Conformité RGPD : l'autoévaluation BCR en 50 questions

La CNIL a produit un outil d’évaluation de maturité pour les projets de BCR. On mesure la flexibilité du mécanisme… et ses complexités.

Comment estimer sa maturité sur un sujet ? Par exemple, en s’autoévaluant à l’aide d’un questionnaire. La boîte à outils de la CNIL comprend ce type de support. Entre autres pour les systèmes d’IA et la conformité RGPD des procédures de recrutement.

La liste s’est récemment élargie aux règles d’entreprise contraignantes (BCR, binding corporate rules). Ce mécanisme juridique est spécifiquement conçu pour permettre, à l’échelle de groupes internationaux, le transfert de données en dehors de l’Espace économique européen. Sa mise en œuvre implique une procédure d’approbation par une autorité nationale, puis par le CEPD.

Le référentiel applicable aux responsables de traitement (BCR-C) a fait l’objet d’une mise à jour l’an dernier. Le même travail d’actualisation est en cours pour celui destiné aux sous-traitants (BCR-P). Il s’agit notamment d’intégrer les obligations découlant de l’arrêt Schrems II. La CNIL a élaboré une documentation à ce propos. Elle la met en avant au sein son questionnaire, comme d’autres documents dont son guide du DPO.

Les BCR, une certaine flexibilité…

Quelques-uns des points abordés dans le questionnaire n’ont pas une, mais plusieurs réponses possibles. Parmi eux, le moyen par lequel on obligera les entités liées aux BCR à les respecter. Il pourra s’agir aussi bien d’un engagement unilatéral que d’un contrat signé par chacune. De même pour ce qui est de s’assurer du respect par les salariés de ces entités : accord ou engagement individuel ? clause du contrat de travail ou politique interne ? convention collective ?…

Autre élément pouvant faire l’objet de multiples approches : l’identification des entités en UE qui porteront la responsabilité en cas de violation des BCR par des entités situées hors UE. Entre autres schémas envisageables, rendre chaque entité exportatrice de données responsable des violations de son entité importatrice.

De la flexibilité, il y en a également pour la mise à disposition des BCR sur les sites Internet et les intranets des entités adhérentes. Il pourra, en l’occurrence, s’agir de versions complètes ou abrégées.

… mais un risque de conflits de lois

Concernant le caractère contraignant des règles, le questionnaire interroge, en particulier, sur l’existence :

– D’un mécanisme de sanction des salariés
– D’une procédure pour les tiers bénéficiaires afin qu’il puissent exercer leurs droits
– D’une charge de la preuve pesant sur l’entité ou les entités responsable(s) située(s) en UE
– De ressources financières suffisantes pour indemniser en cas de violation
– D’une obligation de fournir aux personnes concernées une information compréhensible

Le questionnaire invite à établir un canal direct entre la personne pilotant la conformité et le niveau le plus élevé de l’organisme. Ainsi qu’à prévoir une actualisation annuelle de la liste des entités liées. Ou encore à savoir identifier les situations dans lesquelles une législation nationale empêche une entité adhérente de respecter les BCR. Et à réaliser, en fonction du risque, des analyses d’impact (AIPD). La CNIL propose un logiciel à cet effet – entré au SILL l’an dernier.

Le CEPD recense une dizaine de BCR approuvées en France sous l’ère RGPD. Dont celles de CGI, Nestlé et Servier.

Lire aussi : RGPD : la CNIL face aux spécificités des IA