Les groupes internationaux qui agissent comme sous-traitants et font circuler des données personnelles hors de l’Union européenne doivent regarder de très près les nouvelles recommandations 1/2026 du Comité européen de la protection des données. Le texte ne crée pas un “nouveau RGPD”, mais il met à jour le référentiel des Processor Binding Corporate Rules (BCR-P), c’est-à-dire les règles d’entreprise contraignantes permettant d’encadrer certains transferts intra-groupe. En pratique, pour les sous-traitants concernés, l’enjeu est clair : formaliser des BCR-P rendues contraignantes entre filiales, le plus souvent au moyen d’un accord intra-groupe, articuler ce dispositif avec les contrats conclus avec les clients, et documenter sérieusement la conformité.
1. BCR-P : de quoi parle-t-on vraiment ?
Le 15 janvier 2026, le CEPD a adopté des recommandations 1/2026 sur les Processor Binding Corporate Rules, publiées dans le cadre d’une consultation publique ouverte à partir du 19 janvier 2026 et clôturée le 2 mars 2026. Point important pour les entreprises : il s’agit d’un référentiel de recommandations du CEPD, pas d’un nouveau règlement européen autonome. En revanche, ce texte est très important en pratique, car il précise la manière dont les autorités de contrôle apprécieront les BCR-P au regard des articles 46 et 47 du RGPD.
Les BCR sont un mécanisme reconnu au niveau européen pour encadrer certains transferts de données hors UE au sein d’un groupe. La Commission européenne rappelle qu’elles doivent contenir les principes généraux de protection des données, créer des droits opposables et être juridiquement contraignantes pour toutes les entités concernées du groupe. Le CEPD souligne de son côté que, pour les BCR-P, une simple référence abstraite au RGPD ne suffit pas : les engagements doivent être réellement traduits dans les règles internes du groupe.
Autrement dit, les BCR-P sont faites pour une situation précise : un groupe d’entreprises agit comme sous-traitant pour le compte d’un client, et les données sont ensuite traitées par d’autres entités du même groupe situées dans des pays tiers, comme des centres de services, des filiales techniques ou des équipes de support hors UE. C’est typiquement le cas d’un prestataire cloud, d’un infogéreur ou d’un groupe de services numériques mondial.
2. Dans quels cas les sous-traitants peuvent-ils utiliser ce mécanisme ?
Le nouveau référentiel rappelle une limite essentielle, souvent mal comprise : les BCR-P ne servent pas à couvrir n’importe quel transfert international. Elles visent les données traitées par des membres du groupe agissant comme sous-traitants pour le compte d’un responsable de traitement externe au groupe, puis transférées vers d’autres membres du groupe agissant comme sous-traitants internes dans des pays tiers. En revanche, les recommandations précisent que les BCR-P ne sont pas adaptées pour couvrir un transfert direct d’un responsable de traitement externe vers une entité du groupe située dans un pays tiers : dans ce cas, un autre outil de transfert au sens de l’article 46 est nécessaire.
Cette précision est capitale pour les entreprises, car beaucoup de groupes internationaux pensent pouvoir “couvrir” tous leurs flux avec une seule politique mondiale. Ce n’est pas le cas. Avant de lancer un projet BCR-P, il faut donc cartographier très finement les flux : qui agit comme responsable de traitement, qui agit comme sous-traitant, quelle filiale exporte les données depuis l’EEE, quelle filiale les importe hors UE, et pour quelles finalités opérationnelles. Sans cette cartographie, le risque est de bâtir un dispositif élégant sur le papier, mais inadapté juridiquement à une partie des flux réels.
Le texte insiste aussi sur l’articulation avec le contrat conclu avec le client. En plus des BCR-P, un contrat de sous-traitance conforme à l’article 28, paragraphe 3, du RGPD doit être signé entre le responsable de traitement externe et une ou plusieurs entités du groupe soumises au RGPD. Ce contrat doit faire référence aux BCR-P et rendre celles-ci opposables au profit du client. En revanche, lorsqu’un membre du groupe recourt à un autre membre du groupe comme sous-traitant interne, les recommandations indiquent qu’un groupe ayant mis en place des BCR-P n’aura pas à conclure un contrat de sous-traitance interne distinct avec chaque filiale couverte par ces BCR-P.
