Transférer des données personnelles en dehors de l’Union européenne, cela ne se fait pas n’importe comment. Même au sein d’un seul et même groupe. Talan, groupe international spécialisé dans le conseil et l’expertise technologie, a ainsi annoncé aujourd’hui valoir obtenu l’approbation de la CNIL sur ses règles d’entreprise contraignantes (BCR, ou Binding corporate rules en anglais).
De quoi lui assurer le beau rôle en matière de sous traitant en matière de données personnelles. L’entreprise rejoint ainsi un groupe de 15 entreprises françaises ayant obtenu l’approbation de la CNIL pour ses BCR.
Les règles d’entreprise contraignante, qu’est-ce que c’est ?
Les règles d’entreprise contraignantes sont un mécanisme juridique qui permet d’encadrer les transferts de données personnelles en dehors de l’Union européenne au sein d’un même groupe.
Des groupes internationaux dont les différentes entités, installées dans plusieurs pays, peuvent être soumises à des réglementations différentes en matière de données personnelles.
Ce mécanisme est dont différent des clauses contractuelles type. Cet un autre mécanisme permet à une entreprise d’encadrer le transfert des données avec un acteur basé en dehors de l’Union européenne.
Encadrer les transferts
L’objectif des règles d’entreprise contraignantes, mises en place donc au sein des entreprises, est d’assurer le respect des obligations imposées par l’Union européennes en matière de protection des données personnelles. Et ce même lorsque celles-ci sont traitées par une entité du groupe installée en dehors de l’Union européenne.
Dans le détail, le niveau de protection garantit doit être du même niveau que celui assuré par les textes européens comme le RGPD.
Les BCR se distinguent en deux versions. L’un définit le rôle d’un responsable de traitement des données personnelles. L’autre définit les engagements d’un sous traitant.
La CNIL propose aux entreprises de faire valider ces règles d’entreprises au travers d’une démarche spécifique. De quoi leur permettre de s’assurer de la conformité de leurs règles contraignantes avec les autorités de protection des données.
La CNIL reste l’interlocuteur principal de l’entreprise. La Commission analyse les règles mises en place tout en suggérant certaines évolutions . Mais le projet est soumis aux autres autorités européennes en matière de protection des données, qui peuvent également suggérer des améliorations.
La question de la décision d’adéquation
Les clauses contractuelles types et les règles contraignantes avaient récemment été mises en lumière suite à la remise en cause de la décision d’adéquation encadrant les échanges de données personnelles entre l’UE et les États Unis.
L’annonce d’une nouvelle décision d’adéquation en juillet 2023 a modifié les règles applicables en la matière, rendant obsolètes le recours aux outils d’encadrement dans certains cas mais pas de manière systématique.
Ces mécanismes juridiques restent néanmoins nécessaire dès lors qu’une entreprise souhaite transférer des données personnelles vers un pays ne disposant pas d’une décision d’adéquation.