Règles d’entreprise contraignantes (BCR) : la CNIL publie un outil d’auto-évaluation

29 avril 2024

Afin d’accompagner les groupes souhaitant mettre en place des BCR, la CNIL met à leur disposition un outil leur permettant de tester par eux-mêmes le niveau de maturité de leur projet.

Que sont les règles d’entreprise contraignantes ?

Les règles d’entreprise contraignantes (ou binding corporate rules (BCR) en anglais) désignent une politique de protection des données intra-groupe. Elles permettent aux entités liées de transférer des données personnelles hors de l'Union européenne. Il s’agit de l’un des outils de conformité prévus par le règlement général sur la protection des données (RGPD).

Les entreprises concernées sont des entreprises privées de types multinationales, implantées dans plusieurs pays de l’Union européenne et hors Union européenne.

Afin d’accompagner ces organismes, la CNIL propose un ensemble de ressources couvrant toutes les étapes du projet, de sa préparation à la procédure d’approbation.

Un nouvel outil d’auto-évaluation

Le questionnaire d’auto-évaluation permet aux groupes souhaitant mettre en place des BCR de vérifier le niveau de maturité du projet par rapport aux exigences des référentiels BCR adoptés par le Comité européen de la protection des données (CEPD).

Il peut être complété par le délégué à la protection des données du groupe ou toute autre personne en charge du projet de BCR, ou encore par le conseil du groupe.

À l’issue du questionnaire, un score de conformité ainsi qu’un plan d’actions sont proposés.

Il est ainsi recommandé de tester le niveau du projet avant sa soumission à la CNIL.

En fonction de ce niveau, le projet pourra être retravaillé sur la base de l’analyse d’écarts et du plan d’action générés en résultat. À l’inverse, il pourra être soumis à la CNIL s’il s’avère mature.

En effet, la mise en œuvre de BCR implique au préalable de passer par une procédure d’approbation qui comprend plusieurs étapes, d’une part, au niveau national en lien avec l’autorité compétente, d’autre part, au niveau européen, au sein du CEPD. Ce n’est qu’à l’issue de ce processus que le projet sera adopté par l’autorité compétente, ainsi que l’avis du CEPD publié.

 

Accéder à l’outil d’évaluation