Article

L'Union Européenne a élaboré des Binding Corporate Rules (BCR) pour encadrer les flux internationaux de données internes à une entreprise ou un groupe. Ces BCR constituent un code de conduite, définissant la politique d'une entreprise en matière de transferts de données. Les BCR permettent d'offrir une protection adéquate aux données transférées depuis l'Union européenne vers des pays tiers à l'Union européenne au sein d'une même entreprise ou d'un même groupe.

Les États membres de la Coopération économique pour l'Asie-Pacifique (APEC) ont récemment développé un système de règles transfrontalières de protection de la vie privée, les Cross-Border Privacy Rules (CBPR). Celui-ci permet d'apporter des garanties aux transferts de données. Ces garanties reposent notamment sur une certification par des tiers certificateurs agréés par l'APEC.

Le système européen des BCR et celui des CBPR sont basés sur des approches comparables. Dans les deux cas il s'agit pour des entreprises de développer des codes de conduite pour les transferts internationaux qui sont revus a priori par des autorités de protection des données ou par des tiers agréés,

Le G29 (Groupe des CNIL européennes) a étudié les CBPR afin d'identifier leurs similarités et leurs différences avec les BCR. Sur la base de cette comparaison, il a lancé une réflexion pour développer des outils qui pourraient servir de base de référence aux groupes multinationaux qui opèrent à la fois dans l'Union européenne et dans la zone APEC.

Fin janvier 2013, la CNIL, qui est rapporteur sur le sujet auprès du G29, ainsi que d'autres autorités de protection européennes se sont réunies à Jakarta avec le Comité BCR/CBPR de l'APEC. Une feuille de route devrait être adoptée dans les prochains mois par les membres du G29 et de l'APEC afin de poursuivre ce travail de coopération et de matérialiser des outils opérationnels à destination des groupes internationaux.