Protection des données personnelles - analyse comparative entre le RGPD (UE) et le système Global CBPR

Protection des données personnelles - analyse comparative entre le RGPD (UE) et le système Global CBPR

Ce qu’il faut retenir

En Europe, la protection des données personnelles est érigée en principe fondamental. Le RGPD vise à harmoniser les règles de protection au sein de l’UE, alors que le Global CBPR Framework vise à faciliter les flux transfrontières de données entre les pays membres du Global CBPR Forum, dans un environnement juridiquement sécurisé.


Les règles transfrontières globales de protection des données (“Global Cross-Border Privacy Rules System” ou “Global CBPR System”) sont un mécanisme permettant le transfert de données personnelles entre organismes certifiés des pays membres du Global CBPR Forum. Entré en application le 2 juin 2025, l’objectif de ce système est de garantir que les organismes traitant des données personnelles respectent un socle commun de règles en matière de protection des données dans les territoires des pays membres.

Dans un premier article, nous avons expliqué en quoi consiste le système Global CBPR et son mode de fonctionnement

Dans le présent article, nous faisons une analyse comparative entre le RGPD et le Global CBPR.


1. Principes fondamentaux et fonctionnement : RGPD vs. Global CBPR

Même si les objectifs du RGPD et du Global CBPR Framework sont d’assurer la protection des données personnelles, le RGPD vise avant tout à harmoniser les règles de protection au sein de l’UE, alors que le Global CBPR Framework vise à faciliter les flux transfrontières de données personnelles entre organismes (entreprises privées et administrations publiques) des pays membres du Global CBPR Forum, dans un environnement juridiquement sécurisé.  

    1.1 Le RGPD : une application homogène dans l’Union européenne

Le RGPD, entré en application le 25 mai 2018, a vocation à s’appliquer de manière homogène dans les Etats-membres de l’Union européenne. (1) 

L’objectif principal du RGPD est la protection des consommateurs, et par le biais de règles de consentement renforcées, de leur redonner du pouvoir sur leur données personnelles.

Le RGPD s’applique à tout organisme, privé et public, responsable de traitement ou sous-traitant, situé dans l’Union européenne, qui traite des données personnelles. Les transferts de données personnelles au sein de l’UE (et dans les pays de l’Espace économique européen - EEE) sont réalisés librement, de même que les transferts de données entre une organisme situé dans l’UE et un organisme situé dans un pays offrant un niveau de protection adéquat. (2) 

Les transferts vers les pays tiers sont interdits, sauf adoption par les deux parties de clauses contractuelles types (CCT) validées par la commission européenne, un contrat ad hoc validé par une autorité de contrôle (CNIL par exemple), ou en vertu de règles d’entreprise contraignantes (Binding corporate rules ou BCR) pour les transferts de données personnelles intra-groupe.

    1.2 Le Global CBPR : un système flexible applicable sur la base du volontariat

Le principal objectif du système Global CBPR est de protéger les données personnelles, en facilitant les flux transfrontières de données, essentiels à l’activité économique, au commerce et au développement. 

Contrairement au RGPD, dont les dispositions s’imposent à l’ensemble des Etats-membres de l’Union européenne, le Global CBPR repose sur un modèle d’adhésion des pays au Global CBPR Forum, puis de certification des organismes souhaitant bénéficier du système.

Le Global CBPR Forum, organe de gouvernance du système, compte actuellement neuf Etats membres à part entière, à savoir : l’Australie, le Canada, les États-Unis, le Japon, le Mexique, les Philippines, la République de Corée, Singapour et Taïwan (Chinese Taipei).

Par ailleurs, alors que le RGPD régit à la fois les traitements de données personnelles internes à l’UE et les flux de données à l’international, le Global CBPR ne s’adresse qu’aux flux transfrontières de données, sans s’imposer dans la réglementation interne des pays adhérents.

Le Global CBPR comprend deux systèmes distincts mais complémentaires :

     - Le Global Cross-Border Privacy Rules System (Global CBPR) destiné aux responsables du traitement de données personnelles (“controllers”), dont les règles sont décrites dans le Global CBPR Framework (3) et
     - Le Global Privacy Recognition for Processors System (Global PRP) destiné aux sous-traitants (“processors”).

Il est donc nécessaire, pour une société responsable de traitement certifiée Global CBPR, de s’assurer que son co-contractant situé dans un pays membre tiers, est effectivement certifié Global PRP avant de lui transférer des données personnelles.

