Les groupes détenteurs de règles d’entreprise contraignantes (BCR) approuvées par la CNIL
L’approbation des règles d’entreprise contraignantes (BCR) résulte d’une démarche d’accompagnement mise en œuvre par la CNIL. Les groupes détenteurs ont la charge de mettre en place, en pratique, les obligations issues des BCR.
Fonctionnement et intérêt des règles d’entreprise contraignantes (BCR)
Les règles d’entreprise contraignantes (binding corporate rules ou BCR en anglais) sont approuvées par les autorités nationales de protection des données de l’Union européenne. Aujourd’hui, près de 240 dossiers ont été approuvés au niveau européen, dont plus de 50 par la CNIL. Ce chiffre est en constante augmentation, une centaine de dossiers sont actuellement en cours d’instruction.
Les BCR représentent un outil de choix pour des groupes internationaux issus de secteurs très divers tels que ceux de la santé, de l’agroalimentaire, des transports ou encore des télécoms. L’attractivité des règles d’entreprise se maintient, car elles permettent à ces groupes de déployer une gouvernance commune dans l’ensemble de leurs filiales à travers le monde.
Plusieurs milliers de sociétés, filiales adhérentes aux BCR, ont mis en place un cadre de gouvernance pour assurer leur conformité. Par effet de levier, ce sont des dizaines de millions de personnes qui bénéficient des mesures de protection.
Ces personnes, dont les données sont transférées en dehors de l’Union européenne (candidats et salariés, clients et prospects, fournisseurs, etc.), doivent être informées du transfert de leurs données et des règles de protection mises en place par les BCR. Ces dernières doivent ainsi être rendues facilement accessibles aux publics concernés. Elles sont publiées sur les intranets et/ou sites web des sociétés adhérentes.
De plus, le délégué à la protection des données de l’organisme, ou l’équipe en charge de la conformité, restent tenus de les communiquer sur demande.
Les groupes détenteurs de BCR adoptées par la CNIL en cours de validité
Les groupes détenteurs ont l’obligation d’informer la CNIL, chaque année, de la mise à jour de leurs BCR ou encore de leur abrogation. Les données contenues dans le tableau étant basées sur les déclarations des groupes, ces derniers doivent veiller à leur exactitude.
L’ensemble de ces informations est également repris dans le registre tenu par le Comité européen de la protection des données (CEPD). Ce registre comprend les groupes détenteurs de BCR approuvées par toutes les autorités membres de l’Union européenne. Il est régulièrement actualisé en fonction de l’approbation de nouvelles BCR, de mises à jour ou encore de l’abrogation de BCR existantes, sur la base des déclarations transmises par les groupes.
Voir la liste des BCR approuvées