Les BCR (règles internes d'entreprise)

06 novembre 2017

Les Binding Corporate Rules (BCR) constituent un code de conduite, définissant la politique d'une entreprise en matière de transferts de données personnelles. Les BCR permettent d'offrir une protection adéquate aux données transférées depuis l'Union européenne vers des pays tiers à l'Union européenne au sein d'une même entreprise ou d'un même groupe.

Des BCR « responsable de traitement » et « sous-traitant »

Jusqu’à fin 2012, les BCR (dites « responsable de traitement) ne permettaient d’encadrer que des transferts effectués au sein d’un groupe agissant en qualité de responsable de traitement. Fort de ce succès et constatant que les outils d’encadrement des transferts existants ne sont pas suffisamment adaptés à des situations d’externalisation ou de cloud computing, le Groupe des CNIL européennes («G29») a officiellement lancé les BCR «sous-traitant» le 1er janvier 2013.

Les BCR « sous-traitant » permettent de créer une sphère de sécurité pour les transferts effectués au sein d’un groupe agissant en qualité de sous-traitant pour le compte et sur les instructions d’un responsable de traitement.

Une approbation des BCR via une procédure de coopération européenne efficace

Les CNIL européennes évaluent le contenu de chaque BCR pour s’assurer qu’il offre un niveau de protection adéquat aux données transférées en dehors de l’Union européenne. Cette évaluation est coordonnée par une autorité désignée « chef de file », unique point de contact de l’entreprise, et est facilitée par une procédure dite de « reconnaissance mutuelle », acceptée par 21 autorités européennes. 


Mettre en place des BCR

De nombreuses entreprises ont déjà adopté des BCR...
>Consulter la liste complète

La CNIL vous accompagne dans votre projet.
 >Contactez-nous

BCR «responsable de traitement»

Formulaire d’instruction des BCR « responsable de traitement »
(WP133)

Pour vous aider à rédiger vos BCR, consultez les documents suivants :

La grille d’analyse (WP153)
FR   -  EN 

Trame de BCR " responsable de traitements " (WP 154)
FR  -  EN

Questions/réponses (WP155)
FR  -  EN

BCR «sous-traitant»

Formulaire d’instruction des BCR « sous-traitant » 
(WP195a)

Pour vous aider à rédiger vos BCR « sous-traitant », consultez les documents suivants :

La grille d’analyse (WP195)
FR - EN

Le document explicatif (WP204)
EN

 


Formalités à accomplir auprès de la CNIL pour les transferts encadrés par des BCR

Les groupes d’entreprises dont les BCR ont été approuvées par la CNIL et ses homologues européens peuvent bénéficier de formalités simplifiées :

  1. Une fois que la procédure de coopération entre autorités européennes sur un projet de BCR est clôturée, la CNIL peut délivrer une autorisation unique au groupe concerné. Le contenu de l’autorisation unique est adapté à celui des BCR du groupe concerné.
  2. Les responsables de traitement du groupe soumis au respect des obligations de la loi Informatique et Libertés effectuent un engagement de conformité via la procédure de déclaration simplifiée lorsque leurs échanges de données encadrés par les BCR « responsable de traitement » sont conformes à l’autorisation unique délivrée au groupe. Dans le cas de transferts encadrés par des BCR « sous-traitant », l’engagement de conformité à l’autorisation unique applicable à ces transferts doit être effectué par le responsable de traitement. Il n’est donc pas nécessaire de déclarer en parallèle les transferts encadrés par les BCR via l’onglet transferts des formulaires de déclaration normale ou demande d’autorisation lorsque l’engagement de conformité à l’autorisation unique BCR a été effectué. Si l'organisme a désigné un CIL et que le traitement principal relève du régime de la déclaration normale, ce traitement pourra être inscrit au registre du CIL (il pourra être précisé dans le registre que le transfert a fait l’objet d’un engagement de conformité à l’autorisation unique BCR auprès de la CNIL) 
  3. Une fois leurs engagements de conformité effectués, les responsables de traitement doivent tenir à disposition des services de la CNIL une liste à jour de chaque transfert, détaillant les informations suivantes :

  • La finalité générale de chaque transfert couvert par les BCR,
  • La ou les catégories de personnes intéressées par les transferts encadrés par les BCR,
  • La ou les catégories de données personnelles transférées sur la base des BCR,
  • Les informations relatives à chaque destinataire des données :
    • raison sociale,
    • groupe auquel il appartient et ayant adopté des BCR responsable de traitement, des BCR sous-traitant et/ou des règles contraignantes d’entreprise francophones,
    • pays d’établissement,
    • catégories de destinataire des données (ex : maison-mère, filiale, prestataire), et
    • nature du traitement opéré par le destinataire.

 


Liste des AU BCR Délivrées par la CNIL


Les mots clés associés à cet article