Ce qu’il faut savoir sur les règles d'entreprise contraignantes (BCR)

Un groupe d’entreprises peut soumettre à l’approbation d’une autorité de contrôle compétente un projet de BCR à condition que ces règles :

• soient juridiquement contraignantes ;
• soient mises en application par toutes les entités concernées du groupe d'entreprises ;
• confèrent expressément aux personnes concernées des droits sur le traitement de leurs données personnelles ;
• répondent aux exigences prévues par le RGPD (article 47).

Quelle est l’utilité des BCR ?

L’encadrement des transferts

Depuis 2003, les règles d’entreprise contraignantes, aussi appelées Binding Corporate Rules (BCR), permettent à de nombreux groupes d’entreprises de déployer des procédures internes ayant pour objectif de garantir une continuité dans la sphère de protection des données lorsqu’elles effectuent des transferts hors de l’Union européenne.

Les BCR prennent la forme d’une convention intra-groupe élaborée par la société en question sur la base de référentiels d’exigences conçus et adoptés initialement par le G29. Ces référentiels ont été étoffés et mis à jour au regard du RGPD avant d’être repris par le Comité européen de la protection des données (CEPD) le 25 mai 2018.

Les autorités de protection des données sont en charge de l’évaluation et de la validation de ces conventions vis-à-vis de ces référentiels.

La mise en place d’une politique globale de gouvernance.

Les BCR sont avant tout un outil à destination des grands groupes qui ont atteint des dimensions telles que cela entraîne de nombreuses conséquences sur les transferts internationaux mis en œuvre. Les BCR représentent une « garantie appropriée » au sens du RGPD pour assurer la base juridique des transferts (article 46.2(b)) et sont aujourd’hui également conçues par les groupes comme un outil de management de la donnée, c’est-à-dire une preuve de la mise en conformité dans une optique de formalisation de leurs politiques en matière de protection des données.

La mise en place d’une telle politique nécessite la mise en place d’une structure de gouvernance unique, complète et harmonisée au sein d’un même groupe. Cette démarche a conduit les BCR à s’imposer peu à peu pour de nombreux groupes comme étant la traduction de leur politique globale en matière de protection des données personnelles.

Quelles entreprises sont concernées par les BCR ?

Les entreprises concernées sont essentiellement des multinationales effectuant de nombreux transferts de données entre leurs entités et qui utilisent les BCR comme un outil de redevabilité (accountability) permettant d’unifier les garanties concernant les traitements de données personnelles offertes par leurs filiales dans le monde entier. Chaque dossier BCR joue un rôle extrêmement important dans la conformité du traitement des données d’un très grand volume de personnes concernées.

Les BCR bénéficient désormais d’une reconnaissance internationale et traduisent l’exemplarité des groupes ayant décidé de les mettre en œuvre. Ces groupes en tirent d’ailleurs parti pour adhérer à d’autres systèmes équivalents à l’étranger tels que l’outil de transfert Cross Border Privacy Rules (CBPR) mis en place par le forum de coopération économique de la zone Asie-Pacifique (APEC) ou encore les règles contraignantes d’entreprise francophones (outil développé par l’AFAPDP pour encadrer les transferts hors de pays francophones).

Entre 2007 et le 25 mai 2018, 151 BCR ont été approuvées par l’ensemble des autorités de protection européennes. Depuis l’adoption du RGPD, la demande d’approbation de BCR connait une croissance extrêmement soutenue, tant en France qu’à l’étranger.

Adéquation des États-Unis : quels impacts pour les règles d’entreprise (binding corporate rules ou BCR) ?

Le 10 juillet 2023, la Commission européenne a adopté une nouvelle décision d’adéquation reconnaissant que les États-Unis assurent un niveau de protection substantiellement équivalent à celui de l’Union européenne (UE).

Cette décision entrée en application le même jour, établit un cadre similaire au précédent système de protection des données UE-États-Unis (Privacy Shield), basé sur un mécanisme d’auto-certification des entités américaines.

Ce mécanisme concerne tous les organismes nouvellement certifiés, mais également ceux qui faisaient l’objet d’une certification Privacy Shield et qui l’avaient maintenue après l’invalidation de la décision d’adéquation. En effet, ces organismes ont été automatiquement inscrits sur la nouvelle liste du Département étatsunien du commerce. Ils disposaient de trois mois pour mettre à jour leur politique de confidentialité (jusqu’au 10 octobre 2023).

C’est la présence ou l’absence de l’entité importatrice sur cette liste qui déterminera si l’exportateur est tenu ou non de mettre en place l’un des outils d’encadrement prévus à l’article 46 du RGPD, parmi lesquels figurent les BCR.

Deux cas de figure sont ainsi envisageables :

• l’entité importatrice est inscrite sur la liste du Département étatsunien du commerce : l’exportateur n’a pas à utiliser d’outil d’encadrement pour procéder au transfert ;
• l’entité importatrice n’est pas inscrite sur cette liste : l’exportateur doit mettre en place un outil d’encadrement (BCR ou CCT) et respecter les obligations issues de la décision Schrems II de la CJUE.

Pour rappel, cette décision exige que l'exportateur évalue, avec l’aide de l’importateur, si la législation du pays tiers permet en pratique de respecter le niveau de protection requis par le droit de l’UE et les garanties prévues par l’outil d’encadrement.