Les règles d'entreprise contraignantes (BCR - Binding Corporate Rules)
Les règles d'entreprise contraignantes (en anglais Binding Corporate Rules ou BCR) désignent une politique de protection des données intra-groupe en matière de transferts de données personnelles hors de l'Union européenne. Elles sont juridiquement contraignantes et respectées par les entités signataires du groupe, quel que soit leur pays d’implantation, ainsi que par tous leurs salariés d'une même entreprise ou d'un même groupe.
Les règles d'entreprise contraignantes (BCR) sont définies à l'article 47 du RGPD. Elles permettent d'assurer un niveau de protection suffisant aux données transférées hors de l'Union européenne. Elles constituent un outil d'encadrement des transferts hors UE global et alternatif aux Clauses Contractuelles Types et au privacy shield.
Quelles entreprises sont concernées par les BCR ?
Les BCR concernent les multinationales implantées dans plusieurs pays européens, et effectuant de nombreux transferts de données depuis leurs entités ou entre celles-ci, vers des pays n'assurant pas un niveau de protection équivalent à celui de l'Union européenne. Elles permettent ainsi d’encadrer les transferts de données personnelles de manière globale et uniforme, et offrent une alternative à la multiplication des Clauses Contractuelles Types en assurant un niveau de protection suffisant à ces transferts.
Du fait de l’implication de multiples autorités de contrôle européennes dans la procédure d’approbation des BCR, l’adoption de ces règles d'entreprise contraignantes garantit la conformité des transferts de l’ensemble des entités signataires, et non seulement des entités d’un seul pays. En ce sens, les BCR constituent une alternative au Privacy Shield pour les transferts à destination des Etats-Unis.
Quels sont les avantages des BCR pour un groupe ?
Les BCR permettent :
- d'être en conformité avec les principes du RGPD
- d'éviter de conclure autant de contrats qu'il existe de transferts au sein d'un groupe ;
- d'uniformiser les pratiques relatives à la protection des données personnelles au sein d'un groupe ;
- de communiquer sur la politique d'entreprise en matière de protection des données personnelles auprès de ses clients, partenaires et salariés et de leur assurer un niveau de protection satisfaisant lors des transferts de leurs données personnelles ;
- de placer la protection des données au rang des préoccupations éthiques du groupe.
Des BCR « responsable de traitement » et « sous-traitant »
Il existe deux types de BCR :
- Les BCR « responsable de traitement » permettent d’encadrer les transferts effectués au sein d’un groupe agissant en qualité de responsable de traitement.
- Les BCR « sous-traitant » permettent de créer une sphère de sécurité pour les transferts effectués lorsque le groupe agit en qualité de sous-traitant.
Un groupe peut opter pour l’un ou l’autre de ces types de BCR, selon les activités qu’il souhaite encadrer. Il est également possible d’adopter conjointement ces deux types de BCR. Dans ce cas, il est recommandé aux groupes de mettre en place deux documents distincts, afin de pouvoir identifier facilement les traitements concernés par les différentes procédures mises en place par les BCR.
BCR «responsable de traitement»
BCR «sous-traitant»
Quelles actions mener au sein du groupe en vue de l’adoption de BCR ?
Le groupe d’entreprises doit notamment s'engager à mettre en œuvre :
- un régime de responsabilité pesant sur le siège européen ou sur la filiale européenne responsable par délégation de la protection des données (ou autre régime de responsabilité, sur justification) ;
- une procédure de formation du personnel quant aux règles posées par les BCR ;
- une procédure d'audit ;
- une procédure interne de gestion des plaintes ;
- un réseau de responsables de la protection des données ou d'employés qualifiés pour la gestion des plaintes, la surveillance et le contrôle du respect des règles internes ;
- une procédure permettant de déterminer l’opportunité de conduire une analyse d'impact sur la vie privée (AIPD) ;
- des mesures techniques et organisationnelles appropriées permettant de respecter les principes de la protection des données ;
Les BCR engagent le groupe à respecter les droits des personnes dont les données personnelles sont traitées.