Le Global CBPR fonctionne sur les principes de flexibilité et de volontariat :

     - “Flexibilité” : le Global CBPR ne remplace pas la réglementation sur la protection des données des pays participant au système. Son application est soumise à un certain degré de flexibilité. Les pays dont la réglementation sur la protection des données personnelles est plus stricte conservent le “bénéfice” de leur réglementation. Certaines dispositions du cadre de protection des données peuvent également être adaptées compte tenu des différences aux niveaux social, culturel, économique et juridique des pays participants ;
     - “Volontariat” : seuls les organismes situés dans les pays membres du Global CBPR Forum peuvent décider de se faire certifier conformes au Global CBPR (ou au Global PRP pour les sous-traitants).

Les sociétés certifiées Global CBPR / Global PRP des pays membres peuvent ensuite librement transférer des données personnelles entre elles.


2. Principes et dispositions caractéristiques des deux systèmes

Le RGPD et le Global CBPR s’inspirent des lignes directrices de l’OCDE sur la protection de la vie privée. On retrouve donc plusieurs principes fondamentaux communs aux deux systèmes. Toutefois, leur mise en oeuvre est différente. (4)

Par ailleurs, le Global CBPR Framework est basé sur le Privacy Framework de l’APEC. Par conséquent, il est très proche de son prédécesseur, le système CBPR de l’APEC, dont les membres étaient limités aux pays de la région Asie-Pacifique.

La comparaison entre les deux dispositifs - RGPD et Global CBPR Framework - est donc très similaire à la comparaison entre le RGPD et l’ancien Privacy Framework de l’APEC. 

Nous abordons ci-après les principales similarités et différences entre le RGPD et le Global CBPR Framework.

    2.1 Principales similarités entre les deux systèmes

Il existe de nombreuses similarités entre le RGPD et le Global CBPR, même si les termes utilisés ne sont pas nécessairement identiques. Les références renvoient respectivement aux articles du RGPD et aux paragraphes du Global Cross-Border Privacy Rules Framework (2023).

    - Champ d’application matériel
Le RGPD s'applique aux traitements de données à caractère personnel, automatisés en tout ou en partie, ainsi qu'aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans un fichier. (RGPD art. 2)

Le système Global CBPR s’applique aux personnes physiques ou morales, privées ou publiques qui contrôlent la collecte, détiennent, traitent, utilisent ou transfèrent des données personnelles. (par. 7 CBPR)

    - Définitions 
“Donnée personnelle” : selon le RGPD, signifie “toute information se rapportant à une personne physique identifiée ou identifiable” (la personne concernée). (Art 4.1 RGPD) La définition du Global CBPR (“Personal information”) est sensiblement la même. (par. 6 CBPR)

“Responsable du traitement” : selon le RGPD, le responsable du traitement est la personne physique ou morale, qui détermine les finalités et les moyens du traitement. (art. 4.7 RGPD) La définition du Global CBPR (“personal information controller”) est similaire. (par.7 CBPR)

    - Principes relatifs au traitement des données à caractère personnel
Les traitements de données réalisés en application du RGPD reposent sur les principes de licéité, loyauté, transparence du traitement, de finalités déterminées, explicites et légitimes, de minimisation (traitement limité aux données nécessaires au regard des finalités), données exactes et à jour, conservées pendant une durée limitée, de manière sécurisée et confidentielle. (art. 5.1 RGPD)

On retrouve ces principes dans le Global CBPR Framework parmi les 9 principes fondamentaux, à savoir, les principes d’information de la personne concernée (“notice”) (par. 18 à 20 CBPR), de consentement (“choice”) (par. 23 CBPR), de finalité du traitement (par. 22 CBPR), de limitation des données collectées (“collection limitation”) (par. 21 CBPR), ainsi que les notions d’intégrité et de données à jour. (par. 24)

Par exemple, le consentement (“choice”) est soumis à un mécanisme de choix clairs, accessibles et proportionnés ; le principe de minimisation des données correspond au principe de limitation de la collecte de données (“collection limitation”) dans le système Global CBPR. La collecte doit être limitée aux données pertinentes au regard des finalités, qu’elle soit obtenue de manière licite et loyale, et le cas échéant, accompagnée d’une information et/ou du consentement de l’individu. Les critères de nécessité et de proportionnalité sont essentiels pour évaluer la pertinence des données collectées.

    - Droits de la personne concernée
Selon le RGPD, les droits de la personne concernée comprennent les notions de transparence et d’information, le droit d’accès par la personne concernée à ses données personnelles, le droit de rectification et le droit d’effacement / droit à l’oubli, ainsi que les droits de limitation du traitement, de portabilité, d’opposition et les droits liés à la prise de décision automatisée et au profilage. (art. 12 et s. RGPD)

Le système du Global CBPR reconnaît la possibilité pour les individus d’obtenir la confirmation qu’un responsable de traitement détient des données personnelles les concernant, d’obtenir communication de ces données dans un délai raisonnable, à un coût non excessif, et sous une forme compréhensible, de contester l’exactitude des données et, le cas échéant, demander leur rectification, complément, modification ou suppression. 

