Cette évaluation doit être effectuée afin de déterminer si les garanties établies par les BCR peuvent être respectées dans la pratique, compte tenu des circonstances du transfert et des conflits qui peuvent exister entre les exigences du droit du pays tiers et les droits fondamentaux garantis par l’UE. Si tel n’est pas le cas, l’exportateur de données situé dans un État membre, le cas échéant en collaboration avec l’importateur de données, doit évaluer s’il peut prévoir des mesures supplémentaires pour assurer un niveau de protection substantiellement équivalent à celui garanti au sein de l’UE. La mise en œuvre des mesures supplémentaires relève de la responsabilité de l’exportateur, y compris après l’approbation des BCR par l’autorité compétente. Par conséquent, ces mesures supplémentaires ne font pas partie des éléments analysés dans le cadre de la procédure d’approbation des BCR.

Dans le cas où l’exportateur de données établi dans un État membre n’est pas à même de prendre des mesures supplémentaires suffisantes pour assurer un niveau de protection substantiellement équivalent à celui garanti dans l’UE, il ne peut y avoir de transfert de données à caractère personnel vers le pays tiers en vertu des BCR. Par conséquent, l’exportateur de données est tenu de renoncer, de suspendre ou de mettre fin au transfert de données à caractère personnel. Dans la même logique, lorsque l’exportateur prend connaissance de nouveaux développements touchant à la protection des données dans un pays tiers qui diminuent le niveau de protection attendu, il est tenu de suspendre le transfert concerné ou d’y mettre fin.

Conformément à la procédure de coopération décrite par le document de travail WP263 rev.01[1], la documentation relative aux BCR sous-traitant du groupe a été instruite par les services de la CNIL en qualité d’autorité compétente, puis par les services de deux autres autorités de protection des données agissant en qualité de co-examinatrices. Ces BCR ont également été revues par les autorités de protection des données des pays membres de l’espace économique européen ( EEE ) en application de la procédure d’approbation mise en place par le Comité européen de la protection des données ( CEPD ).

L’instruction des BCR sous-traitant du groupe Worldline permet de conclure que celles-ci sont conformes aux critères imposés par l’article 47-1 du RGPD et le document de travail WP257 rev.01, notamment parce que ces BCR :

i. sont rendues juridiquement contraignantes par un contrat intra-groupe et obligent chaque entité liée, y compris leurs employés, à les respecter (article 9.1 et annexe 3 des BCR) ;

ii. confèrent expressément aux personnes concernées des droits dont elles peuvent se prévaloir en tant que tiers bénéficiaires via l’article 9.3 des BCR ;

iii. répondent aux exigences prévues par l’article 47-2 du RGPD :

a) la structure et les coordonnées du groupe d’entreprises et de chacune des entités liées sont détaillées dans l’annexe 1 des BCR ;

b) les transferts ou l’ensemble des transferts de données, y compris les catégories de données à caractère personnel, les types de traitements et leurs finalités, les types de personnes concernées et les pays tiers sont précisés dans l’annexe 2 des BCR ;

c) la nature juridiquement contraignante, tant interne qu’externe, des BCR est reconnue à l’article 9 et à l’annexe 3 des BCR ;

d) l’application des principes généraux relatifs à la protection des données, notamment la limitation de la finalité, la minimisation des données, la limitation des durées de conservation des données, la qualité des données, la protection des données dès la conception et la protection des données par défaut, la base juridique du traitement, le traitement de catégories particulières de données à caractère personnel, les mesures visant à garantir la sécurité des données, ainsi que les exigences en matière de transferts ultérieurs à des organismes qui ne sont pas liés par les règles d’entreprise contraignantes, sont visés à l’article 5 des BCR ;

e) le droit d’introduire une réclamation auprès de l’autorité de contrôle compétente et devant les juridictions compétentes des États membres conformément aux articles 77 et 79 du RGPD et d’obtenir réparation et, le cas échéant, une indemnisation pour violation des règles d’entreprise contraignantes, sont prévus aux articles 9.3, 9.4 et 9.5 des BCR ;

f) l’acceptation, par le sous-traitant établi sur le territoire d’un État membre, de l’engagement de sa responsabilité pour toute violation des règles d’entreprise contraignantes par toute entité concernée non établie dans l’UE est précisée à l’article 9.6 des BCR ; de même que le principe selon lequel l’exonération, en tout ou en partie, de cette responsabilité ne peut intervenir que si l’entité responsable prouve que le fait générateur du dommage n’est pas imputable à l’entité en cause ;

g) la manière dont les informations sur les règles d’entreprise contraignantes, notamment en ce qui concerne les éléments mentionnés aux points d), e) et f) de l’article 47.2 du RGPD, sont fournies aux personnes concernées, en sus des informations visées aux articles 13 et 14 du RGPD, est spécifiée aux articles 5.1 et 6.1 des BCR ;

h) les missions de tout délégué à la protection des données, désigné conformément à l’article 37 du RGPD, ou de toute autre personne ou entité chargée de la surveillance du respect des règles d’entreprise contraignantes au sein du groupe d’entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe, ainsi que le suivi de la formation et le traitement des réclamations, sont détaillées à l’article 8.4 des BCR ;

i) les procédures de réclamation, y compris l’obligation du sous-traitant d’informer le responsable du traitement d’une demande ou d’une réclamation d’une personne concernée, sont décrites à l’article 9.4 des BCR ;

