Pour gérer vos consentements :

Conformité RGPD : l’autoévaluation BCR en 50 questions

Comment estimer sa maturité sur un sujet ? Par exemple, en s’autoévaluant à l’aide d’un questionnaire. La boîte à outils de la CNIL comprend ce type de support. Entre autres pour les systèmes d’IA et la conformité RGPD des procédures de recrutement.

La liste s’est récemment élargie aux règles d’entreprise contraignantes (BCR, binding corporate rules). Ce mécanisme juridique est spécifiquement conçu pour permettre, à l’échelle de groupes internationaux, le transfert de données en dehors de l’Espace économique européen. Sa mise en œuvre implique une procédure d’approbation par une autorité nationale, puis par le CEPD.

Le référentiel applicable aux responsables de traitement (BCR-C) a fait l’objet d’une mise à jour l’an dernier. Le même travail d’actualisation est en cours pour celui destiné aux sous-traitants (BCR-P). Il s’agit notamment d’intégrer les obligations découlant de l’arrêt Schrems II. La CNIL a élaboré une documentation à ce propos. Elle la met en avant au sein son questionnaire, comme d’autres documents dont son guide du DPO.

Les BCR, une certaine flexibilité…

Quelques-uns des points abordés dans le questionnaire n’ont pas une, mais plusieurs réponses possibles. Parmi eux, le moyen par lequel on obligera les entités liées aux BCR à les respecter. Il pourra s’agir aussi bien d’un engagement unilatéral que d’un contrat signé par chacune. De même pour ce qui est de s’assurer du respect par les salariés de ces entités : accord ou engagement individuel ? clause du contrat de travail ou politique interne ? convention collective ?…

Autre élément pouvant faire l’objet de multiples approches : l’identification des entités en UE qui porteront la responsabilité en cas de violation des BCR par des entités situées hors UE. Entre autres schémas envisageables, rendre chaque entité exportatrice de données responsable des violations de son entité importatrice.

De la flexibilité, il y en a également pour la mise à disposition des BCR sur les sites Internet et les intranets des entités adhérentes. Il pourra, en l’occurrence, s’agir de versions complètes ou abrégées.

… mais un risque de conflits de lois

Concernant le caractère contraignant des règles, le questionnaire interroge, en particulier, sur l’existence :

– D’un mécanisme de sanction des salariés
– D’une procédure pour les tiers bénéficiaires afin qu’il puissent exercer leurs droits
– D’une charge de la preuve pesant sur l’entité ou les entités responsable(s) située(s) en UE
– De ressources financières suffisantes pour indemniser en cas de violation
– D’une obligation de fournir aux personnes concernées une information compréhensible

Le questionnaire invite à établir un canal direct entre la personne pilotant la conformité et le niveau le plus élevé de l’organisme. Ainsi qu’à prévoir une actualisation annuelle de la liste des entités liées. Ou encore à savoir identifier les situations dans lesquelles une législation nationale empêche une entité adhérente de respecter les BCR. Et à réaliser, en fonction du risque, des analyses d’impact (AIPD). La CNIL propose un logiciel à cet effet – entré au SILL l’an dernier.

Le CEPD recense une dizaine de BCR approuvées en France sous l’ère RGPD. Dont celles de CGI, Nestlé et Servier.

Photo d’illustration © portalgda via Visualhunt / CC BY-NC-SA

Recent Posts

La Suite Numérique : les errements d’un projet d’État

La Cour des comptes pointe les résultats insuffisants de La Suite Numérique (ex-SNAP) et évoque…

1 jour ago

Apple Pay : l’UE valide l’ouverture à la concurrence sur les iPhone

La Commission européenne approuve la proposition d’Apple permettant à des concurrents de proposer des solutions…

1 jour ago

Que d’eau ! Les engagements d’AWS pour en économiser

AWS entend devenir « water-positive » pour 2030. Que recouvre cet objectif ?

2 jours ago

PC : le marché renoue avec la croissance au deuxième trimestre

Après sept trimestres consécutifs de baisse, le marché mondial des PC traditionnels affiche un rebond…

2 jours ago

Le CISPE et Microsoft trouvent un accord : et maintenant ?

Le CISPE s'est engagé à retirer sa plainte contre Microsoft. Quelle monnaie d'échange le groupe…

2 jours ago

Silo AI, une nouvelle prise pour AMD dans le vivier européen de l’IA

Après avoir acquis Mipsology en France, AMD s'empare de Silo AI, tête de pont de…

2 jours ago