Règles d’entreprise contraignantes (BCR) : la CNIL publie un outil de suivi
Afin d’accompagner les groupes détenteurs de BCR à vérifier leur mise en œuvre, la CNIL met à leur disposition un outil et décrit les étapes pour son déploiement.
Que sont les règles d’entreprise contraignantes et quels sont les groupes qui doivent les mettre en œuvre ?
Les règles d’entreprise contraignantes (binding corporate rules ou BCR en anglais) désignent une politique de protection des données intra-groupe. Elles permettent aux entités liées de transférer des données personnelles hors de l'Union européenne. Il s’agit de l’un des outils de conformité prévus par le règlement général sur la protection des données (RGPD).
L’approbation des règles d’entreprise contraignantes s’inscrit dans le cadre d’une démarche d’accompagnement mise en œuvre par la CNIL.
Les groupes détenteurs ont la charge de mettre en place de manière effective les obligations issues des BCR. Les entreprises concernées sont des entreprises privées multinationales, implantées dans plusieurs pays de l’Union européenne et en dehors de celle-ci (voir la liste des groupes détenteurs de BCR approuvées par la CNIL).
Un nouvel outil de suivi pour vérifier la conformité aux BCR
Afin de permettre aux groupes détenteurs de BCR de vérifier leur niveau de conformité par rapport aux exigences de ces règles, la CNIL publie un outil de suivi en français et en anglais.
Celui-ci est à déployer en 3 étapes, aux moyens de 2 questionnaires qui peuvent être adaptés en fonction des besoins :
- Le délégué à la protection des données ou la personne en charge du groupe choisit les entités qui feront l’objet de ce suivi. Elles peuvent être situées, ou non, en UE.
- Ces organismes complètent le premier questionnaire « Entité locale » et l’adresse à la personne en charge au niveau du groupe. Cette remontée d’informations permet de s’assurer d’un déploiement concret et harmonisé des BCR et d’une gouvernance adaptée.
- Le second questionnaire « DPO groupe » est complété directement par le délégué à la protection des données du groupe, sur la base des remontées d’informations qui lui parviennent via le premier questionnaire. Il doit permettre au DPO groupe d’avoir une vue synthétique du déploiement de la gouvernance.
Sur la base des résultats obtenus, le DPO ou la personne en charge au niveau du groupe peut compléter la documentation de la conformité du groupe, proposer un plan d’actions ou encore solliciter la mise en place d’audits.