EDPB – Avis 2/2026 sur les BCR « Responsable de traitement » d’AkzoNobel : enseignements pratiques pour les Compliance Officers

Le Comité européen de la protection des données (EDPB) a publié l’Avis 2/2026 sur le projet de décision de l’autorité de contrôle néerlandaise (AP – Autoriteit Persoonsgegevens) relatif aux Binding Corporate Rules (BCR) « Responsable de traitement » d’AkzoNobel. Cet avis s’inscrit dans le cadre de l’article 64 du RGPD, qui encadre la procédure de coopération et de cohérence entre autorités pour l’approbation des BCR. Pour les responsables de la conformité et DPO opérant au sein de groupes internationaux, cet avis constitue une référence opérationnelle pour la conception, la validation et le pilotage des BCR, tant sur le plan documentaire que sur le plan du contrôle interne.

Contexte réglementaire : BCR « Responsable », article 47 RGPD et procédure article 64

Les BCR (Binding Corporate Rules) sont un mécanisme de transfert encadré par l’article 47 du RGPD, permettant à des groupes d’entreprises de transférer des données personnelles hors de l’EEE sur la base d’engagements internes juridiquement contraignants, opposables et effectivement mis en œuvre. L’approbation des BCR « Responsable » implique : i) un corpus de règles couvrant les principes RGPD (licéité, transparence, minimisation, sécurité, droits des personnes, accountability), ii) une gouvernance démontrant l’effectivité (audits, formation, sanctions internes, mécanismes de plainte et de réparation), iii) un ensemble contractuel et organisationnel assurant leur force exécutoire vis‑à‑vis des entités concernées et des personnes concernées. Au titre de l’article 64, l’autorité chef de file soumet un projet de décision aux autres autorités, et l’EDPB rend un avis harmonisateur, conditionnant l’adoption finale par l’autorité chef de file.

Portée de l’avis 2/2026 sur les BCR d’AkzoNobel

L’avis 2/2026 de l’EDPB porte sur l’évaluation par l’AP des BCR « Responsable » d’AkzoNobel. Il vise à garantir que les exigences de l’article 47 RGPD et des référentiels EDPB sont intégralement respectées : portée matérielle et géographique, opposabilité, droits des personnes, mécanismes de plainte et d’indemnisation, gestion des sous‑traitants, sécurité et notifications d’incidents, transferts ultérieurs, et dispositifs de contrôle et d’audit. L’avis éclaire aussi l’articulation avec les obligations issues de Schrems II, notamment l’évaluation des lois des pays tiers et l’implémentation de mesures supplémentaires lorsque nécessaire (TOMs, chiffrement, segmentation, contrôles d’accès, politiques de minimisation et de conservation).

Gouvernance et force exécutoire : assurer l’opposabilité intra‑groupe et envers les personnes concernées

Un axe central de l’avis concerne l’opposabilité des BCR aux entités du groupe et aux personnes concernées. Les BCR doivent : 1) être transposées dans des instruments juridiquement contraignants (statuts, résolutions du conseil, accords intragroupe, clauses d’adhésion), 2) prévoir un bénéficiaire tiers pour les personnes concernées avec droits justiciables, 3) offrir des voies de recours effectives au sein de l’UE, avec compétence d’une autorité de contrôle de l’UE et d’une juridiction de l’UE. La gouvernance doit désigner une fonction responsable (DPO / Privacy Office), décrire les lignes de seconde et troisième défense, et documenter un programme d’audit indépendant régulier, incluant la remédiation et le reporting aux organes dirigeants et aux autorités compétentes.

Champ d’application, principes RGPD et gestion des transferts ultérieurs

L’avis souligne la nécessité de décrire précisément : les catégories de données, finalités et bases légales, catégories de personnes concernées, et flux transfrontières couverts. Les transferts ultérieurs par des entités réceptrices hors EEE vers d’autres destinataires doivent être soumis à des garanties équivalentes (par exemple, des SCC vers des tiers, ou une extension des BCR si le destinataire est affilié). La documentation doit expliciter les restrictions, les contrôles préalables des transferts, et la cartographie dynamique des flux, avec un registre central maintenu par la fonction privacy.