L’accès aux données peut être limité pour des motifs de sécurité publique ou nationale, prévention ou détection d’infractions, protection de la vie privée d’autrui, confidentialité commerciale ou procédures judiciaires. (par. 24 et 26 à 28 CBPR)

    - Principe de responsabilité (“accountability”)
Le principe de responsabilité est l’un des piliers du RGPD. Le responsable du traitement doit être en mesure de démontrer qu’il est en conformité avec le règlement. (Considérant 85, art. 5 2 et art. 24 et s. RGPD) Cela se traduit par des obligations telles que la tenue d’un registre des activités de traitement, la réalisation d’analyses d’impact (AIPD), la protection des données dès la conception et par défaut, la désignation d’un DPO dans certains cas, et le recours à des règles contraignantes d’entreprise (BCR) pour les transferts intra-groupe.

Le système des Global CBPR reconnaît ce principe de responsabilité du responsable du traitement pour les données personnelles sous son contrôle, y compris lorsque le traitement est effectué par des tiers (sous-traitants). (par. 29 et CBPR)

    - Principe de sécurité des données
Les responsables du traitement et leurs sous-traitants sont responsables de la sécurité (physique et logique) des données qu’ils traitent, compte tenu notamment de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques et du coût des mesures de sécurité par rapport au niveau de sensibilité des données traitées. (art. 32-1 RGPD)

Le principe de sécurité des données contre la perte, les accès non autorisés aux données ou la destruction, l’utilisation, la modification, la divulgation non autorisées des données ou toute autre utilisation abusive, est également reconnu par le Global CBPR Framework. Ces mesures doivent être proportionnées à la probabilité et à la gravité du risque, au caractère sensible des données et au contexte du traitement. (par. 25 CBPR)

    2.2 Principales différences entre les deux systèmes

D’une manière générale, le RGPD est un texte complexe et détaillé, dont l’application au sein de l’Union européenne est obligatoire et homogène, grâce notamment au rôle du Comité européen de la protection des données (CEPD). 

Le Global CBPR Framework est beaucoup plus concis et rédigé au conditionnel. Ce texte vient se superposer aux lois sur la protection des données personnelles des pays membres du Global CBPR Forum. Ses dispositions sont des principes que les pays membres s’engagent à appliquer, de manière cohérente, mais pas nécessairement à l’identique. (par. 2 CBPR) 

Il existe ainsi de nombreuses différences entre les deux systèmes, en commençant par les objectifs poursuivis par le RGPD et par le Global CBPR respectivement.

    - Champ d’application matériel
Le RGPD s'applique aux responsables de traitement et aux sous-traitants. 

Le Global CBPR ne s’applique qu’aux responsables de traitement. Il est complété par le Global Privacy Recognition for Processors System (“Global PRP System”), applicable aux sous-traitants (“processors”). (par. 11 CBPR)

    - Champ d’application territorial
Le RGPD s'applique aux traitements de données personnelles effectués sur le territoire de l’Union européenne, que les traitements aient effectivement lieu ou non dans l’UE. Le règlement produit également des effets extra-territoriaux, puisqu’il s’applique aussi aux traitements de données concernant des personnes résidant dans l’UE par des organismes situés hors de l’UE. (art. 3 RGPD)

Le Global CBPR ne définit pas de champ d’application territorial puisque le système a vocation à s’appliquer à tout pays, membre du Global CBPR Forum, sans restrictions géographiques, et uniquement aux organismes situés dans ces pays, certifiés Global CBPR (et/ou Global PRP pour les sous-traitants).

    - Données accessibles au public
D’une manière générale, le RGPD s’applique aux données personnelles, qu’elles soient accessibles publiquement, ou non.

Le Global CBPR s’applique de manière très limitée aux données personnelles accessibles publiquement. Dans la mesure où la personne concernée a en principe rendu ses données publiques, et que ses données ne sont pas collectées directement auprès d’elle, on considère que les principes d’information et de choix ne sont pas applicables. (par. 8 CBPR)

    - Violations de données personnelles, notification et correction
Le RGPD définit la violation de données à caractère personnel comme une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données. (art. 4.12 RGPD) En cas de violation de données, le responsable de traitement est tenu de notifier cette violation à l’autorité de contrôle compétente. (art. 33 RGPD)

Le Global CBPR ne comprend pas de définition de violation de données personnelles. Toutefois, les  pays membres devraient prévoir des procédures de notification aux autorités de contrôle ou aux personnes concernées en cas de violation de données. (par. 17 et 51 CBPR)

    - Durée de conservation des données personnelles
Le RGPD limite la durée de conservation des données à caractère personnel à la durée nécessaire aux finalités pour lesquelles elles sont traitées. Elles sont ensuite supprimées, ou conservées pour des durées plus longues, sous une forme anonymisée (traitement à des fins archivistiques, de recherche scientifique, etc.). (art. 5.1 RGPD)

En revanche, le Global CBPR Framework ne prévoit pas d’obligation de limitation de durée de conservation des données.

