Lexique > Règles d’entreprise contraignantes (BCR)

Lexique IT

Règles d’entreprise contraignantes (BCR)

Des règles d’entreprise contraignantes, ou Binding Corporate Rules, sont des règles internes relatives à la protection des données caractère personnel que peuvent appliquer les organismes de droit privé, responsable du traitement ou sous-traitant, établis sur le territoire d’un Etat membre de l’Union européenne, pour des transferts ou pour un ensemble de transferts de données à caractère personnel à d’autres organismes de droit privé, responsable du traitement ou sous-traitant, établis dans un ou plusieurs pays tiers à l’Union européenne au sein d’un même groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe.

Sont ainsi essentiellement concernés par la possibilité de recourir à des règles d’entreprise contraignantes, les organismes privés multinationaux, implantés dans plusieurs pays de l’Union européenne et hors de l’Union européenne.

Elles peuvent offrir des garanties appropriées en matière de protection des données à caractère personnel pour les transferts internationaux de données:

  • lorsque la législation ou les pratiques du pays de l’importateur des données ne compromettent pas le niveau de protection adéquat que les règles d’entreprise garantissent, et/ou;
  • à défaut de décision rendue par la Commission européenne constatant que ce pays tiers assure un niveau de protection adéquat (décision d’adéquation).

Elles constituent par ailleurs une alternative aux clauses contractuelles types de la Commission européenne.

Afin de constituer des garanties appropriées permettant le transfert des données, les règles d’entreprise contraignantes doivent être évaluées et validées par l’autorité de contrôle compétente.

Afin d’être validées par l’autorité de contrôle, les règles d’entreprise contraignantes doivent préciser entre autres :

  • La structure et les coordonnées du groupe d’entreprises ;
  • Les transferts de données, y compris les catégories de données à caractère personnel ;
  • Le type de traitement et ses finalités ;
  • Le type de personnes concernées ;
  • Le nom du ou des pays tiers ;
  • Leur nature juridiquement contraignante ;
  • L’application des principes généraux relatifs à la protection des données ;
  • Les droits des personnes concernées ;
  • Les missions de tout délégué à la protection des données ;
  • Les procédures de réclamation ;
  • Les mécanismes mis en place pour garantir que le contrôle du respect des règles.

En tout état de cause, même sans approbation de l’autorité de contrôle, les règles d’entreprises contraignantes constituent un outil de conformité participant de l’accountability d’un groupe d’entreprise et participent à l’exemplarité des groupes ayant décidé de les mettre en œuvre.

Point RGPD

 « Un groupe d’entreprises ou un groupe d’entreprises engagées dans une activité économique conjointe devrait pouvoir recourir à des règles d’entreprise contraignantes approuvées pour ses transferts internationaux de l’Union vers des entités du même groupe d’entreprises, ou du même groupe d’entreprises engagées dans une activité économique conjointe, à condition que ces règles d’entreprise incluent tous les principes essentiels et les droits opposables pour assurer des garanties appropriées pour les transferts ou catégories de transferts de données à caractère personnel. »

Considérant 110 du RGPD

Point jurisprudence

L’autorité de contrôle suédoise rappelle que « l’objectif de l’arrêt de la CJUE Schrems II peut également affecter les transferts de données à caractère personnel qui ont lieu à l’aide de règles d’entreprise contraignantes, car la législation d’un pays tiers peut affecter la protection offre par ces règles d’entreprise contraignantes. La Cour de Justice de l’Union européenne a statué qu’il revient au responsable du traitement d’évaluer si le niveau de protection requis par la législation européenne est respecté dans le pays tiers concerné ». 

Datainspektionen, 10 décembre 2020, N° DI-2019-9432

Le Cabinet Bouchara vous accompagne notamment dans :

  • La mise en conformité de votre organisme au RGPD ;
  • La rédaction de politiques de protection des données (politique de confidentialité, charte informatique…) ;
  • La documentation de vos traitements (registre des activités de traitement, registre des violations, analyse d’impact relative à la vie privée, consultation préalable…) ;
  • L’obtention de certifications et l’adhésion à des codes de conduite ;
  • L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
  • La rédaction et transmission de vos codes de conduites à la CNIL pour approbation ;
  • L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Economique Européen ;
  • La rédaction et la négociation de vos accords de traitements de données (DPA) ;
  • La rédaction de vos règles d’entreprises contraignantes (BCR) et codes de conduites ;
  • La formation et la sensibilisation de vos collaborateurs.

Nous sommes également Délégué à la Protection des Données externe de nombreux responsables de traitements et sous-traitants.