Véritable ressource stratégique, les données personnelles attisent la convoitise des entreprises tout en soulevant des enjeux sensibles lorsqu'il s'agit du transfert de données hors de l'Union européenne.
L'élaboration de «binding corporate rules», appelées règles contraignantes d'entreprises en français, («BCR»), permet justement d'encadrer les transferts des données intra-groupe au sein de toutes les entreprises du groupe concerné.
Cependant, la compréhension et l'application des règles demeurent souvent un défi pour les entreprises. LaCNILa alors choisi de publier unoutil de suivipermettant aux entreprises d'accompagner les groupes dans l'élaboration de leurs BCR.
Comment l'outil de suivi de la CNIL facilite-t-il la conformité des règles contraignantes d'entreprises ?
Le régime développé par l'article 47 du RGPDa pour but d'encadrer la rédaction desBCR. Ces dernières devront alors être approuvées ou non par l'autorité de régulation.
Dans ce cadre, la réalisation d'un outil de suivi «officiel» par l'autorité de régulation française est quelque peu salvatrice pour les entreprises leur permettant depiloter la mise en conformité des BCRde manière plus efficiente.
Les BCR étant soumises à un contrôle rigoureux et interprétées à la lumière de la jurisprudence de laCJUEet des recommandations duConseil européen, la mise en place d'un outil de suivi apparaît essentielle pour prévenir toute erreur des entreprises, tant dans la rédaction que dans la mise en Suvre des BCR.
Cet outil va donc reposer sur trois étapes qui seront réalisées à l'aide de deux questionnaires.
Dans un premier temps, il conviendra de réaliser un choix des entités qui feront l'objet du suivi. Ce choix sera effectué soit par un délégué à laprotection des donnéesou une personne responsable du groupe et concernera des entités situées ou non au sein de l'Union Européenne.
Le premier questionnaire «Entité locale» devra ensuite être complété par les entités sélectionnées pour un déploiement cohérent des BCR et une gouvernance adéquate. Une fois la complétion du premier questionnaire effectuée, les entités sélectionnées devront le faire remonter à la personne chargée du pilotage.
Le second questionnaire «DPO Groupe» devra être complété à l'aide des réponses remontées par les entités locales. Il permettra d'avoir une vue d'ensemble sur la gouvernance des BCR. En fonction des résultats, le DPO peut:
- Ajuster la documentation de conformité ;
- Proposer des plans d'actions ;
- Demander des audits pour réaliser une mise en conformité.
Quelles implications pour les entreprises ?
Cet outil va donc permettre auDPOde piloter beaucoup plus facilement l'élaboration de BCR et de pouvoir réagir de manière plus optimale en cas denon-conformité des traitements.
A travers cette standardisation des process, le pilotage de la réalisation des BCR se trouve facilité. Le principal défaut des BCR était leur long temps d'élaboration et leur coût non-négligeable pour une entreprise. Cependant, grâce à cet outil fourni par la CNIL, les entreprises pourront bénéficier d'unaccompagnement supplémentairepour mener à bien la création de leurs BCR.
Bien que les outils publiés par la CNIL soient riches d'enseignements, l'élaboration de BCR, à l'instar des analyses d'impact par exemple, doit se faire avec un accompagnement juridique solide afin d'optimiser les ressources de l'entreprise.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