    - Données des enfants
L’article 8 du RGPD prévoit des règles spécifiques pour la protection des données personnelles des mineurs, avec la possibilité pour chaque Etat-membre de fixer le seuil de l’âge de cette protection entre 13 et 16 ans (fixé à 15 ans en France).

Le Global CBPR Framework ne prévoit pas de protection particulière pour les données des mineurs, ni de règle de consentement basée sur l’âge. Il est seulement recommandé d’adapter les mécanismes d’information et de choix à l’âge, lorsque les données concernent des mineurs. (par. 23 CBPR)

    - Sanctions
Le RGPD étant un texte d’application obligatoire, les manquements sont sanctionnés notamment par des amendes administratives rendues par les autorités de contrôle. (art. 83 et 84 RGPD).

Le Global CBPR ne prévoit pas de sanctions. Les autorités compétentes des pays membres prononcent toutes mesures coercitives applicables en fonction de leurs réglementations nationales en matière de protection des données personnelles. 

    - Organisme de contrôle centralisé
Le Comité européen de la protection des données (CEPD) est l’organisme chargé de garantir l’application cohérente du règlement dans l’UE. Parmi ses fonctions, le CEPD publie des lignes directrices et prend des décisions contraignantes en cas de traitement transfrontalier.

Le Global Cooperation Arrangement for Privacy Enforcement (Global CAPE) est un mécanisme multilatéral permettant aux autorités nationales de contrôle de coopérer dans l’application transfrontière des lois en matière de protection des données et de la vie privée, notamment par le partage d’informations et l’assistance mutuelle entre les pays membres. En revanche, le Global CAPE ne publie pas de lignes directrices et ne prend pas de décisions centralisées. (par. 13 CBPR)


    Le système Global CBPR, complété par les Global PRP, n’est pas reconnu par la Commission européenne comme offrant un niveau de protection adéquat. Il s’agit de deux systèmes multinationaux de protection des données personnelles fonctionnant en parallèle. Le développement du système Global CBPR constitue toutefois une avancée majeure dans le domaine de la protection des données au niveau international.


* * * * * * * * * * *


(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD)

(2) Les pays offrant un niveau de protection adéquat sont notamment : l’Argentine, le Canada, Israël; la Nouvelle-Zélande, la Suisse, l’Uruguay, le Japon, le Royaume-Uni, la Corée du Sud et les Etats-Unis (système du Data Privacy Framework)

(3) Global Cross-Border Privacy Rules (CBPR) Framework (2023)

(4) Le Global CBPR Framework repose sur 9 principes fondamentaux, décrits dans notre précédent article 


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2025 

Retourner à la page des Actualités et Publications

Mots clés :

accessibilité numérique (8) adwords (3) ai (27) anssi (3) arcep (5) arcom (19) audiovisuel (4) audit (4) base de données (3) bitcoin (1) blockchain (8) cbpr (7) cgv (1) chine (1) cjue (1) cloud computing (3) cnil (19) commerce (4) communication (8) compliance (37) confidentialité (3) conformité (21) consommateurs (4) contrat (11) contrefaçon (10) cookies (6) copyright (5) cryptologie (1) csa (1) cybercriminalité (5) cybersquatting (3) data (1) data privacy framework (2) dma (4) données à caractère personnel (18) données personnelles (33) dpf (2) droit d'auteur (11) dsa (8) e-commerce (15) e-consommateurs (1) enfance (6) etats-unis (6) eu (18) europe (17) formation (4) fraude (3) gdpr (30) google (4) hébergeur (5) ia (19) ico (1) informatique (14) informatique et libertés (4) intelligence artificielle (18) internet (36) jeu vidéo (3) liberté d'expression (3) logiciel (13) loi informatique et libertés (5) loi sren (6) marque (3) métavers (3) méthode agile (2) monnaie électronique (1) moteur de recherche (7) nda (1) nft (4) nom de domaine (1) numérique (13) originalité (5) privacy shield (2) propriété intellectuelle (15) protection des données (11) publicité (6) référencement (4) réglementation (13) réseau (2) réseaux sociaux (11) responsabilité (10) responsable du traitement (13) rgpd (23) robotique (7) rpa (6) salariés (4) santé publique (1) sécurité (7) singapour (8) site web (5) us (3) vie privée (23)