Pourquoi mettre en place des BCR ?
Les règles d’entreprises contraignantes s’adressent aux organismes qui sont implantés dans plusieurs pays de l’Union européenne et qui transfèrent de façon régulière des données hors de l’Union européenne. Il existe deux types de BCR : les BCR « responsable de traitement » et BCR « sous-traitant ». Dès lors le groupe doit être en mesure d’identifier les traitements qui auront vocation à être couverts par leas BCR.
Les BCR : un outil de « redevabilité »
Le principe de redevabilité (accountability) est essentiel aux BCR, qui sont le premier instrument à avoir introduit ce principe général de responsabilisation des acteurs en plus de la mise en œuvre de mesures pratiques, tant organisationnelles que techniques.
Les BCR sont souvent qualifiées par ces groupes d’entreprises d’accélérateur de conformité et de démonstration de faisabilité dans un objectif de conformité des traitements de données : elles constituent des « politiques appropriées en matière de protection des données » prévues par le RGPD. La sécurisation juridique des transferts de données n'est qu'une conséquence directe de la mise en place d'un programme global de protection de la vie privée à l'échelle du groupe.
Avec le RGPD, le contenu pour les BCR fait l’objet de quatorze exigences listées à l’article 47 du RGPD, qui vont de la définition de la structure de l’entreprise à son plan de formation interne, sans oublier les engagements de responsabilité de l’entreprise en cas de violation des BCR par l’une des entités du groupe ou encore les mécanismes d’audit interne.
Les BCR se combinent parfaitement avec les autres mécanismes de conformité prévus par le RGPD, tels que les codes de conduite ou les mécanismes de certification. En effet, le RGPD a mis en place une boîte à outils renouvelée et diversifiée qui permet de prendre en considération les différents besoins des organismes concernés. La ventilation du recours à l’un ou l’autre de ces outils se fera essentiellement via le critère organique. De fait, la certification va cibler des produits ou services, le code de conduite est un outil pratique qui répond aux besoins opérationnels d’un secteur d’activité et les règles d’entreprises contraignantes formalisent la gouvernance interne des grand groupes.
Les BCR permettent :
- d'être en conformité avec les principes du RGPD ;
- d'éviter de conclure autant de contrats qu'il existe de transferts au sein d'un groupe ;
- d'uniformiser les pratiques relatives à la protection des données personnelles au sein d'un groupe ;
- de communiquer sur la politique d'entreprise en matière de protection des données personnelles auprès de ses clients, partenaires et salariés et de leur assurer un niveau de protection satisfaisant lors des transferts de leurs données personnelles ;
- de placer la protection des données au rang des préoccupations éthiques du groupe.
Des BCR « responsable de traitement » et « sous-traitant »
Il existe deux types de BCR :
- Les BCR « responsable de traitement » permettent d’encadrer les transferts de données personnelles de responsables du traitement établis dans l’Union européenne à d’autres responsables du traitement ou à des sous-traitants, établis hors de l’Union, au sein du même groupe.
Exemple : la société A, responsable de traitement, est située dans un pays de l’Union européenne. Elle souhaite transférer des données à une société B qui agira également en qualité de responsable de traitement. Ces deux sociétés font partie du même groupe mais la société B est localisée dans un pays hors Union européenne. Si des transferts de données comme celui-ci interviennent régulièrement entre les sociétés de ce groupe, alors le recours à des BCR dit « RT » est une solution à envisager.
Exemple : la société A, responsable de traitement, est située dans un pays de l’Union européenne, elle souhaite faire appel aux services de la société C pour des prestations de sous-traitance. Ces prestations impliquent le transfert des données RH des salariés de A vers C. Ces deux sociétés font partie du même groupe mais la société C est localisée dans un pays hors Union européenne. Si des transferts de données comme celui-ci interviennent régulièrement entre les sociétés de ce groupe alors le recours à des BCR dit « RT » est une solution à envisager.
Dans les deux cas le responsable de traitement, la société A fait partie du groupe qui a mis en place des BCR.
- Les BCR « sous-traitant » permettent quant à elles de créer une sphère de sécurité pour les transferts effectués entre les différentes sociétés du groupe lorsque le groupe agit en qualité de sous-traitant.
Exemple : Une société A, responsable de traitement, transfère des données à un sous-traitant, la société B. Ce sous-traitant B, pour effectuer sa mission, va sous-traiter à nouveau auprès de 3 autres sociétés C, D et E qui sont situées hors de l’Union européenne. Si les sociétés B, C, D et E appartiennent au même groupe, des BCR sous-traitant permettront d’encadrer les transferts entre ces entités.
La société A, responsable de traitement, ne fait pas partie du groupe qui a mis en place des BCR.
Un groupe peut opter pour l’un ou l’autre de ces BCR, selon les activités qu’il souhaite encadrer. Il est également possible d’adopter conjointement ces deux types de BCR. Dans ce cas, il est demandé aux groupes de mettre en place deux documents distincts, afin de pouvoir identifier facilement les traitements concernés par les différentes procédures mises en place par les BCR.
Pour approfondir
- Les règles d'entreprise contraignantes (BCR)
- Binding Corporate Rules (en anglais) - Europa.eu
- Ce qu’il faut savoir sur les règles d'entreprise contraignantes (BCR)
- Comment préparer un dossier de BCR ?
- Quand et comment soumettre son projet de BCR aux autorités de protection des données ?
- Transférer des données hors de l'UE
- Projet de BCR : testez le niveau de maturité de votre groupe
- Les groupes détenteurs de règles d’entreprise contraignantes (BCR) approuvées par la CNIL
- Les outils de la conformité