ParticuliersProfessionnelsPresse
FrEnGestionnaire de cookies
  1. Accueil
  2. Règles d’entreprise contraignantes (BCR) : la CNIL publie un outil de suivi

Règles d’entreprise contraignantes (BCR) : la CNIL publie un outil de suivi

27 août 2024

Afin d’accompagner les groupes détenteurs de BCR à vérifier leur mise en œuvre, la CNIL met à leur disposition un outil et décrit les étapes pour son déploiement.

Que sont les règles d’entreprise contraignantes et quels sont les groupes qui doivent les mettre en œuvre ?

Les règles d’entreprise contraignantes (binding corporate rules ou BCR en anglais) désignent une politique de protection des données intra-groupe. Elles permettent aux entités liées de transférer des données personnelles hors de l'Union européenne. Il s’agit de l’un des outils de conformité prévus par le règlement général sur la protection des données (RGPD).

L’approbation des règles d’entreprise contraignantes s’inscrit dans le cadre d’une démarche d’accompagnement mise en œuvre par la CNIL.

Les groupes détenteurs ont la charge de mettre en place de manière effective les obligations issues des BCR. Les entreprises concernées sont des entreprises privées multinationales, implantées dans plusieurs pays de l’Union européenne et en dehors de celle-ci (voir la liste des groupes détenteurs de BCR approuvées par la CNIL).

Un nouvel outil de suivi pour vérifier la conformité aux BCR

Afin de permettre aux groupes détenteurs de BCR de vérifier leur niveau de conformité par rapport aux exigences de ces règles, la CNIL publie un outil de suivi en français et en anglais.

Celui-ci est à déployer en 3 étapes, aux moyens de 2 questionnaires qui peuvent être adaptés en fonction des besoins :

  1. Le délégué à la protection des données ou la personne en charge du groupe choisit les entités qui feront l’objet de ce suivi. Elles peuvent être situées, ou non, en UE.
  2. Ces organismes complètent le premier questionnaire « Entité locale » et l’adresse à la personne en charge au niveau du groupe. Cette remontée d’informations permet de s’assurer d’un déploiement concret et harmonisé des BCR et d’une gouvernance adaptée.
  3. Le second questionnaire « DPO groupe » est complété directement par le délégué à la protection des données du groupe, sur la base des remontées d’informations qui lui parviennent via le premier questionnaire. Il doit permettre au DPO groupe d’avoir une vue synthétique du déploiement de la gouvernance.

Sur la base des résultats obtenus, le DPO ou la personne en charge au niveau du groupe peut compléter la documentation de la conformité du groupe, proposer un plan d’actions ou encore solliciter la mise en place d’audits.

Document reference

Modèles

Modèle de questionnaire 1 – Entité locale (FR)
[ ODT-123.77 Ko ]
Modèle de questionnaire 1 – Entité locale (EN)
[ ODT-121.6 Ko ]
Modèle de questionnaire 2 – DPO groupe (FR)
[ ODT-105.59 Ko ]
Modèle de questionnaire 2 – DPO groupe (EN)
[ ODT-104.97 Ko ]
Texte reference

Pour approfondir

Ceci peut également vous intéresser ...

Transferts de données hors UE : sanction de 290 millions d’euros à l’encontre d’UBER
Le 22 juillet 2024, en coopération avec la CNIL, l’autorité néerlandaise de protection des ...
26 août 2024
Sanction
Adéquation des États-Unis : les premières questions-réponses
Le 10 juillet 2023, la Commission européenne a adopté une nouvelle décision d’adéquation ...
17 juillet 2024
Transferts de données hors UE
Quand et comment soumettre son projet de BCR aux autorités de protection des données ?
La nouvelle procédure d’approbation des BCR issue du RGPD prévoit désormais la saisine du ...
29 avril 2024
BCR