Worldwide: Les règles contraignantes d'entreprises ("BCR"), une solution pour les multinationales qui peut être à géométrie variable

I. Les BCR pour faciliter les transferts intra-groupes

Les données personnelles ont vocation à circuler sans s'arrêter aux frontières de l'Union européenne (« UE »). Aussi, le règlement général sur la protection des données[1] (« RGPD») conditionne-t-il les transferts de données hors de l'UE et de l'Espace économique européen à l'existence dans les pays destinataires d'un niveau de protection « adéquat»[2] – c'est-à-dire équivalent à celui de l'UE – ou à l'existence de garanties appropriées offertes par le responsable de traitement/sous-traitant destinataire, entreprise ou administration[3]. Deux principaux mécanismes juridiques sont prévus pour les transferts dans des pays qui n'ont pas fait l'objet d'une décision d'adéquation de la part de la Commission : le premier est celui des « clauses contractuelles » conclues entre l'exportateur et l'importateur des données qui assurent que l'importateur présente les garanties requises en matière de protection des données ; le second est celui des « règles contraignantes d'entreprise »[4] ou Binding Corporate Rules (« BCR ») qui s'appliquent au niveau du groupe.

Les clauses contractuelles doivent être conclues au cas par cas. Dès lors, s'agissant de transferts concernant des multinationales opérant à travers le monde, elles sont nécessairement très nombreuses. Si l'entreprise a la possibilité de proposer des clauses « ad hoc » sous réserve de l'autorisation de l'autorité de contrôle compétente, le plus souvent ces clauses sont standardisées sous la forme de « clauses types » adoptées par la Commission européenne[5]. En revanche, les BCR sont un document juridique unique élaboré par l'entreprise en concertation avec les autorités de contrôle, et dont le contenu s'adapte à chacune des entreprises qui y souscrivent.

Les BCR ont été conçues avant tout pour permettre aux multinationales, tout en s'engageant à respecter les règles du RGPD dans leurs différentes entités, de favoriser les transferts intra-groupes qui ne nécessitent ainsi plus au cas par cas le recours à des clauses contractuelles. Seuls les transferts transfrontaliers de données entre le groupe et les autres opérateurs (e.g., fournisseurs, clients etc.) situés dans des pays tiers restent soumis le cas échéant à la procédure des clauses contractuelles.

Nombre de grandes entreprises se sont déjà dotées de BCR[6]. L'adoption des BCR, qui implique des négociations avec les autorités de contrôle de la protection des données, demande certes des efforts d'organisation et un certain temps. En effet, en termes d'organisation, les BCR supposent de mettre en conformité avec le RGPD les filiales du groupe éventuellement situées dans des pays qui, soit n'ont pas de législation de protection des données, soit ont une législation beaucoup plus flexible et de moindre portée que le RGPD, et qui donc n'assurent pas un niveau de protection adéquat. L'élaboration des BCR demandent plusieurs mois puisque sous l'égide de l'autorité « chef de file » (la CNIL pour la France), plusieurs autorités de contrôle peuvent avoir leur mot à dire jusqu'au Comité Européen de Protection des Données (« CEPD ») regroupant l'ensemble des autorités de contrôle de l'UE. Cette procédure de concertation entre autorités a pour avantage de sécuriser l'entreprise quant au caractère approprié de ses BCR.

II. La latitude des opérateurs pour déterminer le périmètre des BCR

Le groupe a toute latitude pour déterminer le périmètre d'application des BCR auxquelles il souhaite adhérer.

Tout d'abord, il peut choisir les filiales qui seront liées par les principes et règles contenus dans les BCR. Cette possibilité est expressément prévue dans les formulaires d'instruction publiés en 2018 par le Groupe de l'Article 29[7] (« G29 ») auquel a maintenant succédé le CEPD. L'entreprise qui veut se doter de BCR n'est nullement tenue d'en imposer le respect à ses filiales situées hors de l'UE si aucun transfert de données personnelles n'a lieu de l'UE vers lesdites filiales.

