Les règles d'entreprise contraignantes (Binding Corporate Rules ou BCR) sont un mécanisme prévu par le RGPD pour encadrer les transferts internationaux de données au sein de groupes d'entreprises. Concrètement, il s’agit d’une politique interne de protection des données qui doit être validée par une autorité de contrôle telle que la CNIL. Ces règles permettent aux multinationales de transférer des données personnelles en dehors de l'Union européenne (UE) tout en garantissant un niveau de protection adéquat. Les BCR sont particulièrement adaptées aux entreprises qui opèrent dans plusieurs pays, dont certains hors de l'UE, et nécessitent un cadre cohérent pour protéger les données dans tous les territoires concernés.
Pour rappel, ce dispositif n’est pas le seul prévu par le RGPD pour pouvoir transférer des données hors de l’Union Européenne. Le cas le plus classique est celui de travailler avec un pays bénéficiant d’une décision d’adéquation de la Commission Européenne. Si ce n’est pas le cas, il faudra avoir recours par exemple à des Clauses Contractuelles Types, des certifications ou des codes de conduite.
Les règles d'entreprise contraignantes sont définies par un ensemble de critères minimaux à respecter. En plus de l'obligation de se conformer aux dispositions du RGPD, toute entreprise souhaitant adopter des règles d'entreprise contraignantes (BCR) doit expliciter la manière dont elle compte mettre en œuvre la responsabilité au sein du groupe, que ce soit par le siège européen, une filiale européenne désignée ou un autre dispositif justifié. Elle doit également prévoir la formation de ses collaborateurs sur les spécificités des BCR, la réalisation d'audits internes pour s'assurer du respect de ces règles, ainsi que la gestion des plaintes internes liées à la protection des données. La mise en place d’un réseau de délégués à la protection des données, ou d’employés qualifiés, est nécessaire pour traiter les plaintes et garantir le suivi des règles internes. En outre, l’entreprise doit se doter d’une procédure afin de déterminer s’il est opportun de mener des analyses d’impact sur la vie privée (AIPD). Enfin, des mesures techniques et organisationnelles appropriées doivent être adoptées pour assurer le respect des principes de protection des données et permettre aux personnes concernées d’exercer leurs droits, notamment en matière d’accès, de rectification et de suppression des données.
Le Comité Européen de la Protection des Données a publié les Recommandations 1/2022(1) concernant la demande d’approbation et les éléments et principes des règles d’entreprise contraignantes pour les responsables du traitement (article 47 du RGPD) le 20 juin 2023. Ces recommandations sont un soutien précieux afin de murir le projet de BCR en vue d’une demande d’approbation.
En avril 2024, la CNIL complète cette ressource avec la mise à disposition d’un outil d’auto-évaluation(2) afin de déterminer la maturité du projet. Ce questionnaire couvre 7 thématiques :
- Le caractère contraignant,
- L’efficacité
- Le devoir de coopération
- La description du traitement
- L’analyse de la législation
- Les modalités de communication
- Les garanties
Chaque thématique comporte entre 2 et 13 questions, et la plupart des questions sont annotées avec les références des textes réglementaires ou des référentiels à consulter. Pour chaque réponse négative, une action préconisée est proposée. Un tableau récapitulatif est édité, présentant les réponses et précisions apportées, ainsi que les actions recommandées. De cette façon, ce questionnaire est un outil très utile, au-delà d’un simple test de maturité, pour vérifier l'exhaustivité de son approche et la rigueur de sa méthode.
En complément de cet outil, la CNIL a également mis à disposition fin août des modèles de suivi de la conformité des BCR(3). Un modèle est à disposition des entités locales et l’autre à disposition du DPO Groupe. Ces documents listent des questions concrètes et des points de reporting essentiels pour garantir la conformité des BCR. Ils sont naturellement à affiner en fonction des spécificités de chaque structure mais ils constituent un point de départ particulièrement solide, qui peut d’ailleurs inspirer des documents de suivi de conformité RPGD plus généraux.
(1) https://www.edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-12022-application-approval-and_fr
(2) https://www.cnil.fr/fr/regles-dentreprises-contraignantes-bcr-la-cnil-publie-un-outil-dauto-evaluation
(3) https://www.cnil.fr/fr/regles-dentreprise-contraignantes-bcr-la-cnil-publie-un-outil-de-suivi