«Binding corporate rules» : le transfert de données personnelles simplifié au sein du groupe
Alors que les transferts de données personnelles au sein de Union européenne (UE) s’opèrent sans difficulté depuis l’entrée en vigueur de la directive 95/46/CE, laquelle a harmonisé les législations des différents Etats membres en matière de protection des données personnelles, les transferts hors UE demeurent en principe interdits.
Toutefois, ces transferts sont autorisés dans certaines circonstances, lorsque les parties ont mis en oeuvre des garanties suffisantes permettant de s’assurer que les principes européens de protection des données seront respectés. Ainsi, l’expéditeur el le destinataire des données peuvent conclure des «clauses types» publiées par la Commission européenne et visant à garantir la protection des données dans l’Etat de réception. L’utilisation de ces clauses-types est cependant contraignante car les responsables de traitement souhaitant transférer des données à de multiples destinataires doivent conclure autant de clauses contractuelles types qu’ il y a de destinataires. Afin de s’ éviter de telles contraintes, au sein des groupes de sociétés, les différentes entités peuvent choisir de se doter de «règles contraignanles d’entreprises», généralement désignées binding corporate rules ( BCR).
Les BCR sont des codes de conduite, définissant la politique en matière de transferts de données, au sein d’ un groupe de sociétés impanté dans divers Etats. Elles permettent d’assurer un niveau de protection adéquat aux donnéestransférées hors de l’UE et constituent, clans un contexte intragroupe, une alternative aux clauses contractuelles types ou aux principes du safe harbor pour les transferts à destination des Etats-Unis. Les BCR sont soumises pour validation à une autorité de protection des données personnelles européenne (telle que la CNIL en France) qui engage une procédure de coopération avec les autres autorités européennes vue de l’adoption des BCR dans l’ensemble des Etats membres de l’UE.
A l’ issue de la procédure d’examen, l’autorité chef de file et ses homologues européens valident les BCR.
Une fois la procédure clôturée, l’entreprise à l’initiative du projet devra s’ assurer de la mise oeuvre, par toutes les entités du groupe, des engagements spécifiés dans les BCR, selon un calendrier communiqué à l’ autorité chef de file.
La procédure d’ adoption des BCR, est relativement longue et contraignante .En contrepartie des efforts déployés, les entreprises attendent un allégement des formalités liées aux transferts intragroupes décrits et validés dans le cadre des BCR.
Jusque-là en France, le système n’était cependant pas parfaitement opérationnel. En effet, malgré l’adoption des BCR, chaque transfert opéré par une entité française du groupe devait faire objet soit d’une déclaration normale soit d’ une demande d’autorisation auprès de la CNIL. La procédure demeurait donc chronophage, décourageant certaines entreprises de procéder à l’adoption des BCR.
Depuis mars 2015, lorsque des transferts hors Union européenne ont vocation à être réalisés sur le fondement des BCR, les responsables de traitement du groupe, soumis au respect des obligations de la loi Informatique et libertés, pourron se contenter de prendre un engagement de conformité des transferts envisagés à une autorisation unique publiée par la CNIL.
Une fois les BCR adoptés, la CNIL peul en effet délivrer une autorisation unique au groupe concerné. Le contenu de l’autorisation est adapté à celui des BCR du groupe.
Les responsables de traitement du groupe peuvent simplement effectuer un engagement de conformité via la procédure de déclaration simplifiée lorsque leurs échanges de données sont conformes à l’autorisation unique du groupe.
Il n’ est donc plus nécessaire de déclarer en parallèle les transferts encadrés par les BCR via la rubrique «transferts des formulaires de déclaration normale» ou «demande d’autorisation normale» lorsque l’engagement de conformité à l’autorisation unique BCR a été effectué.
Néanmoins, les responsables de traitement doivent tenir à disposition des services de la CNIL une liste à jour de chaque transfert, détaillant les informations suivantes :
- la finalité générale de chaque transfert couvert par les BCR ;
- la ou les catégories de personnes intéresséespar les transferts encadrés par les BCR ; la ou les catégories de données personnelles transférées sur la base des BCR
- les informations relatives à chaque destinataire des données : raison sociale, groupe auquel il appartient et ayant adopté des BCR responsable de traitement, des BCR sous-traitant et/ou des règles contraignantes d’entreprise francophones , pays d’établissement, catégories de destinataire des données (exemple: maison mère, filiale, prestataire), et nature du traitement opéré par le destinataire.
Cette liste est d’autant plus importante que la CNIL. prévoit de dédier une part significative de son activité de contrôle 2015 aux entreprises dotées de BCR.
Auteur
Anne-Laure Villedieu, avocat associée en de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.