3. Concrètement, que faut-il faire pour les transferts intra-groupe hors UE ?
Pour les sous-traitants concernés, le message pratique du CEPD est net : il ne suffit pas d’avoir une politique de confidentialité interne. Il faut mettre en place de véritables BCR-P contraignantes entre les sociétés du groupe. Le référentiel prévoit que le groupe doit expliquer comment les BCR-P deviennent obligatoires pour ses membres. Le CEPD cite expressément l’accord intra-groupe comme instrument de référence, en précisant même que l’outil le plus simple est un arrangement contractuel intra-groupe, car il peut être juridiquement opposable.
En pratique, cela signifie qu’un sous-traitant international qui opère des transferts hors UE intra-groupe doit préparer un package contractuel et organisationnel comprenant, au minimum, les éléments suivants :
– un corpus de Processor Binding Corporate Rules décrivant les engagements du groupe ;
– un accord intra-groupe signé entre les filiales concernées pour rendre ces règles juridiquement obligatoires ;
– des clauses permettant aux personnes concernées de faire valoir certains droits ;
– un contrat article 28 avec le client qui renvoie aux BCR-P ;
– et une gouvernance interne capable de prouver que les engagements sont effectivement appliqués.
Il faut également prévoir un membre du groupe établi dans l’EEE qui accepte la responsabilité en cas de violation commise par une entité hors EEE couverte par les BCR-P. Les recommandations rappellent qu’il doit exister au moins un membre basé dans l’EEE acceptant cette responsabilité, et que ce membre doit disposer d’actifs suffisants, ou d’arrangements appropriés, pour indemniser les dommages éventuels. C’est un point structurant : les BCR-P ne sont pas seulement un document de conformité, elles organisent aussi la responsabilité juridique du groupe.
Le travail ne s’arrête pas à la signature. Les BCR-P supposent aussi une logique de conformité continue : information des personnes, traitement des réclamations, audits, formation des équipes, contrôle des sous-traitants externes éventuels, et évaluation du droit du pays tiers. Le CEPD rappelle enfin que si le groupe n’est pas en mesure d’assurer un niveau de protection essentiellement équivalent à celui exigé dans l’Union, le transfert ne peut pas se poursuivre légalement et doit être suspendu ou arrêté.
4. Anticiper maintenant pour sécuriser les transferts et rassurer les clients
Pour les entreprises concernées, l’enjeu est à la fois juridique, commercial et opérationnel. Juridique, parce que les transferts internationaux restent l’un des sujets les plus sensibles du RGPD. Commercial, parce que les grands clients attendent de plus en plus de leurs prestataires une documentation solide sur les flux hors UE. Opérationnel enfin, parce qu’un dispositif BCR-P mal préparé peut ralentir les ventes, compliquer les négociations contractuelles et exposer le groupe à des remises en cause en cas de contrôle.
Le bon réflexe consiste donc à agir dès maintenant : identifier les flux intra-groupe concernés, distinguer les transferts réellement couverts par des BCR-P, préparer l’accord intra-groupe qui les rendra contraignantes, revoir les contrats article 28 avec les clients, désigner l’entité EEE qui portera la responsabilité, et organiser les preuves de conformité au quotidien. Pour les groupes déjà dotés d’anciennes BCR-P, la mise à jour du dossier devra aussi être anticipée afin d’aligner la documentation sur le nouveau référentiel du CEPD.
Nous accompagnons les entreprises, groupes internationaux, éditeurs, prestataires IT et sous-traitants dans cette mise en conformité : cartographie des flux, qualification des rôles, rédaction ou revue des Processor Binding Corporate Rules, préparation des accords intra-groupe, articulation avec les contrats de sous-traitance et sécurisation des transferts de données hors UE. Sur un sujet aussi sensible, mieux vaut un dispositif clair, opposable et opérationnel qu’une politique interne trop générale.
***
Pour toute demande de conseil juridique, n’hésitez pas à nous contacter. Vous pouvez dès à présent demander un devis gratuit ici.