Schrems II, DTIA/TIA et mesures supplémentaires

Conformément à la jurisprudence Schrems II et aux recommandations EDPB sur les mesures supplémentaires, les BCR approuvées ne dispensent pas d’une évaluation pays (DTIA/TIA) au regard des lois et pratiques du pays tiers. L’avis rappelle de documenter la méthodologie TIA, d’impliquer la sécurité de l’information pour le choix et le durcissement des mesures techniques (chiffrement robuste avec gestion des clés sous contrôle de l’UE, pseudonymisation, minimisation, segmentation réseau, journaux inviolables), et d’intégrer des clauses contractuelles imposant la contestation des demandes gouvernementales non conformes, l’information du responsable exportateur, et la suspension des transferts lorsque la protection équivalente ne peut être assurée.

Gestion des droits, transparence et mécanismes de plainte

Les BCR doivent intégrer des notices de confidentialité adaptées, multilingues, détaillant les transferts, pays de destination, bases légales, droits et voies de recours. L’avis insiste sur : des canaux de dépôt de plainte accessibles, des délais de traitement définis et suivis, des mesures d’indemnisation lorsque justifié, et une coopération proactive avec les autorités. Les métriques (volumes de demandes, délais moyens, taux de satisfaction) doivent alimenter les comités de pilotage.

Sécurité, notification d’incidents et résilience

La sécurité est évaluée sur la base de l’article 32 RGPD. L’avis met en exergue la gestion des risques (EBIOS/ISO 27005), des contrôles techniques (IAM, MFA, chiffrement au repos/en transit, DLP), des plans de réponse à incident et d’exercice de crise, et l’articulation avec les obligations de notification à l’autorité et aux personnes concernées. Les transferts impliquant des traitements sensibles (données RH, R&D, santé/sécurité au travail) nécessitent des garanties renforcées et une revue périodique de l’adéquation des mesures.

Auditabilité, formation et responsabilité

Les BCR doivent prévoir un programme d’audit conforme aux standards d’audit interne, incluant échantillonnage fondé sur les risques, tests de conception et d’efficacité opérationnelle, et plans de remédiation tracés. L’avis encourage la formation continue des équipes IT, achats, RH et juridiques, la formalisation d’objectifs et d’indicateurs de performance (KPI/KRI), et l’imputation de responsabilités claires aux dirigeants des entités importatrices de données.

Interactions avec les autorités et tenue de la documentation

La relation avec l’autorité chef de file et les autorités concernées suppose des circuits d’escalade et de communication définis, la mise à disposition sans délai de la documentation (BCR, TIA, rapports d’audit, incidents significatifs), et l’actualisation immédiate en cas de modification substantielle du périmètre, des lois applicables ou des mesures techniques clés.

Conséquences pratiques pour les groupes internationaux

Pour les groupes, l’avis 2/2026 confirme la montée en maturité attendue : BCR comme cadre global de transferts, complété par des TIA granulaires, des mesures techniques robustes et une gouvernance inter‑fonctions. L’alignement avec les recommandations EDPB, la CNIL, l’AP néerlandaise, l’ANSSI pour les mesures de sécurité, et les bonnes pratiques d’audit interne permet de réduire le risque résiduel et d’industrialiser la conformité.

Conclusion

L’Avis 2/2026 de l’EDPB sur les BCR « Responsable » d’AkzoNobel constitue une boussole pour structurer un dispositif de transferts international robuste, démontrable et opposable. Il rappelle que l’autorisation de BCR n’est ni un blanc‑seing ni une dérogation à Schrems II : le succès repose sur la gouvernance, la preuve et l’exécution.

Quelques pistes pour l’intégration opérationnelle dans votre dispositif :

• Formaliser une méthodologie TIA/DTIA standardisée, avec critères pays, traitement, données, destinataires et mesures supplémentaires associées.
• Mettre en place un registre central des flux et des transferts ultérieurs, avec contrôles préalables et déclencheurs d’arrêt/suspension.
• Renforcer les mesures techniques (chiffrement à gestion UE, IAM/MFA, DLP) et tester régulièrement l’efficacité via audits et exercices de crise.
• Déployer des canaux de plainte et des notices de transparence multilingues, assortis de SLA et d’indicateurs de suivi.
• Structurer la gouvernance : rôles et responsabilités, comités, reporting aux dirigeants et interaction formalisée avec l’autorité chef de file.