EDPB – Avis 3/2026 sur les BCR-Responsable de FrieslandCampina : exigences, points d’attention et impacts pour les groupes

Le 5 février 2026, le Comité européen de la protection des données (EDPB) a adopté l’Avis 3/2026 au titre de l’article 64 du RGPD sur le projet de décision de l’Autorité néerlandaise de protection des données (AP) relatif aux Binding Corporate Rules (BCR) pour responsable de traitement (Controller BCR, ou BCR‑C) du groupe FrieslandCampina. Cet avis éclaire de manière utile les exigences de fond et de forme attendues pour l’approbation de BCR‑C post-Schrems II et sous le régime de la recommandation 01/2020 de l’EDPB sur les mesures complémentaires, ainsi que l’articulation avec l’article 47 du RGPD et les Lignes directrices EDPB 12/2022 sur les transferts.

Contexte et portée de l’avis

L’EDPB intervient en application de l’article 64, paragraphe 1, point f), du RGPD, s’agissant de l’approbation de règles d’entreprise contraignantes par une autorité chef de file (ici, l’AP néerlandaise) pour un groupe multinational. L’avis 3/2026 porte spécifiquement sur des BCR‑C, c’est‑à‑dire couvrant des transferts intragroupe où les entités exportatrices et importatrices opèrent sous la responsabilité d’un responsable de traitement. L’EDPB ne remplace pas l’autorité chef de file mais vérifie la conformité du projet avec l’article 47 RGPD et les attentes communes des autorités, en veillant à l’alignement avec la jurisprudence de la CJUE et les recommandations du Comité.

Architecture des BCR‑C attendue

L’EDPB réaffirme la nécessité d’une structure documentaire claire : un texte BCR « maître », des annexes opérationnelles (inventaire des flux, cartographie des pays tiers, référentiel de mesures techniques et organisationnelles), une politique de gouvernance (rôles et responsabilités, comité BCR, lignes hiérarchiques), un dispositif d’audit et de contrôle, et des modalités d’opposabilité (enforceability) au bénéfice des personnes concernées. L’avis insiste sur la cohérence terminologique entre le texte juridique et les procédures internes, pour éviter toute divergence interprétative lors des contrôles ou des audits indépendants.

Opposabilité et droits des personnes

Conformément à l’article 47, paragraphe 1, du RGPD, les BCR doivent conférer des droits opposables aux personnes concernées. L’EDPB souligne plusieurs points : information claire sur les droits (accès, rectification, effacement, limitation, opposition, réclamation), canaux de réclamation internes aisément accessibles, délais de traitement et d’escalade, et désignation d’une entité au sein de l’UE habilitée à accepter et gérer les plaintes et à se soumettre aux décisions des autorités. La responsabilité du groupe vis‑à‑vis des violations commises par une entité importatrice située dans un pays tiers doit être explicitement reconnue, avec une présomption de responsabilité de l’exportateur UE sauf preuve contraire, et des mécanismes de réparation effectifs.

Transferts vers des pays tiers : évaluation et mesures complémentaires

Dans la lignée des recommandations 01/2020, l’EDPB attend des BCR qu’ils intègrent un cadre d’évaluation des pays tiers et des mesures complémentaires adaptées. L’avis rappelle l’exigence d’une évaluation de l’effectivité pratique des garanties, tenant compte :

• Du droit et des pratiques du pays tiers (accès gouvernemental, voies de recours, transparence).
• De la nature des données et des finalités.
• Des canaux et services utilisés (hébergement, support, maintenance, sous‑traitants ultérieurs).

Les mesures techniques (chiffrement robuste end‑to‑end avec gestion des clés sous contrôle exclusif de l’UE lorsque la finalité le permet, pseudonymisation forte avec séparation fonctionnelle), organisationnelles (politiques d’accès need‑to‑know, journalisation, revue périodique) et contractuelles (clauses d’opposition, notification et contestation des demandes d’accès, transparence renforcée) doivent être documentées par flux et réévaluées régulièrement. Les BCR doivent prévoir des mécanismes d’arrêt ou de suspension des transferts si le niveau de protection ne peut être garanti.

Gouvernance, accountability et contrôle

L’EDPB met l’accent sur :

• Un comité BCR doté d’un mandat clair, avec indicateurs de performance et reporting à la direction.
• Un rôle pivot du DPO dans la supervision des BCR, l’avis et la médiation des réclamations, et les échanges avec les autorités.
• Un plan d’audit fondé sur les risques, avec audits indépendants périodiques, couverture des entités importatrices, et suivi d’actions correctives datées.
• La tenue de registres (article 30), des analyses d’impact (le cas échéant, article 35) et un programme de formation adapté aux métiers exposés.

