Règles d’entreprise contraignantes (BCR) : la CNIL publie un outil de suivi
Par Kouamé Konan Elysée Kouassi
Stagiaire, chargé de supervision conformité à l'international
Crédit Agricole SA
Posté le: 17/09/2024 0:15
La plateforme numérique Uber a été condamnée par l'autorité néerlandaise de protection des données à une amende de 290 millions d'euros pour avoir transféré de manière illégale, conformément au règlement 'RGPD' sur la protection des données personnelles, des données de chauffeurs français vers les États-Unis.
Entre août 2021 et novembre 2023, Uber avait recueilli des données confidentielles (informations sur les comptes et les licences de taxi, informations de localisation, photos, informations de paiement, documents d'identité et, dans certains cas, des informations criminelles et médicales) des conducteurs et les avait transmises à son siège américain.
Après l'annulation, en juillet 2020, par la Cour de justice de l'Union européenne du 'Privacy shield' entre l'UE et les États-Unis, les entreprises américaines qui étaient actives dans l'UE pouvaient toujours utiliser des clauses contractuelles standard (« clauses contractuelles standard ») pour transférer des données personnelles vers des pays tiers, mais seulement si un niveau de protection équivalent pouvait être assuré dans la pratique. Ces clauses présentent toutefois l’inconvénient d’être limité aux relations ponctuelles entre un responsable de traitement établi dans l’UE et un sous-traitant d’un pays tiers.
Pour assurer un niveau de protection conforme, le RGPD prévoit par ailleurs les règles d’entreprises contraignante ou binding corporate rules (BCR en anglais). Faisant suite à cette actualité, la CNIL a publié un outil de suivi et les étapes pour son déploiement. Sans faire une comparaison avec les clauses contractuelles, moins adapté à des groupes comme Uber, revoyons, la nature de ces BCR.
LE BCR ET LES ENTREPRISES ASSUJETIES
Les règles d'entreprise obligatoires (ou BCR en anglais) sont une politique de sécurité des données au sein d'un groupe. Elles offrent aux parties concernées la possibilité de déplacer des informations personnelles en dehors de l'Union européenne. C'est l'un des moyens de respecter les exigences du règlement général sur la protection des données (RGPD). La mise en place de règles d'entreprise contraignantes fait partie d'une initiative d'accompagnement mise en place par la CNIL.
Les groupes détenteurs sont responsables de la mise en œuvre effective des obligations découlant des BCR. La liste des groupes détenteurs de BCR approuvées par la CNIL concerne des entreprises privées multinationales, présentes dans plusieurs pays de l'Union européenne et en dehors de celle-ci. Hormis un processus d'approbation qui peut être long et une mise en oeuvre complexe, les BCR présentent l'avantge d'être entièrement personnalisées et adaptées à la structure et aux activités spécifiques de l'entreprise. Ce qui en soi est une garantie de sécurité et de conformité.
UN OUTIL D AIDE A LA CONFORMITE
Pour faciliter la vérification de la conformité des groupes détenteurs de BCR aux exigences de ces règles, la CNIL édite un outil de suivi en français et en anglais.
Il est nécessaire de le mettre en place en 3 étapes, en utilisant 2 questionnaires qui peuvent être personnalisés en fonction des besoins :
Les entités qui seront soumises à ce suivi sont sélectionnées par le délégué à la protection des données ou la personne en charge du groupe. Elles peuvent se trouver ou non en Union européenne. Ces institutions remplissent le premier questionnaire intitulé « Entité locale » et contactent la personne responsable au sein du groupe. Grâce à cette collecte d'informations, il est possible de garantir un déploiement concret et cohérent des BCR ainsi qu'une gouvernance appropriée. Le délégué à la protection des données du groupe complète directement le second questionnaire « DPO groupe » en se basant sur les informations qui lui parviennent à travers le premier questionnaire. Cela doit offrir au DPO du groupe une vision globale du déploiement de la gouvernance. En se basant sur les résultats obtenus, le responsable de la protection des données ou la personne responsable au sein du groupe a la possibilité de compléter la documentation de conformité du groupe, de proposer un plan d'action ou encore de demander la réalisation d'audits.