La CNIL propose un questionnaire d’autoévaluation à destination des groupes souhaitant mettre en place des BCR. Il leur permet de vérifier le niveau de maturité du projet par rapport aux exigences issues des référentiels BCR adoptés par le CEPD.
Article 4 du RGPD (définition des BCR) Article 47 du RGPD (en particulier 47.1 a et 47.2.c) Référentiel BCR responsable de traitement Recommandations 1/2022 (en particulier exigences 1.1 et 1.2) Référentiel BCR sous-traitants WP257 (en particulier exigences 1.1 et 1.2)
Identifier et mettre en œuvre l'outil permettant de rendre les BCR contraignantes, le plus adapté à la structure du groupe d'entités liées (contrat intragroupe, engagement unilatéral ou encore un ou plusieurs moyens que vous serez en mesure de justifier).
Identifier et mettre en œuvre le ou les outils permettant de rendre les BCR contraignantes pour les salariés des entités liées par les BCR (accord ou engagement individuel, clause du contrat de travail, politiques internes, convention collective, ou encore un ou plusieurs moyens que vous serez en mesure de justifier).
Déployer des procédures internes pour diffuser les obligations issues des BCR auprès des salariés du groupe. Prévoir des sanctions en cas de non-respect des BCR. Mettre ces procédures à disposition des salariés des entités liées.
Déployer une procédure pour permettre aux personnes concernées d'introduire une réclamation en cas de violation des BCR par une ou plusieurs entités du groupe. Porter cette procédure à la connaissance des personnes concernées.
Prévoir d'identifier l'entité ou les entités situées en UE qui porteront la responsabilité en cas de violation des BCR.
Veiller à ce que ce risque soit identifié par l'entité ou les entités responsables et qu'elles soient toujours en capacité de verser une indemnité financière en cas de violation des BCR. Mettre à disposition de l'autorité de protection des éléments démontrant l'existence de ressources financières suffisantes pour verser une indemnité en cas de violation des BCR (comptes consolidés ou encore attestation d'assurance groupe couvrant la violation des BCR).
Imposer via les BCR que la charge de la preuve pèse sur l'entité ou les entités responsables situées en UE.
Imposer via les BCR que les informations destinées aux personnes concernées soient publiées dans une langue qui leur est compréhensible. Par exemple: informations sur les caractéristiques des transferts (champ d'application matériel et géographique des BCR), sur leurs droits et les moyens de les exercer.
Rendre les BCR facilement accessibles sur les sites Internet et Intranet de chacune des entités adhérentes.
Les informations saisies dans ce questionnaire ne sont pas collectées par la CNIL.
