Règles d'entreprise contraignantes

Un article de Wikipédia, l'encyclopédie libre.
Sauter à la navigation Sauter à la recherche
Page d'aide sur l'homonymie Pour les articles homonymes, voir BCR.

Les règles d'entreprise contraignantes[1] (ou BCR pour Binding corporate rules) sont un instrument juridique européen auquel une société multinationale ou un groupe d'entreprises peut recourir afin de garantir un niveau adéquat de protection des données à caractère personnel lors du transfert de ces données, au sein du groupe, au départ d'un pays situé dans l'Union européenne (UE) ou dans l'Espace économique européen (EEE) vers un pays tiers.

Ces règles ont été développées à l'origine comme un outil supplémentaire permettant le transfert de données personnelles vers des pays non adéquats tels que définis par la Commission Européenne sur la base de la Directive 95/46/CE sur la protection des données données personnelles[2] avec notamment le groupe de travail européen "Article 29", G29, sur la protection des données.

Ces outils appartiennent à cinq catégories distinctes correspondants à des besoins différents: Les Règles contractuelles types, le Privacy Shield pour les transferts US & Suisse vers les USA, Les régles d'entreprise Contraigantes (BCR), le consentement express des individus concernés qui est en pratique très peu tuilisé et les Contrats "ad hoc" qui requièrent la validation des Autorités.

Le recours à ces règles nécessite l'approbation d'une autorité, dite "Chef de file" chargée de la protection des données d'un pays de l'UE assistée de deux autres autorités "co chefs de file". Ces régles après approbation générale grace à un mécanisme de "mutal agreement" établi entre 20 autorités et la consultation de celles restantes (en fonction du ou des transferts envisagés) peut alors servir au transfert de données personnelles.

Il est à noter que depuis lors le Réglement Européen 2016/679 (GDPR) a pleinement intégré cet outil dans son article 47 et le EDPB (European Data Protection Board) qui a remplacé le WP29 a édité des Working Papers (WP 256, 257) qui définissent la forme eet le contenu des BCR pour se conformer à l'article GDPR 47.

Contenu[modifier | modifier le code]

Plusieurs documents de l'UE sont destinés à aider les entreprises qui souhaitent utiliser cet instrument juridique[3],[4].

Notes et références[modifier | modifier le code]

  1. European Data Protection Supervisor, « Protection des données Glossaire R » (consulté le 23 février 2016)
  2. European Commission - Justice, « Protection of personal data » (consulté le 23 février 2016)
  3. European Commission - Justice, « Documents on data protection » (consulté le 23 février 2016)
  4. Anne Debet, Jean Massot, Nathalie Metallinos, Anne Danis-Fatôme et Olivier Lesobre, Informatique et libertés : La protection des données à caractère personnel en droit français et européen, Paris, Lextenso, coll. « Les Intégrales », (ISBN 978-2-35971-093-9)