Depuis 2018, les utilisations faites des données personnelles des Européens sont encadrées par le Règlement général sur la protection des données (RGPD). Il impose notamment aux entreprises souhaitant transférer des données à l’étranger de prendre des précautions importantes pour s’assurer que ces données ne courent aucun danger…
Les données à caractère personnel des Européens font l’objet d’une protection exigeante depuis l’entrée en vigueur du Règlement général sur la protection des données (RGPD) en 2018.
Ce texte impose des obligations à toutes les entités traitant ces données sur le territoire de l’Union européenne (UE), mais également dans des États tiers, dès lors que les données traitées sont relatives à des résidents européens.
Ainsi, lorsqu’une entreprise souhaite transférer des données vers une entité établie dans un État tiers à l’UE, elle se doit de vérifier le niveau de protection garanti dans cet État.
S’il est jugé insuffisant, le transfert n’est pas pour autant impossible, mais des précautions supplémentaires doivent être mises en place par l’entreprise.
Une des méthodes pouvant être employées est celle des règles d’entreprise contraignantes (abrégées en BCR pour Binding Corporate Rules). Elle s’adresse aux groupes d’entreprises implantés dans plusieurs États et prend la forme d’un référentiel qui engage toutes les entreprises du groupe concernant le traitement des données personnelles.
Une fois approuvées par les autorités nationales et européennes, les BCR permettent aux entreprises du groupe de transférer entre elles des données personnelles, peu importe leur situation géographique.
La Commission nationale de l’informatique et des libertés (CNIL) propose un nouvel outil pour permettre aux entreprises souhaitant soumettre un dossier d’approbation de BCR d’évaluer la recevabilité et la maturité de leur projet.
RGPD : évaluer ses règles d’entreprise contraignantes (BCR) – © Copyright WebLex