Comment préparer un dossier de BCR ?

Les actions à mettre en œuvre au sein d’un groupe

Les référentiels applicables aux BCR prévoient un contenu minimal imposé. Outre l’engagement de respecter les dispositions du RGPD, chaque demandeur est tenu d’expliciter dans ses BCR comment le groupe prévoit de mettre en œuvre :

• un régime de responsabilité pesant sur le siège européen ou sur la filiale européenne responsable par délégation de la protection des données (ou autre régime de responsabilité, sur justification) ;
• une procédure de formation du personnel quant aux règles posées par les BCR ;
• une procédure d'audit pour veiller au contrôle du respect des BCR ;
• une procédure interne de gestion des plaintes ;
• un réseau de délégués à la protection des données ou d'employés qualifiés pour la gestion des plaintes, la surveillance et le contrôle du respect des règles internes ;
• une procédure permettant de déterminer l’opportunité de conduire une analyse d'impact sur la vie privée (AIPD) ;
• pour les BCR « sous-traitant », les obligations du sous-traitant envers le responsable de traitement ;
• des mesures techniques et organisationnelles appropriées permettant de respecter les principes de la protection des données.

Les BCR engagent le groupe à respecter les droits des personnes dont les données personnelles sont traitées.

Les personnes concernées doivent pouvoir exercer leurs droits (d’accès, de rectification, d’effacement, d’information) et adresser des réclamations lorsqu’elles constatent, par exemple, un manquement aux principes de limitation des finalités et de la durée de conservation, ou encore un problème de sécurité ou de la confidentialité des données.

Les éléments devant nécessairement figurer dans les BCR sont explicités dans les référentiels d’approbation adoptés par le Comité Européen de la Protection des Données (CEPD).

Préparer le projet de BCR 

Avant de soumettre son projet de BCR à une autorité de contrôle, il est nécessaire de :

• Déterminer le périmètre d’application des BCR auxquelles le groupe souhaite adhérer car celui-ci peut être variable. Il est par exemple possible d'encadrer uniquement les traitements mis en œuvre en qualité de responsable de traitement ou encore de limiter les BCR aux transferts de données personnelles opérés par des entités situées dans l’UE vers des entités situées en dehors de l’UE. Des BCR peuvent également s’appliquer à des transferts de données personnelles opérés entre des entités signataires, situées hors de l’UE.
• Mettre en place les différentes procédures de gouvernance de la protection des données et s’assurer que les entreprises adhérentes aux BCR sont en conformité avec les principes de protection des données. Ainsi, lorsque les BCR seront validées, à l’issue de la procédure d’approbation européenne, les entreprises signataires seront en conformité avec leurs dispositions.
• Déterminer l'autorité de protection des données compétente, en fonction d’un faisceau d’indices (localisation du siège social ou du délégué à la protection des données, localisation de l’entité du groupe acceptant d’endosser la responsabilité déléguée ou encore localisation de l’entité décisionnaire en termes de traitements de données à caractère personnel et leurs transferts hors de l’Union européenne. Cette autorité sera, pour toute l'Europe, l’unique interlocutrice du groupe tout au long de la procédure d'adoption.
• Veiller à ce que les traitements concernés par les BCR soient en conformité avec le RGPD  (exemple : traitement RH).

Pour plus d’information, vous pouvez vous référer aux éléments contenus dans les référentiels et formulaires d’instruction :