3.2. Règles d’entreprise contraignantes (BCR)

Les règles d’entreprise contraignantes (en anglais « binding corporate rules », ou BCR) permettent d'assurer un niveau de protection suffisant aux données transférées au sein d’un groupe d’entreprise tant à l’intérieur qu’à l’extérieur de l'Espace économique européen. Cette garantie appropriée se prête surtout aux groupes internationaux d’entreprises mettant en œuvre un grand nombre de transferts internationaux de données.

Les BCR désignent une « charte de la protection des données » personnelles élaborée par un groupe d’entreprises qui définit sa politique en matière de transferts de données à caractère personnel. Cette charte doit être contraignante et respectée par toutes les entités du groupe, quel que soit leur pays d'implantation, ainsi que par tous leurs employés. En outre, elle doit conférer aux personnes concernées (clients, fournisseurs et/ou employés) des droits opposables en ce qui concerne le traitement de leurs données à caractère personnel.

Les BCR présentent de nombreux avantages pour un groupe d’entreprises multinationales :

  • conformité avec le règlement général sur la protection des données (article 47);
  • limitation des garanties appropriées à mettre en œuvre pour chaque transfert (par exemple, l’adoption de BCR au niveau du groupe évite de devoir signer autant de clauses types de protection des données qu’il y a de transferts) ;
  • uniformisation des pratiques relatives à la protection des données au sein d’un groupe ;
  • guide interne en matière de protection des données personnelles, qui participe à la responsabilisation du groupe vis-à-vis du RGPD ;
  • moyen plus flexible et adapté à la culture d’entreprise ;
  • possibilité de placer la protection des données au rang de "préoccupation éthique du groupe".

Procédure d’approbation des BCR

La procédure d’approbation des BCR est prévue dans les dispositions du RGPD (articles 47, 63, 64 et 65), et plus amplement détaillée dans le document de travail WP263 rev.01 adopté le 11 avril 2018 par le groupe « article 29 » sur la protection des données, prédécesseur du comité européen de la protection des données (en anglais, European Data Protection Board ou « EDPB »).

Elle s’opère en plusieurs étapes :

  • identification de l’autorité de supervision principale (« lead authority »),
  • procédure de coopération européenne entre l’autorité de supervision principale (« lead authority »), les autorités secondaires (« co-reviewers ») et les autres autorités concernées,
  • avis (non contraignant) de l’EDPB au sujet du projet de décision consolidé soumis par l’autorité de supervision compétente,
  • approbation (ou non) des BCR par l’autorité de supervision principale, en tenant compte de l’avis de l’EDPB.

 

Dernière mise à jour