Le système Global CBPR : un cadre de conformité pour les flux de données transfrontalières entre pays non-membres de l’UE

Le système Global CBPR : un cadre de conformité pour les flux de données transfrontalières entre pays non-membres de l’UE

Ce qu’il faut retenir

Le Global Cross-Border Privacy Rules (Global CBPR) est un cadre de règles destinées à faciliter les flux internationaux de données personnelles entre pays non-membres de l’Union européenne. L’objectif de ce système est de garantir que les organismes traitant des données personnelles respectent un socle commun de règles en matière de protection des données dans les territoires des pays adhérents.


Les règles transfrontières globales de protection des données (“Global Cross-Border Privacy Rules” ou “Global CBPR”) sont un mécanisme permettant le transfert de données personnelles entre organismes certifiés des pays membres du Global CBPR Forum. Entré en application le 2 juin 2025, l’objectif de ce système est de garantir que les organismes traitant des données personnelles respectent un ensemble commun de règles en matière de protection des données dans les territoires des pays membres.

Dans le présent article, nous expliquons en quoi consiste le Global CBPR, son mode de fonctionnement, comment ce système interagit avec les lois nationales sur la protection des données, quels sont les pays adhérents au système et les principales différences entre ce système et le système CBPR de l’APEC.

Dans un second article, nous ferons une analyse comparative entre le Global CBPR et le RGPD. 


1. Qu’est-ce que le Global CBPR ?

Les règles transfrontières globales de protection des données ou Global Cross-Border Privacy Rules (Global CBPR) sont un mécanisme permettant le transfert de données personnelles entre organismes (entreprises privées et administrations publiques) des pays membres du Global CBPR Forum.

Ce système, lancé en avril 2022 par la Déclaration sur les règles transfrontières globales de protection des données (1) est basé sur les principes du CBPR de l’APEC. (2) (Pour une présentations du système CBPR de l’APEC, voir notre article “Flux transfrontières de données en Asie-Pacifique : le système CBPR”) Toutefois, le Global CBPR dépasse la région Asie-Pacifique et a vocation à fournir un cadre mondial de référence en matière de flux de données transfrontaliers. Le Global CBPR est entré en application le 2 juin 2025.

Le système CBPR de l’APEC comme le Global CBPR s’appuient sur les Lignes directrices de l’OCDE sur la protection de la vie privée. (3) Ils couvrent des obligations telles que l’information des personnes concernées, le choix (consentement), la limitation de la finalité du traitement (finalité déterminée), les droits d’accès et de correction, l’intégrité et la sécurité des données, et la responsabilité du responsable du traitement.

Le dispositif a un double objectif : protéger les données personnelles et garantir le droit à la vie privée dans les différents pays membres, et faciliter les flux transfrontalières de données, essentiels à l’activité économique, au commerce et au développement.

Contrairement au RGPD, dont les dispositions s’imposent à l’ensemble des Etats-membres de l’Union européenne, et qui remplace en grande partie les lois nationales sur la protection des données, le Global CBPR repose sur un mécanisme d’adhésion volontaire de pays souhaitant participer au système. Les organismes situés dans les pays adhérents peuvent ensuite demander à être certifiés. Seule la certification Global CBPR leur permettra de transférer des données vers un autre organisme certifié d’un pays membre, à condition de respecter les exigences du programme.

Le Global CBPR comprend deux systèmes distincts mais complémentaires :

     - Le Global Cross-Border Privacy Rules System (Global CBPR) destiné aux responsables du traitement de données personnelles, et
     - Le Global Privacy Recognition for Processors System (Global PRP) destiné aux sous-traitants agissant pour le compte des responsables de traitement.

La gouvernance du système est assurée par le Global CBPR Forum.


2. Aperçu des règles de fonctionnement du Global CBPR

Le Global Cross-Border Privacy Rules System repose sur un modèle volontaire fondé sur la certification des organismes souhaitant participer, l’objectif étant que les organismes certifiés respectent un socle commun de règles en matière de protection des données et de la vie privée dans les pays membres.

