Les règles d’entreprise contraignantes désignent une politique de protection des données intra-groupe en matière de transferts de données personnelles hors de l’Union européenne. Elles peuvent couvrir tous les traitements effectués par l’organisme ou plus particulièrement les données transférées en dehors de l’Union européenne. Elles concernent principalement des entreprises privées de type multinationales, implantées dans plusieurs pays d’Europe et hors Union européenne.

Depuis 2003, les règles d’entreprise contraignantes, également appelées Binding Corporate Rules (BCR) en anglais, permettent à de nombreux groupes de déployer des procédures internes ayant pour objectif de garantir une continuité dans la sphère de protection des données lorsqu’elles effectuent des transferts hors de l’Union européenne.

Les BCR sont avant tout un outil à destination des grands groupes ayant atteint des dimensions telles que cela entraîne de nombreuses conséquences sur les transferts internationaux mis en œuvre. Les BCR représentent une « garantie appropriée » au sens du RGPD pour assurer la base juridique des transferts (article 46.2(b)). Elles sont également conçues par les groupes comme un outil de management de la donnée, c’est-à-dire une preuve de la mise en conformité dans une optique de formalisation de leurs politiques en matière de protection des données.

Les actions à mettre en œuvre au sein d’un groupe

Les référentiels applicables aux BCR prévoient un contenu minimal imposé. Outre l’engagement de respecter les dispositions du RGPD, chaque demandeur est tenu d’expliciter dans ses BCR comment le groupe prévoit de mettre en œuvre :

• Un régime de responsabilité pesant sur le siège européen ou sur la filiale européenne responsable par délégation de la protection des données (ou autre régime de responsabilité, sur justification) ;
• Une procédure de formation du personnel quant aux règles posées par les BCR ;
• Une procédure d’audit pour veiller au contrôle du respect des BCR ;
• Une procédure interne de gestion des plaintes ;
• Un réseau de délégués à la protection des données ou de collaborateurs qualifiés pour la gestion des plaintes, la surveillance et le contrôle du respect des règles internes ;
• Une procédure permettant de déterminer l’opportunité de conduire une analyse d’impact sur la vie privée (AIPD) ;
• Des mesures techniques et organisationnelles appropriées permettant de respecter les principes de la protection des données.

Les personnes concernées doivent pouvoir exercer leurs droits (d’accès, de rectification, d’effacement, d’information) et adresser des réclamations lorsqu’elles constatent, par exemple, un manquement aux principes de limitation des finalités et de la durée de conservation, ou encore un problème de sécurité ou de la confidentialité des données.

Il est à noter que la CNIL propose un questionnaire d’auto-évaluation permettant aux groupes souhaitant mettre en place des BCR de vérifier le niveau de maturité du projet par rapport aux exigences des référentiels BCR adoptés par le Comité européen de la protection des données (CEPD). Ce questionnaire peut être complété par le délégué à la protection des données (DPO) du groupe ou toute autre personne en charge du projet de BCR, ou encore par le conseil du groupe.

À l’issue du questionnaire, un score de conformité ainsi qu’un plan d’action sont proposés. En fonction de ce niveau, le projet peut être retravaillé sur la base de l’analyse d’écarts et du plan d’action générés en résultat. À l’inverse, il peut être soumis à la CNIL s’il s’avère mature. En effet, la mise en œuvre de BCR implique au préalable de passer par une procédure d’approbation qui comprend plusieurs étapes, d’une part, au niveau national en lien avec l’autorité compétente, d’autre part, au niveau européen, au sein du CEPD. Ce n’est qu’à l’issue de ce processus que le projet est adopté par l’autorité compétente, ainsi que l’avis du CEPD publié.

Une reconnaissance internationale

Les BCR bénéficient désormais d’une reconnaissance internationale et traduisent l’exemplarité des groupes ayant décidé de les mettre en œuvre. Ces groupes en tirent d’ailleurs parti pour adhérer à d’autres systèmes équivalents à l’étranger tels que l’outil de transfert Cross Border Privacy Rules (CBPR) mis en place par le forum de coopération économique de la zone Asie-Pacifique (APEC) ou encore les règles contraignantes d’entreprises francophones. C’est le cas notamment de l’outil développé par l’Association francophone des autorités de protection des données personnelles (AFAPDP) pour encadrer les transferts hors de pays francophones.

Entre l’année 2007 et le 25 mai 2018, 151 BCR ont été approuvées par l’ensemble des autorités de protection européennes. Depuis l’adoption du RGPD, la demande d’approbation de BCR connait une croissance extrêmement soutenue, tant en France qu’à l’étranger.

Dans un encadré :

Le 10 juillet 2023, la Commission européenne a adopté une nouvelle décision d’adéquation reconnaissant que les États-Unis assurent un niveau de protection substantiellement équivalent à celui de l’Union européenne (UE). Cette décision, entrée en application le même jour, établit un cadre similaire au précédent système de protection des données UE-États-Unis (Privacy Shield), basé sur un mécanisme d’autocertification des entités américaines.

Ce mécanisme concerne tous les organismes nouvellement certifiés, mais également ceux qui faisaient l’objet d’une certification Privacy Shield et qui l’avaient maintenue après l’invalidation de la décision d’adéquation. En effet, ces organismes ont été automatiquement inscrits sur la nouvelle liste du Département américain du commerce. Ils disposaient de trois mois pour mettre à jour leur politique de confidentialité (jusqu’au 10 octobre 2023). C’est la présence ou l’absence de l’entité importatrice sur cette liste qui détermine si l’exportateur est tenu ou non de mettre en place l’un des outils d’encadrement prévus à l’article 46 du RGPD, parmi lesquels figurent les BCR.