Les BCR doivent préciser la fréquence des revues (au moins annuelle pour la cartographie des transferts à risques), les seuils de contrôle, et les modalités de notification à l’autorité chef de file en cas de modification substantielle ou de manquement grave.

Chaîne de sous‑traitance et alignement BCR‑C / BCR‑P

Pour les groupes mixtes, l’EDPB attend une articulation claire entre BCR‑C et BCR‑P, en particulier lorsque des données traitées en qualité de responsable sont également traitées en tant que sous‑traitant pour des clients. Les BCR doivent couvrir la chaîne de sous‑traitance : approbation préalable des sous‑traitants ultérieurs, obligations équivalentes, audits et droits d’information, et mécanismes de remédiation contractuelle.

Transparence et information

L’avis insiste sur la disponibilité publique d’un résumé compréhensible des BCR, l’intégration dans les notices d’information, et la mise à disposition de points de contact. Des indicateurs de transparence (volumétrie des demandes gouvernementales reçues par pays lorsque cela est légalement possible, délais moyens de réponse aux réclamations) renforcent la confiance et l’alignement avec le principe d’accountability.

Gestion des incidents et demandes d’accès des autorités publiques

Les BCR doivent inclure :

• Une procédure documentée de gestion des demandes d’accès : évaluation de la légalité, contestation lorsqu’approprié, minimisation, information de l’exportateur et du DPO, tenue d’un registre, et statistiques agrégées.
• Un processus de notification des violations (articles 33–34) cohérent avec les pratiques groupe, avec critères de gravité, délais et répartition des rôles.

L’EDPB attend des garanties opérationnelles démontrant la capacité du groupe à résister, documenter et, si nécessaire, suspendre les transferts lorsque la loi locale compromet les garanties équivalentes à l’UE.

Intégration dans le système de management de la conformité

Les BCR ne doivent pas rester un artefact juridique : l’avis souligne leur intégration dans le système de contrôle interne, avec cartographie des risques, contrôles de premier et second niveau, indicateurs (KRI), playbooks d’escalade, et alignement avec la sécurité de l’information (ANSSI – bonnes pratiques de chiffrement et gestion des accès lorsque pertinent). Les politiques RH et achats doivent intégrer des clauses BCR et exigences de formation.

Spécificités sectorielles et données sensibles

Pour les secteurs manipulant des données sensibles (santé, RH, R&D), l’EDPB attend des mesures renforcées : minimisation stricte, compartimentation, contrôles d’accès, et documentation DPIA. Les flux expérimentaux (environnements de test, IA/analytics) doivent être cadrés par une gouvernance de données et des politiques de pseudonymisation robustes, avec validation sécurité et juridique en amont.

Effets pratiques de l’avis 3/2026 pour les groupes

L’avis confirme des attentes élevées sur :

• La prouvabilité de l’effectivité des BCR par des contrôles tangibles.
• La granularité des évaluations pays et des mesures complémentaires.
• La réactivité face aux évolutions légales et aux risques géopolitiques.

Pour les groupes déjà dotés de BCR, une revue de conformité « post‑avis 3/2026 » est recommandée afin de consolider les points critiques identifiés ci‑dessus.

Conclusion

L’Avis 3/2026 de l’EDPB relatif aux BCR‑C de FrieslandCampina confirme une ligne exigeante mais praticable : des garanties juridiques claires, une opposabilité réelle aux personnes, et surtout une opérationnalisation éprouvable par des mesures techniques, organisationnelles et contractuelles adaptées à chaque flux et pays tiers. Les directions conformité et DPO ont intérêt à traiter les BCR comme un programme de conformité transverse, piloté, mesuré et audité, et non comme un simple jeu de clauses.

Quelques pistes pour l’intégration opérationnelle dans votre dispositif :

• Mettre à jour la cartographie des transferts et l’évaluation pays tiers, et lier chaque flux à un paquet de mesures complémentaires validé par Sécurité et Juridique.
• Renforcer la gouvernance : comité BCR trimestriel, indicateurs de performance, calendrier d’audit fondé sur les risques, et procédure de modification substantielle notifiée à l’autorité chef de file.
• Industrialiser la gestion des demandes d’accès gouvernementales : playbook de contestation, journalisation, modèle de notification, seuils d’escalade et suspension automatisée des flux.
• Rendre l’opposabilité concrète : canaux de réclamation accessibles, engagement de délais, rôle du DPO, et publication d’un résumé clair des BCR.
• Former les équipes clés (IT, achats, data/IA, RH) et intégrer des clauses BCR dans les contrats fournisseurs et la gestion des sous‑traitants ultérieurs.