Ensuite, si les BCR s'appliquent de manière uniforme au sein des entités incluses dans leur périmètre, le caractère exécutoire de leurs règles au niveau du groupe peut être différencié selon que les données sont soumises au RGPD, c'est à dire transférées depuis une entité en Europe vers une filiale d'un pays tiers, ou qu'elles n'y sont pas dans l'hypothèse d'un transfert entre pays tiers d'une filiale à l'autre (ne traitant pas de données personnelles des citoyens européens).

Le G29 précise qu'il appartient à l'entreprise de faire le choix entre deux options, à savoir appliquer les BCR :

  • soit à toutes les données à caractère personnel soumises au droit de l'Union, c'est-à dire principalement les données collectées au sein de l'Union et faisant l'objet d'un transfert ;
  • soit à toutes les données à caractère personnel transférées au sein du groupe au niveau mondial qu'elles soient ou non soumises au droit de l'Union[8].

En d'autres termes, un groupe qui souhaiterait – au moins dans un premier temps – exclure l'application des BCR pour les transferts intra-groupes de données non soumises au RGPD, pourrait le faire ; et d'ailleurs plusieurs entreprises l'ont fait en réduisant le périmètre des BCR. Ainsi, une entreprise active dans le secteur de l'aviation a décidé de limiter les BCR aux données soumises au RGPD : « the BCR apply to all personal data of (...) subject to EEA data protection legislation »[9]. Un autre groupe international spécialisé dans l'assurance a adopté une approche similaire en précisant que « although BCR (...) Companies may have processes required for BCR implemented everywhere, BCR (...) Compagnies do not provide BCR guarantees for Personal Data that is not subject to a data privacy law in a Regulated Jurisdiction, i.e. which is not transferred from a Regulated Jurisdiction [any jurisdiction, in the EEA and Andorra, Switzerland, Faeroe Islands, Guernsey, Isle of Man and Jersey] »[10].

III. La question du partage des responsabilités entre entités liées par des BCR

Par ailleurs se pose la question des conséquences de l'adoption de BCR sur le niveau de responsabilité du groupe vis-à-vis de ses filiales situées en dehors de l'UE. Dans cette éventualité, le G29 prévoit que, selon le choix de l'entreprise, le siège ou l'une des filiales installées dans l'UE doit s'engager à endosser la responsabilité des actes, commis en violation de ces règles par les filiales localisées en dehors de l'Union[11].

Toutefois, il est possible dans certains cas, notamment en raison de la structure de l'entreprise, de prévoir dans les BCR que chaque exportateur des données sera responsable des violations de ces règles par l'importateur des données[12]. Par exemple, une grande compagnie d'assurance a prévu des règles spécifiques de partage des responsabilités : selon ses BCR, chaque entité du groupe est en principe individuellement responsable pour les violations qui sont de son fait ; toutefois, dans certains cas, l'exportateur des données pourra aussi être responsable des violations commises par l'importateur des données, quitte à se retourner ensuite contre l'importateur fautif. Cette situation n'est pas éloignée de celle prévue par les clauses contractuelles types où l'exportateur et l'importateur des données sont solidairement responsables des violations des clauses en question[13].

Pour conclure

Les groupes disposent d'une marge importante pour fixer les contours de leurs BCR : (i) il leur appartient d'en fixer le périmètre d'application aux transferts de données personnelles intra-groupes ; (ii) ils sont en mesure de définir, en cas de violation des BCR, un partage de responsabilités adapté à leur vision des relations entre leurs différentes entités à travers le monde ; (iii) tout en étant conforme au RGPD, le contenu des BCR dépendra pour le reste également de leurs contraintes spécifiques eu égard à leur business model et à la structure du groupe.

Reflet d'un choix stratégique, les BCR constituent un instrument à privilégier pour les multinationales.