Son fonctionnement se décline en trois points : les principes fondamentaux, le champ d’application, et les mécanismes d’application et de supervision du Global CBPR.

    2.1 Principes fondamentaux de protection de la vie privée

Les règles du Global CBPR se traduisent par neuf principes fondamentaux :

     1. Prévention des dommages : les règles de protection des données personnelles doivent être conçues pour prévenir leur utilisation abusive et réduire les risques de dommages pour les individus ;
     2. Information des personnes : les organismes doivent fournir des informations claires et accessibles sur leurs pratiques en matière de traitements de données : méthodes de collecte, finalités, partage des données et droits des personnes ;
     3. Limitation des données collectées : les données personnelles ne doivent être collectées que si elles sont pertinentes, licites et loyales, de préférence avec information de la personne concernée ou son consentement ;
     4. Utilisation des données personnelles (traitement): l’utilisation des données doit être limitée aux finalités déclarées ou à des “finalités compatibles”, sauf si un traitement ultérieur est légalement autorisé ou fondé sur le consentement ;
     5. Choix (consentement) : les personnes doivent disposer d’options concernant la collecte, l’utilisation et la divulgation de leurs données, ainsi que de mécanismes leur permettant d’exercer ces choix ;
     6. Intégrité des données personnelles : les organismes doivent veiller à ce que les données soient exactes, complètes et à jour ;
     7. Mesures de sécurité : les responsables du traitement doivent mettre en place des mesures physiques, techniques et organisationnelles pour prévenir la perte, l’accès non autorisé ou les utilisations abusives des données ;
     8. Accès et rectification : les personnes doivent pouvoir accéder à leurs données et demander leur rectification si nécessaire ;
     9. Responsabilité : les organismes doivent mettre en place des politiques internes, désigner des responsables et démontrer leur conformité à travers des audits et mécanismes de supervision.

Pour les sous-traitants, le programme Global PRP simplifie les exigences en mettant l’accent sur :

     1. les mesures de sécurité (techniques, organisationnelles et procédurales) ;
     2. la responsabilité visant à garantir le respect des instructions du responsable de traitement, la notification en cas de violation des données et la suppression sécurisée des données.

    2.2 Champ d’application du Global CBPR

Le système de Global CBPR s’applique aux responsables du traitement et aux sous-traitants (via le Global PRP), à condition que ces organismes soient établis dans un Etat membre du Global CBPR Forum.

Ainsi, chaque Etat membre intègre les règles du Global CBPR dans son cadre interne de protection des données (par ex. Singapour l’aligne avec le Data Protection Trustmark (DPTM), son système de certification ; le Japon l’intègre dans le cadre de la décision d’adéquation au RGPD).

    2.3 Application et supervision du Global GDPR

L’application et la supervision du système reposent sur les “Accountability Agents”, les autorités de protection des données des pays adhérents et le Global CAPE.

La certification des organismes est assurée au niveau national par des Accountability Agents indépendants. Les organismes certifiés sont ensuite soumis à une surveillance permanente des Accountability Agents, incluant des audits de conformité et la gestion des plaintes.

Les Accountability Agents sont en charge de la certification des organismes. Les organismes certifiés sont ensuite soumis à une surveillance permanente de la part des Accountability Agents, incluant des audits de conformité et la gestion des plaintes.

Les autorités nationales de protection des données des pays membres conservent leur compétence réglementaire. Elles assurent notamment le respect de la réglementation nationale applicable et peuvent prononcer des sanctions en cas de manquement par les organismes relevant de leur juridiction.

Le système est renforcé par le “Global Cooperation Arrangement for Privacy Enforcement” (ou “Global CAPE”), un réseau multilatéral de coopération entre les autorités nationales de protection des données des pays membres. Le rôle du Global CAPE est de permettre :
     - aux régulateurs de partager des informations et de collaborer dans le cadre d’enquêtes ;
     - de renforcer l’application transfrontalière du Global CBPR ; et
     - de mettre en place un mécanisme de supervision coordonné, comblant l’écart entre certification volontaire et application obligatoire au niveau national.

