Ce qu’il faut savoir sur les règles d'entreprise contraignantes (BCR)

07 février 2020

Les règles d’entreprise contraignantes (ou Binding Corporate Rules (BCR) en anglais) désignent une politique de protection des données intra-groupe en matière de transferts de données personnelles hors de l'Union européenne. Elles peuvent couvrir tous les traitements effectués par l’organisme ou plus particulièrement les données transférées en dehors de l’Union européenne. Elles concernent principalement des entreprises privées de type multinationale, implantées dans plusieurs pays d’Europe et hors Union européenne.

Les règles d’entreprise contraignantes (communément appelées BCR) permettent à des groupes d’entreprises d’encadrer juridiquement leurs transferts de données hors de l’Union européenne (UE) tout en leur offrant la possibilité d’engager une démarche de mise en conformité globale à l’échelle de tout le groupe.

Les BCR constituent un outil d'encadrement global des transferts hors UE. C’est une alternative à d’autres outils permettant d’encadrer des transferts tels que les Clauses Contractuelles Types ou le Privacy Shield.

Un groupe d’entreprises peut soumettre à l’approbation d’une autorité de contrôle compétente un projet de BCR à condition que ces règles :

  • soient juridiquement contraignantes ;
  • soient mises en application par toutes les entités concernées du groupe d'entreprises ;
  • confèrent expressément aux personnes concernées des droits sur le traitement de leurs données personnelles ;
  • répondent aux exigences prévues par le RGPD (article 47).

Quand et comment soumettre son projet de BCR aux autorités de protection des données ?


Quelle est l’utilité des BCR ?

L’encadrement des transferts

Depuis 2003, les règles d’entreprise contraignantes, aussi appelées Binding Corporate Rules (BCR), permettent à de nombreux groupes d’entreprises de déployer des procédures internes ayant pour objectif de garantir une continuité dans la sphère de protection des données lorsqu’elles effectuent des transferts hors de l’Union européenne.

Les BCR prennent la forme d’une convention intra-groupe élaborée par la société en question sur la base de référentiels d’exigences conçus et adoptés initialement par le G29. Ces référentiels ont été étoffés et mis à jour au regard du RGPD avant d’être repris par le Comité européen de la protection des données (CEPD) le 25 mai 2018.

Les autorités de protection des données sont en charge de l’évaluation et de la validation de ces conventions vis-à-vis de ces référentiels.

La mise en place d’une politique globale de gouvernance.

Les BCR sont avant tout un outil à destination des grands groupes qui ont atteint des dimensions telles que cela entraîne de nombreuses conséquences sur les transferts internationaux mis en œuvre. Les BCR représentent une « garantie appropriée » au sens du RGPD pour assurer la base juridique des transferts (article 46.2(b)) et sont aujourd’hui également conçues par les groupes comme un outil de management de la donnée, c’est-à-dire une preuve de la mise en conformité dans une optique de formalisation de leurs politiques en matière de protection des données.

La mise en place d’une telle politique nécessite la mise en place d’une structure de gouvernance unique, complète et harmonisée au sein d’un même groupe. Cette démarche a conduit les BCR à s’imposer peu à peu pour de nombreux groupes comme étant la traduction de leur politique globale en matière de protection des données personnelles.


Quelles entreprises sont concernées par les BCR ?

Les entreprises concernées sont essentiellement des multinationales effectuant de nombreux transferts de données entre leurs entités et qui utilisent les BCR comme un outil de redevabilité (accountability) permettant d’unifier les garanties concernant les traitements de données personnelles offertes par leurs filiales dans le monde entier. Chaque dossier BCR joue un rôle extrêmement important dans la conformité du traitement des données d’un très grand volume de personnes concernées.

Les BCR bénéficient désormais d’une reconnaissance internationale et traduisent l’exemplarité des groupes ayant décidé de les mettre en œuvre. Ces groupes en tirent d’ailleurs parti pour adhérer à d’autres systèmes équivalents à l’étranger tels que l’outil de transfert Cross Border Privacy Rules (CBPR) mis en place par le forum de coopération économique de la zone Asie-Pacifique (APEC), les règles contraignantes d’entreprise francophones (outil développé par l’AFAPDP pour encadrer les transferts hors de pays francophones) ou encore l’auto-certification du Privacy Shield aux Etats-Unis.

Entre 2007 et le 25 mai 2018, 151 BCR ont été approuvées par l’ensemble des autorités de protection européennes. Depuis l’adoption du RGPD, la demande d’approbation de BCR connait une croissance extrêmement soutenue, tant en France qu’à l’étranger.

 

Les mots clés associés à cet article