Les règles internes ou BCR seront-elles bientôt obligatoires pour les entreprises ?
14 septembre 2011.
Les traitements de données à caractère personnel mis en œuvre par un responsable de traitement établi en France sont soumis à la loi Informatique et libertés. Cette loi régit tout particulièrement le cas où ces données sont transférées à un tiers établi en dehors de l’Union Européenne. Ce transfert est également appelé « flux transfrontières de données à caractère personnel ». Par principe ces flux transfrontières sont interdits.
Cette interdiction de principe est tempérée par des exceptions. Ces exceptions sont aux articles 68 et 69 de la loi Informatique et libertés. A titre d’exemple, les flux transfrontières pourront être opérés lorsqu’ils sont :
– à destination de pays bénéficiant d’un niveau de protection adéquate au regard du niveau de protection adopté dans les pays de l’Union Européenne ;
– régis par des clauses contractuelles spécifiques entre l’exportateur et l’importateur de données à caractère personnel ;
– à destination d’une entreprise ayant adhéré au Safe Harbor.
Ces exceptions permettent de transférer des données à caractère personnel vers des entreprises tiers au responsable de traitement, aussi appelé l’exportateur des données, ou encore vers des sociétés appartenant au même groupe que l’exportateur des données.
Les flux de données intragroupe sont très nombreux et se multiplient de façon exponentielle à l’heure numérique. Il n’est donc pas pratique de passer par des clauses contractuelles à chaque type de transfert de données. Une solution a donc été mise en place pour aider les groupes internationaux à échanger aisément leurs données à travers le monde sans trop de contraintes. Cet outil s’appelle les « Règles internes » ou « Binding Corporate Rules » (BCR).
Cet outil pourrait bientôt s’imposer aux groupes internationaux. En effet, la Commission européenne souhaite une révision de la directive européenne 95/46/CE pour lui ajouter cet outil « BCR ». Or, la directive est le moyen grâce auquel les États membres appliquent de façon homogène le même niveau de protection des données à caractère personnel. L’insertion des BCR sera donc transposée dans la loi française.
Qui est concerné par cet ajout ? Les multinationales exportant des données depuis leurs filiales situées au sein de l’Union européenne vers des pays tiers n’assurant pas un niveau de protection équivalent à celui de l’Union européenne. A titre d’exemple toute entreprise établie en France et qui envoie des données à sa maison mère aux Etats-Unis ou à une filiale à l’Ile Maurice ou en Chine.
En conséquence, il est vivement recommandé aux entreprises d’adhérer dès maintenant aux BCR et de préparer leur mise en place afin d’encadrer les échanges de données à caractère personnel intragroupe.
Nous contacter