Les Binding Corporate Rules (BCR) permettent d’exporter des données personnelles depuis des entités situées au sein de l’Union européenne vers des pays tiers n’assurant pas un niveau de protection équivalent à celui de l’Union européenne.

Jusqu’à présent les BCR n’existaient que pour les transferts au sein du groupe d’origine, à savoir au sein du groupe auquel appartient le « responsable de traitement ».

Le nouveau document que vient de publier le G29 ouvre la voie à la création de BCR couvrant les transferts internationaux de données d’un client au sein du groupe du prestataire chargé de traiter ces données (à savoir, le transfert, au sein d’un groupe, de données « appartenant » à une société extérieure à ce groupe).

Ces BCR pourront par exemple s’appliquer au groupe d’un prestataire auquel une société aura sous-traité la paye de ses salariés, et qui fait effectuer les services de paye par une filiale hors UE (située, par exemple, au Maroc).

Les BCR constituent un code de conduite, définissant la politique d’une entreprise en matière de transferts de données. Elles harmonisent les pratiques au sein d’un groupe et permettent d’éviter de conclure autant de contrats qu’il existe de transferts au sein du groupe.

Le document de référence adopté par le G19 à savoir le  « WP 195  » inclut la « check list » des exigences des autorités de protection des données personnelles pour que les BCR soient adoptés. (Le document équivalent pour les BCR classiques est le WP 153).

Nous vous rappelons que les BCR doivent être approuvées par les autorités de protection des données personnelles de l’UE, et qu’il existe une procédure de reconnaissance mutuelle à laquelle 19 de ces autorités ont adhéré.

Espérons que ceci est le reflet d’un véritable élan en faveur des BCR par les autorités les plus réticentes. Si la mise en œuvre de ces BCR représente un effort non négligeable pour les groupes, elle devrait présenter un avantage certain pour les prestataires, qui actuellement se trouvent confrontés aux exigences de « compliance » de leurs clients en Europe.

_______________________________________________
Le Communiqué de presse du G29 : http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/20120619_pr_bcrwp_en.pdf

Stéphanie Faber est Membre de voxFemina – Paroles d’Experts au Féminin