Par Haas Avocats
Véritable ressource stratégique, les données personnelles attisent la convoitise des entreprises tout en soulevant des enjeux sensibles lorsqu’il s’agit du transfert de données hors de l’Union européenne.L’élaboration de « binding corporate rules », appelées règles contraignantes d’entreprises en français, (« BCR »), permet justement d’encadrer les transferts des données intra-groupe au sein de toutes les entreprises du groupe concerné.
Cependant, la compréhension et l’application des règles demeurent souvent un défi pour les entreprises. La CNIL a alors choisi de publier un outil de suivi permettant aux entreprises d’accompagner les groupes dans l’élaboration de leurs BCR.
Comment l'outil de suivi de la CNIL facilite-t-il la conformité des règles contraignantes d'entreprises ?
Le régime développé par l’article 47 du RGPD a pour but d’encadrer la rédaction des BCR. Ces dernières devront alors être approuvées ou non par l’autorité de régulation.
Dans ce cadre, la réalisation d’un outil de suivi « officiel » par l’autorité de régulation française est quelque peu salvatrice pour les entreprises leur permettant de piloter la mise en conformité des BCR de manière plus efficiente.
Les BCR étant soumises à un contrôle rigoureux et interprétées à la lumière de la jurisprudence de la CJUE et des recommandations du Conseil européen, la mise en place d'un outil de suivi apparaît essentielle pour prévenir toute erreur des entreprises, tant dans la rédaction que dans la mise en œuvre des BCR.
Cet outil va donc reposer sur trois étapes qui seront réalisées à l’aide de deux questionnaires.
Dans un premier temps, il conviendra de réaliser un choix des entités qui feront l’objet du suivi. Ce choix sera effectué soit par un délégué à la protection des données ou une personne responsable du groupe et concernera des entités situées ou non au sein de l’Union Européenne.
Le premier questionnaire « Entité locale » devra ensuite être complété par les entités sélectionnées pour un déploiement cohérent des BCR et une gouvernance adéquate. Une fois la complétion du premier questionnaire effectuée, les entités sélectionnées devront le faire remonter à la personne chargée du pilotage.
Le second questionnaire « DPO Groupe » devra être complété à l’aide des réponses remontées par les entités locales. Il permettra d’avoir une vue d’ensemble sur la gouvernance des BCR. En fonction des résultats, le DPO peut :
• Ajuster la documentation de conformité ;• Proposer des plans d’actions ;
• Demander des audits pour réaliser une mise en conformité.
Quelles implications pour les entreprises ?
Cet outil va donc permettre au DPO de piloter beaucoup plus facilement l’élaboration de BCR et de pouvoir réagir de manière plus optimale en cas de non-conformité des traitements.
A travers cette standardisation des process, le pilotage de la réalisation des BCR se trouve facilité. Le principal défaut des BCR était leur long temps d’élaboration et leur coût non-négligeable pour une entreprise. Cependant, grâce à cet outil fourni par la CNIL, les entreprises pourront bénéficier d'un accompagnement supplémentaire pour mener à bien la création de leurs BCR.
Bien que les outils publiés par la CNIL soient riches d’enseignements, l’élaboration de BCR, à l’instar des analyses d’impact par exemple, doit se faire avec un accompagnement juridique solide afin d’optimiser les ressources de l’entreprise.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
