Questionnaire BCR

  • Actuel CARACTÈRE CONTRAIGNANT
  • EFFICACITÉ
  • DEVOIR DE COOPÉRATION
  • DESCRIPTION DU TRAITEMENT
  • ANALYSE DE LA LEGISLATION
  • MODALITÉS DE COMMUNICATION
  • GARANTIES
  • Récapitulatif
  • Résultats

Projet de BCR : Tester le niveau de maturité de votre groupe

La CNIL propose un questionnaire d’autoévaluation à destination des groupes souhaitant mettre en place des BCR. Il leur permet de vérifier le niveau de maturité du projet par rapport aux exigences issues des référentiels BCR adoptés par le CEPD.

Caractère contraignant

Q1 - Une obligation de respecter les BCR sera-t-elle imposée aux entités liées ?

Article 4 du RGPD (définition des BCR)
Article 47 du RGPD (en particulier 47.1 a et 47.2.c)
Référentiel BCR responsable de traitement Recommandations 1/2022 (en particulier exigences 1.1 et 1.2)
Référentiel BCR sous-traitants WP257 (en particulier exigences 1.1 et 1.2)

oui

> Actions préconisées 

Identifier et mettre en œuvre l'outil permettant de rendre les BCR contraignantes, le plus adapté à la structure du groupe d'entités liées (contrat intragroupe, engagement unilatéral ou encore un ou plusieurs moyens que vous serez en mesure de justifier).


Q2 - Le groupe est-il en capacité de faire respecter les BCR par chaque entité liée et par ses salariés ?
Article 47 du RGPD (en particulier 47.1 a et 47.2.c)
Référentiel BCR responsable de traitement Recommandations 1/2022 (en particulier exigences 1.1 et 1.2)
Référentiel BCR sous-traitants WP257 (en particulier exigences 1.1 et 1.2)
oui

> Actions préconisées  

Identifier et mettre en œuvre le ou les outils permettant de rendre les BCR contraignantes pour les salariés des entités liées par les BCR (accord ou engagement individuel, clause du contrat de travail, politiques internes, convention collective, ou encore un ou plusieurs moyens que vous serez en mesure de justifier).


Q3 - Des procédures internes doivent être mises en place pour permettre de garantir la bonne application des BCR par les salariés des entités concernées. Un mécanisme de sanction des salariés est-il prévu en cas de non-respect de ces procédures ?
Référentiel BCR responsable de traitement Recommandations 1/2022 (en particulier exigences 1.1 et 1.2)
Référentiel BCR sous-traitants WP257 (en particulier exigences 1.1 et 1.2)

> Actions préconisées 

Déployer des procédures internes pour diffuser les obligations issues des BCR auprès des salariés du groupe.
Prévoir des sanctions en cas de non-respect des BCR.
Mettre ces procédures à disposition des salariés des entités liées.


Q4 - Une procédure pour exercer les droits des tiers bénéficiaires (personnes dont les données sont transférées) sera-t-elle prévue et mise à la disposition de ces personnes ?
Article 47 du RGPD (en particulier 47.1.b et 47.2.c)
Référentiel BCR responsable de traitement Recommandations 1/2022 (en particulier exigences 1.3.1 et 1.3.2)
Référentiel BCR sous-traitants WP257 (en particulier exigence 1.3)

> Actions préconisées 

  • Déployer une procédure pour permettre aux personnes concernées d'exercer leurs droits de tiers bénéficiaires.
  • Mettre cette procédure à disposition des tiers bénéficiaires.

Q5 - Les BCR prévoient-elles une procédure interne permettant aux personnes concernées d'introduire une réclamation en cas de violation des BCR par une ou plusieurs entités du groupe ?
Point d'attention : les BCR doivent également conférer le droit d'introduire une réclamation auprès de l'autorité de contrôle ou auprès d'une juridction compétente.
Article 47 du RGPD (en particulier 47.2.i et 47.2.d)
Référentiel BCR responsable de traitement Recommandations 1/2022 (en particulier exigence 1.3.2)
Référentiel BCR sous-traitants WP257 (en particulier exigence 2.2)

> Actions préconisées 

Déployer une procédure pour permettre aux personnes concernées d'introduire une réclamation en cas de violation des BCR par une ou plusieurs entités du groupe.
Porter cette procédure à la connaissance des personnes concernées.


Q6 - En cas de violation des BCR par une entité située hors EEE, le groupe a-t-il identifié l'entité ou les entités situées en EEE qui porteront la responsabilité ?

Article 47 du RGPD (en particulier 47.2.f)
Référentiel BCR responsable de traitement Recommandations 1/2022 (en particulier exigence 1.4)
Référentiel BCR sous-traitants WP257 (en particulier exigence 1.5)

oui

> Actions préconisées 

Prévoir d'identifier l'entité ou les entités situées en EEE qui porteront la responsabilité en cas de violation des BCR.


Q7 - L'entité ou les entités responsables sont-elles en mesure de démontrer qu'elles disposeront des ressources financières suffisantes pour verser une indemnité en cas de violation des BCR, par exemple en communiquant des comptes consolidés ou une attestation d'assurance couvrant ce risque ?

> Actions préconisées 

Veiller à ce que ce risque soit identifié par l'entité ou les entités responsables et qu'elles soient toujours en capacité de verser une indemnité financière en cas de violation des BCR.
Mettre à disposition de l'autorité de protection des éléments démontrant l'existence de ressources financières suffisantes pour verser une indemnité en cas de violation des BCR (comptes consolidés ou encore attestation d'assurance groupe couvrant la violation des BCR).


Q8 - Les BCR prévoient-elles que la charge de la preuve pèse sur l'entité ou les entités responsables situées en EEE ?

Article 47 du RGPD (en particulier 47.2.f)
Référentiel BCR responsable de traitement Recommandations 1/2022 (en particulier exigence 1.6)
Référentiel BCR sous-traitants WP257 (en particulier exigence 1.7)

> Actions préconisées 

Imposer via les BCR que la charge de la preuve pèse sur l'entité ou les entités responsables situées en EEE.


Q9 - Les BCR imposent-elles aux entités liées de fournir une information compréhensible aux personnes concernées (information sur les caractéristiques des transferts, sur leurs droits et les moyens de les exercer) ?
Article 47 du RGPD (en particulier 47.2.g)
Référentiel BCR responsable de traitement Recommandations 1/2022 (en particulier exigence 1.7)
Référentiel BCR sous-traitants WP257 (en particulier exigence 1.8)

> Actions préconisées 

Imposer via les BCR que les informations destinées aux personnes concernées soient publiées dans une langue qui leur est compréhensible. Par exemple: informations sur les caractéristiques des transferts (champ d'application matériel et géographique des BCR), sur leurs droits et les moyens de les exercer.


Q10 - Le groupe va-t-il mettre les BCR à disposition sur les sites internet et intranet de chacune des entités adhérentes ?
oui

> Actions préconisées 

Rendre les BCR facilement accessibles sur les sites Internet et Intranet de chacune des entités adhérentes.


Les informations saisies dans ce questionnaire ne font pas l'objet d'une conservation par la CNIL.

Après l'avoir complété, vous aurez la possibilité de télécharger vos réponses.