Les BCR, ce sont les Binding Corporate Rules. Quand une entreprise traite de données à l’international ou travaille en B2B et traite/héberge/conserve les données à travers le monde, elle doit se poser la question des BCR, mais pourquoi et pourquoi faire ?

Quotidiennement les entreprises échangent leurs données à travers le monde que ce soit par email, sur les réseaux sociaux d’entreprise, l’intranet, les SharePoint, les bases de données partagées ou encore du fait de l’hébergement des données ou de leur maintenance à distance.

Les échanges de données sont incontournables au sein des entreprises et surtout ils sont au cœur de l’économie mondiale. Les États cherchent donc à protéger ces échanges tout en préservant les libertés individuelles.

Les BCR permettent alors d’augmenter la confiance des personnes à l’égard du responsable de traitement. Les BCR peuvent en effet constituer un argument de communication auprès des consommateurs, fournisseurs et clients, car elles témoignent du respect des principes de protection des données personnelles.

BCR : outil de transfert

Même si le principe reste l’interdiction d’envoyer les données en dehors de l’Union européenne vers un pays ne bénéficiant pas d’un niveau suffisant de protection de ces données, les exceptions permettant ces transferts sont nombreuses. Les échanges de données étant tout à fait nécessaires au processus de travail entre les entreprises que ce soit intra-groupe ou inter-entreprises, ils sont bien entendus permis par la loi sous réserve de respecter notamment la loi Informatique et Libertés et la règlementation européenne.

Dans ce contexte, l’Union européenne a mis en place des moyens juridiques pour assurer le respect des données y compris en cas d’échanges internationaux, et ce quelle que soit la règlementation du pays destinataire des données. Parmi ces moyens juridiques on compte les clauses contractuelles types ou encore les BCR ou Binding Corporate Rules.

Les BCR prévoient ce qui est autorisé et ce qui est interdit dans l’entreprise, harmonisant les différentes règlementations et simplifiant les processus.

En pratique, l’entreprise qui adopte des BCR s’engage à mettre en place certaines procédures et mesures concrètes en vue de respecter les principes juridiques énoncés dans la règlementation européenne (GDPR).

Les BCR constituent un véritable programme de conformité, car elles comportent notamment les éléments suivants :

• Un engagement pris par le conseil d’administration de l’entreprise en vue d’assurer le respect des règles d’entreprise,
• Une politique de protection des données définissant les règles,
• Une procédure de formation du personnel,
• Une procédure d’audit,
• Une procédure interne de gestion des plaintes,
• Un réseau de responsables à la protection des données ou d’employés qualifiés.

BCR : outil de compliance

Les BCR prennent une importance stratégique pour qu’une entreprise soit conforme sur ses traitements de données et pour inspirer la confiance du marché, et ainsi gagner des parts de marché.
A titre d’exemple, quand les concurrents ont déjà les BCR, cela est vu comme une « certification » par les clients et ainsi, les entreprises du même secteur, se doivent d’avoir des BCR.
D’ici à 2018, du fait de l’adoption du Règlement européen (GDPR), les entreprises auront l’obligation de mettre en place des mesures proactives qui démontrent le respect et l’application des principes de protection des données énoncés dans la directive.
Les entreprises qui auront anticipé les risques en adoptant des BCR auront une meilleure visibilité de leurs pratiques et seront donc mieux armées pour démontrer le respect des principes de protection des données personnelles auprès des autorités nationales de protection (principe d’« accountability »)

Pour aller plus loin : les entreprises qui ne souhaitent pas avoir des BCR dans l’immédiat, peuvent d’ores et déjà opter pour l’obtention d’un label gouvernance de la CNIL.

Yaël Cohen-Hadria Avocate www.ych-avocats.fr [->yael.cohenhadria@cabinet-davocats.com]