Les personnes concernées doivent pouvoir exercer leurs droits (d’accès, de rectification, d’effacement, d’information) et adresser des réclamations lorsqu’elles constatent, par exemple, un manquement aux principes de limitation des finalités et de la durée de conservation, ou encore un problème de sécurité ou de la confidentialité des données.
Les éléments devant nécessairement figurer dans les BCR sont explicités dans les référentiels d’approbation adoptés par le Comité Européen de la Protection des Données (CEPD).
Quand et comment soumettre son projet de BCR aux autorités de protection des données ?
-
Préparation du projet de BCR
Avant de soumettre son projet de BCR à une autorité de contrôle, il est nécessaire de :
- Déterminer le périmètre d’application des BCR auxquelles le groupe souhaite adhérer. Il est possible d'encadrer uniquement les traitements mis en œuvre en qualité de responsable de traitement ou de limiter les BCR aux transferts de données personnelles opérés par des entités situées dans l’Union Européenne vers des entités situées en dehors de l’UE. À l’inverse, il est possible d’appliquer les BCR à l’ensemble des transferts de données personnelles opérés entre des entités signataires, même lorsque celles-ci sont toutes deux situées hors de l’UE.
- Mettre en place les différentes procédures de gouvernance de la protection des données et s’assurer que les entreprises adhérentes aux BCR sont en conformité avec les principes de protection des données. Ainsi, lorsque les BCR seront validées, à l’issue de la procédure d’approbation européenne, les entreprises signataires seront en conformité avec leurs dispositions.
- Déterminer l'autorité de protection des données « chef de file », qui sera, pour toute l'Europe, l’unique interlocutrice du groupe tout au long de la procédure d'adoption.
-
Soumission de son projet de BCR à la CNIL
Le groupe peut, dans un premier temps, envoyer uniquement la première partie ("PART 1 : Applicant information") des formulaires d’instruction de "BCR responsable de traitement"(WP264) et/ou des "BCR sous-traitant" (WP265). La CNIL notifie ses homologues européens de sa saisine en qualité d'autorité chef de file. Les autres autorités de contrôle disposent d’un délai d'un mois pour émettre des objections, l’instruction des dossiers de BCR ne peut débuter avant l’écoulement de ce délai.
Par la suite, le groupe pourra envoyer le formulaire d'instruction intégralement complété ainsi que son projet de BCR. La CNIL accompagne alors le groupe dans la procédure d'adoption, jusqu’à ce que les BCR soient conformes aux référentiels européens.
-
Instruction des BCR par les autorités de contrôle
Vous trouverez des informations sur la procédure d'adoption des BCR par les autorités de contrôle sur le site de la Commission européenne et celui du Comité Européen de la Protection des Données.
Mettre en place des BCR
De nombreuses entreprises ont déjà adopté des BCR...
> Consulter la liste complète
La CNIL vous accompagne dans votre projet.
>Contactez-nous
Quel suivi après l’adoption des BCR ?
Une fois les BCR adoptées, la CNIL continue à accompagner le groupe d’entreprises, notamment en lui suggérant des modifications au regard des dernières évolutions de la règlementation.
Les BCR doivent contenir une procédure de mise à jour.
- Lorsque les changements apportés aux BCR ne sont pas substantiels (par exemple, la modification de la liste des entités signataires des BCR) les groupes d’entreprises doivent notifier à la CNIL ces changements au moins une fois par an.
- Lorsque les changements apportés aux BCR sont substantiels (par exemple, l’élargissement du champ d’application des BCR à l’ensemble des données personnelles transférées entre les signataires), la modification doit être notifiée sans délai à la CNIL, qui se chargera alors d’en informer les autres autorités concernées. Chacune de ces autorités pourra, par l’intermédiaire de la CNIL, adresser des commentaires quant aux changements apportés aux BCR.