Le Global CAPE n’a pas de pouvoir disciplinaire vis-à-vis des organismes certifiés. 


3. Comment le système Global CBPR interagit-il avec les lois nationales de protection des données ?

Le système Global CBPR ne remplace ni ne supplante les lois nationales de protection des données personnelles. 

    3.1 Global CBPR vs lois nationales : un rôle complémentaire

Le Global CBPR est présenté comme un “dénominateur commun” de règles de protection des données personnelles, permettant aux organismes de démontrer leur conformité avec des standards internationaux en la matière. Le système sert de mécanisme de rapprochement entre des régimes juridiques divergents, facilitant la conformité des organismes opérant dans plusieurs juridictions.

    3.2 Mise en œuvre au niveau national

L’efficacité du Global CBPR dépend largement de la manière dont les législations nationales intègrent ou reconnaissent la certification. Selon le Global CBPR Framework (2023), chaque Etat membre met en œuvre le système via ses propres structures existantes.

La certification exige la reconnaissance par chaque autorité nationale de protection des données des pays membres. Les Accountability Agents sont accrédités au niveau national, afin de garantir une cohérence avec la réglementation locale.

Des exceptions au périmètre et aux conditions d’application du Global CBPR liées à la souveraineté nationale, à l’ordre public ou à la sécurité peuvent être appliquées à la discrétion de chaque Etat membre, sous réserve d’être proportionnées et transparentes.
 

4. Quels pays participent au Global CBPR ?

Le Global CBPR Forum compte actuellement neuf Etats membres à part entière, plusieurs membres associés et un nombre croissant de pays observateurs.

    4.1 Les pays membres du Global CBPR Forum

Le Global CBPR Forum a été officiellement lancé en avril 2022 avec la Déclaration sur les CBPR. Les membres fondateurs sont le Canada, le Japon, la République de Corée, les Philippines, Singapour et les États-Unis. Ces six pays fondateurs, membres du système APEC CBPR, ont fait la transition vers le Global CBPR, leur certification ayant été automatiquement “intégrée” dans le nouveau dispositif.

Trois nouveaux pays ont depuis rejoint le Global CBPR Forum : l’Australie, le Mexique et Taïwan (Chinese Taipei).

    4.2 Membres associés et observateurs

Plusieurs Etats ont rejoint le Global CBPR Forum en tant que membres associés : le Royaume-Uni, les Bermudes, le Dubai International Financial Centre (DIFC), l’Île Maurice et le Nigéria.

Enfin, un certain nombre de pays participent en qualité d’observateurs et envisageraient à terme de se rapprocher du Global CBPR Forum.


5. Quelles sont les principales différences entre le Global CBPR et l’APEC CBPR ? 

Le Global CBPR trouve son origine dans les APEC Cross-Border Privacy Rules (CBPR), lancées en 2011 pour faciliter les flux de données personnelles entre les 21 pays membres de l’APEC. Bien que les deux systèmes partagent la même approche fondée sur la responsabilité et des principes fondamentaux communs en matière de protection des données, le Global CBPR représente une évolution à plusieurs égards.

    5.1 Les évolutions apportées par le Global CBPR

Le Global CBPR a fait évoluer l’APEC CBPR sur plusieurs points, notamment :

    - Evolution du périmètre géographique : alors que l’APEC CBPR est limité aux 21 économies de l’APEC et conçu comme un mécanisme régional, le Global CBPR est ouvert à tous les pays, y compris aux États non membres de l’APEC.

    - Evolution des exigences de certification : bien que les organismes certifiées dans le cadre de l’APEC CBPR soient automatiquement reconnus dans le système Global CBPR, ce dernier introduit des exigences élargies par rapport à son prédécesseur, notamment :

   . la notification des violations de données,
   . la gestion des données sensibles,
   . les règles de prospection directe et le retrait du consentement,
   . la désignation de responsables de la protection des données (DPO),
   . la tenue de registres de traitements,
   . la protection des données des enfants.

