Le Règlement Général sur la Protection des données prévoit expressément l'utilisation de règles d'entreprise contraignantes (BCR) par un groupe d'entreprises ou un groupe d'entreprises exerçant une activité économique commune pour les transferts de données à caractère personnel au sens de l'article 44 du RGPD.
Qu'est-ce que les règles d'entreprise contraignantes ?
Les règles d'entreprises contraignantes, ou BCR, sont un mécanisme utilisé par un groupe d'entreprises ou sociétés, engagées dans une activité commune, pour transférer des données personnelles en dehors de l'Espace économique européen à des responsables de traitement ou sous-traitants internes, au sein du même groupe.
Effectivement, le champ d'application du RGPD est l’Union européenne ; celui-ci protège également les personnes concernées dans l'Union Européenne si elles sont, par exemple, clientes d’entreprises situées à l’étranger.
Toutefois, il se peut que des entités d'un même groupe soit situées dans des pays différents. Dans ces cas là, il est possible que certaines de ces entités soient situées dans des pays où le RGPD ne s'applique pas.
Ainsi, pour qu'il puisse y avoir un transfert de données personnelles entre ces différentes entités, le groupe doit garantir un niveau de protection des données de toutes ses sociétés ou entreprises.
Ce niveau de protection des données doit être équivalent au RGPD.
Les recommandations actualisées du CEPD au sujet des règles d'entreprise contraignantes
Le Le Comité européen de la protection des données a récemment actualisé son référentiel concernant les règles d'entreprise contraignante.
Les recommandations « constituent une mise à jour du référentiel BCR-C existant qui contient les critères d'approbation et les fusionnent avec le formulaire », explique la Cnil.
Ces actualisations ont permis de :
- consigner les interprétations communes dégagées par les autorités de protection des données le cadre des procédures d'approbation de BCR depuis l'entrée en vigueur du RGPD
- clarifier les exigences de ce référentiel
- fournir des orientations supplémentaires
- favoriser la compréhension des attentes des autorités par l'ensemble des entreprises candidates
Le référentiel actualisé fait également la distinction entre :
- ce qui doit être contenu dans le dossier présenté à l'autorité de protection des données en charge de l'instruction
- de ce qui doit figurer dans le corps des règles d'entreprise contraignantes
Enfin, les recommandations intègrent les exigences de l'arrêt Schrems II de la Cour de justice de l'Union européenne (CJUE). Effectivement, ce nouveau référentiel prévoit que les entités adhérentes aux BCR s'engagent à ne transférer des données qu'après avoir procédé à une analyse de la législation du pays tiers de destination.
En toute hypothèse, les BCR devront également reprendre les mêmes obligations que celles déclinées dans les clauses contractuelles types avec entre autres :
- la veille juridique,
- les mesures additionnelles si nécessaire,
- la mise à disposition des autorités de la documentation et,
- la gestion des demandes d’accès par des autorités de pays tiers.
La CNIL met à disposition un outil de visualisation permettant l’identification des modifications apportées.