Mettre en place des politiques de protection des données à caractère personnel est primordial pour les entreprises qui traitent des informations sensibles, d’autant plus lorsqu’il s’agit de transferts internationaux de données. Une entreprise doit garantir la confidentialité et l’intégrité de ces données tout au long du processus. Les Règles Corporatives Contraignantes (Binding Corporate Rules – BCR) sont un instrument permettant d’encadrer de telles pratiques.
Fondements juridiques des BCR
Les BCR ont été initiées par le Groupe de travail Article 29 sous la directive européenne relative à la protection des données à caractère personnel (Directive 95/46/CE). Ce dispositif a été repris dans le Règlement général sur la protection des données (RGPD) entré en vigueur le 25 mai 2018.
Dans ce contexte, les BCR apparaissent comme une solution adaptée aux problématiques liées au traitement et au transfert international des données à caractère personnel. Le RGPD pose le principe que les entreprises doivent respecter certaines règles pour assurer la confidentialité et la sécurité des données qu’elles traitent. Parmi ces normes figurent les BCR, qui sont définies comme étant « des politiques de protection des données appliquées par un responsable de traitement ou un sous-traitant établis sur le territoire de l’Union pour des transferts ou un ensemble de transferts de données à caractère personnel vers des responsables de traitement et des sous-traitants situés dans des pays tiers » (RGPD, article 47).
Élaboration et soumission des BCR
Afin de mettre en œuvre les BCR de son entreprise, il convient de suivre différentes étapes. Tout d’abord, il est indispensable de préparer un dossier complet décrivant, entre autres, le traitement des données à caractère personnel, les flux internationaux, l’organisation interne du groupe et les procédures mises en place pour assurer la protection des données.
Définition des règles
L’élaboration des BCR implique de déterminer les règles applicables au sein du groupe ou de l’entreprise en matière de traitement et transfert de données à caractère personnel. Cela inclut notamment :
- les principes fondamentaux relatifs à la protection des données;
- le périmètre des activités concernées par les BCR;
- une description précise des procédures internes garantissant la sécurité et la confidentialité des données;
- le dispositif mis en place pour résoudre les conflits pouvant survenir lors du traitement des données;
- les voies de recours offertes aux personnes concernées.
Soumission aux autorités compétentes
Une fois le dossier préparé, il doit être soumis à l’autorité nationale auprès de laquelle se situe le principal établissement européen du responsable de traitement. L’autorité étudie alors le dossier sous l’angle de la conformité aux exigences du RGPD et délivre, le cas échéant, une approbation des BCR. Ce faisant, elle identifie les autres autorités européennes ayant compétence pour les activités de traitement ou de transfert réalisées par le groupe concerné.
Si les règles proposées sont conformes, l’autorité peut délivrer un agrément qui atteste que les BCR respectent les principes du RGPD en matière de protection des données à caractère personnel.
Responsabilité et sanctions en cas de non-conformité
La mise en place des BCR ne dispense pas d’une vigilance constante quant au respect des règles édictées et des obligations imposées par le RGPD. En effet, les entreprises ayant adopté des BCR se voient soumises à un contrôle régulier de la part des autorités de protection des données, qui peuvent sanctionner toute violation des dispositions.
Responsabilité du responsable de traitement et du sous-traitant
Le responsable de traitement est tenu de veiller à ce que ses sous-traitants respectent les BCR. Leur relation doit être encadrée par un contrat stipulant les conditions dans lesquelles ils sont amenés à traiter des données à caractère personnel. Dans tous les cas, les parties contractantes doivent assumer leurs responsabilités envers les personnes concernées par les données, qui doivent être informées de leurs droits et démarches en cas d’incident touchant aux données.
Sanctions en cas de manquement aux obligations
En cas de manquement aux obligations, les entreprises s’exposent à des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total. Les autorités peuvent également mettre en demeure le responsable de traitement ou le sous-traitant de se conformer aux exigences issues du RGPD ou ordonner la suspension des transferts de données vers un pays tiers.
BCR : une solution flexible et reconnue
Au-delà du caractère contraignant des BCR vis-à-vis des entreprises concernées, ces règles présentent également un réel intérêt en matière de sécurité juridique et opérationnelle. En effet, elles offrent une solution globale pour encadrer les transferts internationaux de données au sein d’un groupe, tout en respectant les spécificités liées au contexte local dans chacun des pays où il opère. De plus, leur adoption contribue à renforcer l’image de l’entreprise quant à la protection des données personnelles, un enjeu essentiel à l’heure actuelle pour toute entreprise manipulant ce type d’information.