j) les mécanismes mis en place au sein du groupe d’entreprises pour garantir le contrôle du respect des règles d’entreprise contraignantes sont détaillés à l’article 8.3 des BCR. Ces mécanismes prévoient des audits sur la protection des données et des méthodes assurant que des mesures correctrices seront prises pour protéger les droits des personnes concernées. Les résultats de ces contrôles sont communiqués à la personne ou à l’entité visée au point h) ci-dessus et au conseil d’administration de l’entreprise qui exerce le contrôle du groupe d’entreprises, et sont mis à la disposition de l’autorité de contrôle compétente sur sa demande ;

k) les mécanismes mis en place pour communiquer et consigner les modifications apportées aux règles et pour communiquer ces modifications à l’autorité de contrôle sont précisés à l’article 10.3 des BCR ;

l) le mécanisme de coopération avec l’autorité de contrôle, mis en place pour assurer le respect des règles par toutes les entités du groupe d’entreprises, est décrit à l’article 9.8 des BCR. L’obligation de mise à disposition de l’autorité de contrôle des résultats des contrôles des mesures visées au point j) ci-dessus est spécifiée à l’article 8.3 des BCR ;

m) les mécanismes permettant de communiquer à l’autorité de contrôle compétente toutes les obligations juridiques auxquelles une entité du groupe d’entreprises est soumise dans un pays tiers, et qui sont susceptibles d’avoir un effet négatif important sur les garanties fournies par les règles d’entreprise contraignantes, sont décrits à l’article 10.2 des BCR ;

n) enfin, l’article 8.2 des BCR prévoit une formation appropriée en matière de protection des données pour le personnel ayant un accès permanent ou régulier aux données à caractère personnel.

Le CEPD a rendu l’avis n°9/2025 en date du 5 mai 2025, conformément à l’article 64- 1-f du RGPD. La Commission a tenu compte de cet avis.

Décide :

La CNIL approuve les BCR sous-traitant présentées par le groupe Worldline, en ce qu’elles fournissent des garanties appropriées pour le transfert de données à caractère personnel conformément aux articles 46-1, 46-2-b, 47-1 et 47-2 du RGPD. Afin de dissiper toute ambiguïté, la CNIL rappelle que l’approbation des BCR n’implique pas l’approbation de transferts spécifiques de données à caractère personnel effectués sur la base des BCR. En conséquence, l’approbation des BCR ne peut être interprétée comme une approbation des transferts vers des pays tiers inclus dans les BCR pour lesquels un niveau de protection substantiellement équivalent à celui assuré au sein de l’UE ne peut être garanti.

La mise en œuvre des BCR approuvées ne nécessite pas d’autorisation supplémentaire spécifique de la part des autorités européennes de protection des données concernées.

Conformément à l’article 58-2-j du RGPD, chaque autorité de protection des données concernée dispose du pouvoir d’ordonner la suspension des flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale dans le cas où les garanties appropriées prévues par les BCR sous-traitant du groupe Worldline ne seraient pas respectées.

La présidente,

M.-L. Denis

ANNEXE AU PROJET DE DECISION

Les BCR sous-traitant du groupe Worldline approuvées par la présente décision s’étendent au périmètre décrit ci-après :

a. Champ d’application.

Ces BCR sous-traitant s’appliquent à toutes les données personnelles traitées et transférées au sein du groupe par les entités Worldline agissant en tant que sous-traitants et/ou sous-traitants ultérieurs pour le compte d’entités non Worldline agissant en tant que responsables du traitement. Tout transfert d’une entité Worldline au sein de l’UE/EEE (agissant en tant que sous-traitant ou sous-traitant ultérieur) vers une entité Worldline en dehors de l’UE/EEE (agissant en tant que sous-traitant ultérieur) et tout transfert ultérieur sont couverts.

b. Etats membres de l’EEE depuis lesquels les transferts sont effectués.

Les États membres de l’EEE depuis lesquels les transferts sont effectués sont visés à l’annexe 1 des BCR et sont les suivants : Allemagne, Autriche, Belgique, Danemark, Espagne, Estonie, Finlande, France, Grèce, Hongrie, Italie, Lettonie, Lituanie, Luxembourg, Malte, Norvège, Pays-Bas, Pologne, Portugal, République tchèque, Roumanie, Slovaquie, Slovénie et Suède.

c. Pays tiers vers lesquels les transferts sont effectués.

Les pays tiers vers lesquels les transferts sont effectués sont visés à l’annexe 1 des BCR et sont les suivants : Argentine, Australie, Brésil, Canada, Chine, États-Unis, Hong Kong, Inde, Indonésie, Japon, Malaisie, Mexique, Nouvelle-Zélande, Philippines, Royaume-Uni, Singapour et Taïwan.

d. Les finalités des transferts.

Les finalités des transferts sont détaillées dans l’annexe 2 des BCR. Elles comprennent notamment les finalités suivantes :

• Embarquement des commerçants ;
• Examens périodiques ;
• Lutte contre la fraude ;
• Analyse des modèles, examen des transactions de paiement ;
• Support des commerçants : Surveillance, gestion du support, maintenance, provisionnement.

e. Catégories de personnes concernées.

Les catégories de personnes concernées sont détaillées dans l’annexe 2 des BCR et comprennent les :

• Commerçants et représentants des commerçants ;
• Consommateurs finaux.

f.Catégories de données à caractère personnel transférées.

Les catégories de données à caractère personnel transférées sont détaillées dans l’annexe 2 des BCR.

[1] Approuvé par le CEPD le 25 mai 2018.