Ce qu’il faut savoir sur les règles d'entreprise contraignantes (BCR)

Invalidation du Privacy Shield : les BCR peuvent-elles toujours être utilisées pour transférer des données vers un pays tiers ?

Dans un arrêt du 16 juillet 2020, la Cour de justice de l'Union européenne (CJUE) a invalidé le Privacy Shield en raison du degré d'interférence créé par la loi des États-Unis avec les droits fondamentaux des personnes dont les données sont transférées vers ce pays tiers.  Le jugement de la CJUE s'applique également dans le contexte des BCR, puisque certaines garanties du Privacy Shield avaient également vocation à s’appliquer dans le contexte des BCR et que la loi américaine primera également sur cet outil.

Les BCR peuvent toujours être utilisées pour transférer des données vers un pays tiers. Cependant, il incombe à l'exportateur et à l'importateur de données d'évaluer en pratique si la législation du pays tiers permet de respecter le niveau de protection requis par le droit de l’UE et les garanties fournies par les BCR.

Si ce niveau n’est pas respecté, les entreprises doivent prévoir des mesures supplémentaires pour garantir un niveau de protection essentiellement équivalent à celui prévu dans l’Espace économique européen, et elles doivent s’assurer que la législation du pays tiers n'empiétera pas sur ces mesures supplémentaires de manière à les priver d'effectivité.

Concernant les États-Unis, la Cour a estimé que le droit américain en matière d’accès aux données par les services de renseignement (en particulier la section 702 du FISA et l’Executive Order 12333) ne permet pas d’assurer un niveau de protection essentiellement équivalent (voir en particulier le considérant 145 de l'arrêt de la Cour , la clause 4(g) de la décision 2010/87/UE de la Commission, la clause 5(a) de la décision 2001/497/CE de la Commission et l'annexe II (c) de la décision 2004/915/CE de la Commission).

La poursuite des transferts de données personnelles vers les États-Unis sur la base des BCR dépendra donc des mesures supplémentaires que vous pourriez mettre en place. L’ensemble formé par les mesures supplémentaires et les BCR, après une analyse au cas par cas des circonstances entourant le transfert, devra garantir que la législation américaine ne compromet pas le niveau de protection adéquat que les BCR et ces mesures garantissent.

Dans tous les cas de transferts (vers les États-Unis ou vers tous pays tiers), si vous arrivez à la conclusion que, compte tenu des circonstances du transfert et d'éventuelles mesures supplémentaires, le respect des garanties appropriées ne sera pas assuré, vous êtes tenu de suspendre ou de mettre fin au transfert de données personnelles.

En savoir plus : invalidation du Privacy shield : les suites de l’arrêt de la CJUE

Un groupe d’entreprises peut soumettre à l’approbation d’une autorité de contrôle compétente un projet de BCR à condition que ces règles :

• soient juridiquement contraignantes ;
• soient mises en application par toutes les entités concernées du groupe d'entreprises ;
• confèrent expressément aux personnes concernées des droits sur le traitement de leurs données personnelles ;
• répondent aux exigences prévues par le RGPD (article 47).

Quelle est l’utilité des BCR ?

L’encadrement des transferts

Depuis 2003, les règles d’entreprise contraignantes, aussi appelées Binding Corporate Rules (BCR), permettent à de nombreux groupes d’entreprises de déployer des procédures internes ayant pour objectif de garantir une continuité dans la sphère de protection des données lorsqu’elles effectuent des transferts hors de l’Union européenne.

Les BCR prennent la forme d’une convention intra-groupe élaborée par la société en question sur la base de référentiels d’exigences conçus et adoptés initialement par le G29. Ces référentiels ont été étoffés et mis à jour au regard du RGPD avant d’être repris par le Comité européen de la protection des données (CEPD) le 25 mai 2018.

Les autorités de protection des données sont en charge de l’évaluation et de la validation de ces conventions vis-à-vis de ces référentiels.

La mise en place d’une politique globale de gouvernance.

Les BCR sont avant tout un outil à destination des grands groupes qui ont atteint des dimensions telles que cela entraîne de nombreuses conséquences sur les transferts internationaux mis en œuvre. Les BCR représentent une « garantie appropriée » au sens du RGPD pour assurer la base juridique des transferts (article 46.2(b)) et sont aujourd’hui également conçues par les groupes comme un outil de management de la donnée, c’est-à-dire une preuve de la mise en conformité dans une optique de formalisation de leurs politiques en matière de protection des données.

La mise en place d’une telle politique nécessite la mise en place d’une structure de gouvernance unique, complète et harmonisée au sein d’un même groupe. Cette démarche a conduit les BCR à s’imposer peu à peu pour de nombreux groupes comme étant la traduction de leur politique globale en matière de protection des données personnelles.

Quelles entreprises sont concernées par les BCR ?

Les entreprises concernées sont essentiellement des multinationales effectuant de nombreux transferts de données entre leurs entités et qui utilisent les BCR comme un outil de redevabilité (accountability) permettant d’unifier les garanties concernant les traitements de données personnelles offertes par leurs filiales dans le monde entier. Chaque dossier BCR joue un rôle extrêmement important dans la conformité du traitement des données d’un très grand volume de personnes concernées.

Les BCR bénéficient désormais d’une reconnaissance internationale et traduisent l’exemplarité des groupes ayant décidé de les mettre en œuvre. Ces groupes en tirent d’ailleurs parti pour adhérer à d’autres systèmes équivalents à l’étranger tels que l’outil de transfert Cross Border Privacy Rules (CBPR) mis en place par le forum de coopération économique de la zone Asie-Pacifique (APEC) ou encore les règles contraignantes d’entreprise francophones (outil développé par l’AFAPDP pour encadrer les transferts hors de pays francophones).

Entre 2007 et le 25 mai 2018, 151 BCR ont été approuvées par l’ensemble des autorités de protection européennes. Depuis l’adoption du RGPD, la demande d’approbation de BCR connait une croissance extrêmement soutenue, tant en France qu’à l’étranger.