    - Gouvernance spécifique : l’APEC CBPR est administré dans le cadre institutionnel de l’APEC, sous la supervision de l’APEC Electronic Commerce Steering Group.

Le Global CBPR est gouverné par le Global CBPR Forum, un organisme international indépendant créé par la Déclaration de 2022.

    5.2 Statut de l’APEC CBPR

L’APEC CBPR demeure en place et continue de fonctionner dans le cadre institutionnel de l’APEC. Toutefois, il est désormais largement supplanté, dans la pratique, par le Global CBPR, qui en a absorbé les principes, la structure et le modèle de certification.

Dans les Etats participants, les deux systèmes, APEC CBPR et Global CBPR coexistent, mais le Global CBPR est clairement conçu comme le mécanisme d’avenir. Les certifications APEC existantes restent valides, mais les nouvelles certifications s’alignent de plus en plus sur le Global CBPR.

L’APEC CBPR subsiste, mais est appelé à s’éclipser progressivement au profit du Global CBPR.


       En conclusion, le Global CBPR complète, mais ne remplace pas, les régimes nationaux de protection des données. Le système vise à établir des passerelles entre différents régimes nationaux de protection des données, en offrant une certification flexible pour faciliter les transferts de données transfrontaliers.

L’efficacité du Global CBPR dépendra de l’extension de sa reconnaissance par les Etats et de son intégration dans les réglementations nationales sur la protection des données. Il s’agit donc d’un mécanisme hybride, standardisé au niveau international mais mis en œuvre de façon flexible au niveau national.

Le Global CBPR Forum compte à ce jour 9 Etats membres. L’adhésion de nouveaux Etats, au-delà de la région Asie-Pacifique, étendra l’influence de ce système de flux de données transfrontalières, en parallèle du RGPD.

* * * * * * * * * * *


(1) Global Cross-Border Privacy Rules (CBPR) Declaration, 21 April 2022

(2) APEC Cross-Border Privacy Rules System Program. L’APEC, organisme de coopération économique Asie-Pacifique (Asia Pacific Economic Cooperation), regroupe 21 pays de la région Asie-Pacifique.

(3) Lignes directrices de l’OCDE sur la protection de la vie privée et les flux transfrontières de données de caractère personnel

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

October 2025 

Retourner à la page des Actualités et Publications

Mots clés :

accessibilité numérique (6) adwords (3) ai (25) anssi (3) arcep (3) arcom (15) audiovisuel (3) audit (1) base de données (3) bitcoin (1) blockchain (6) cbpr (4) cgv (1) chine (1) cjue (1) cloud computing (3) cnil (17) commerce (4) communication (8) compliance (32) confidentialité (3) conformité (19) consommateurs (3) contrat (8) contrefaçon (10) cookies (6) copyright (5) cryptologie (1) csa (1) cybercriminalité (5) cybersquatting (3) data (1) data privacy framework (2) dma (4) données à caractère personnel (17) données personnelles (31) dpf (2) droit d'auteur (11) dsa (8) e-commerce (15) e-consommateurs (1) enfance (6) etats-unis (5) eu (17) europe (16) formation (1) fraude (2) gdpr (27) google (4) hébergeur (5) ia (17) ico (1) informatique (11) informatique et libertés (4) intelligence artificielle (16) internet (32) jeu vidéo (3) liberté d'expression (3) logiciel (11) loi informatique et libertés (5) loi sren (6) marque (3) métavers (3) méthode agile (2) monnaie électronique (1) moteur de recherche (7) nda (1) nft (4) nom de domaine (1) numérique (10) originalité (5) privacy shield (2) propriété intellectuelle (13) protection des données (10) publicité (6) référencement (4) réglementation (12) réseau (2) réseaux sociaux (11) responsabilité (10) responsable du traitement (11) rgpd (21) robotique (7) rpa (6) salariés (4) santé publique (1) sécurité (7) singapour (7) site web (3) us (3) vie privée (21)