Les BCR sont d'autant plus un élément de sécurisation des transferts de données hors UE que l'avenir des clauses contractuelles types (dont le champ est quelque peu différent, mais l'objet analogue) est incertain. En effet, la Cour de justice de l'Union européenne doit se prononcer en juillet 2019 sur renvoi préjudiciel de la Haute Cour de justice irlandaise sur la validité des clauses contractuelles les plus usuelles, à savoir les clauses contractuelles types approuvées par la Commission européenne. La Cour irlandaise avait été saisie par l'autorité irlandaise de protection des données confrontée à une nouvelle plainte de Maximilian Schrems, relative cette fois-ci aux transferts des données personnelles aux Etats-Unis, et qui pose donc la question de la validité des clauses contractuelles types[14]. Il faut attendre pour savoir si l'arrêt de la Cour, au-delà des clauses contractuelles types, impactera ou non tous les transferts de données hors UE.

Footnotes

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

[2] Article 45 du RGPD.

[3] Article 46 du RGPD.

[4] Article 47 du RGPD.

[5] Commission européenne, décision du 27 décembre 2004 modifiant la décision n° 2001/497/CE en ce qui concerne l'introduction d'un ensemble alternatif de clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers ; Commission européenne, décision du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil.

[6] 131 entreprises au 25 mai 2018: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=613841.

[7] G29, Recommendation on the standard application for approval of controller Binding Corporate Rules for the transfer of personal data, WP264, 11 avril 2018, section 4.

[8] ibid section 2 : « do the BCRs only apply to transfers from the EEA, or do they apply to all transfers between members of the group ? ».

[9] « BCR s'appliquent à toutes les données à caractère personnel (...) soumises à la législation sur la protection des données ».

[10] « Bien que les entités liées par les BCR puissent mettre en place des procédures requis par les BCR, ces entités ne fournissent pas de garanties prévues par les BCR pour les données personnelles qui ne sont pas soumises à la législation de protection des données dans une juridiction réglementée, c'est-à-dire qui ne sont pas transférées d'une juridiction réglementée [une juridiction, dans l'EEE et Andorre, Suisse, les îles Féroé, Guernesey, Île de Man ou Jersey] ».

[11] G29, Working Document setting a table with the elements and principles to be found in Binding Corporate Rules, WP256 rev.01, 6 février 2018, p. 8.

[12] ibid.

[13] Décision de la Commission des communautés européennes du 15 juin 2001 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu de la directive 95/46/CE.

[14] The High Court Commercial, The Data Protection Commissioner v. Facebook Ireland Limited and Maximillian Shrems, [2016 No. 4809 P.].

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

To print this article, all you need is to be registered on Mondaq.com.

Click to Login as an existing user or Register so you can print this article.

Authors
 
In association with
Related Topics
 
Related Articles
 
Related Video
Up-coming Events Search
Tools
Print
Font Size:
Translation
Channels
Mondaq on Twitter
 
Mondaq Free Registration
Gain access to Mondaq global archive of over 375,000 articles covering 200 countries with a personalised News Alert and automatic login on this device.
Mondaq News Alert (some suggested topics and region)
Select Topics
Registration (please scroll down to set your data preferences)

Mondaq Ltd requires you to register and provide information that personally identifies you, including your content preferences, for three primary purposes (full details of Mondaq’s use of your personal data can be found in our Privacy and Cookies Notice):

  • To allow you to personalize the Mondaq websites you are visiting to show content ("Content") relevant to your interests.
  • To enable features such as password reminder, news alerts, email a colleague, and linking from Mondaq (and its affiliate sites) to your website.
  • To produce demographic feedback for our content providers ("Contributors") who contribute Content for free for your use.

Mondaq hopes that our registered users will support us in maintaining our free to view business model by consenting to our use of your personal data as described below.

Mondaq has a "free to view" business model. Our services are paid for by Contributors in exchange for Mondaq providing them with access to information about who accesses their content. Once personal data is transferred to our Contributors they become a data controller of this personal data. They use it to measure the response that their articles are receiving, as a form of market research. They may also use it to provide Mondaq users with information about their products and services.

Details of each Contributor to which your personal data will be transferred is clearly stated within the Content that you access. For full details of how this Contributor will use your personal data, you should review the Contributor’s own Privacy Notice.

Please indicate your preference below:

Yes, I am happy to support Mondaq in maintaining its free to view business model by agreeing to allow Mondaq to share my personal data with Contributors whose Content I access
No, I do not want Mondaq to share my personal data with Contributors

Also please let us know whether you are happy to receive communications promoting products and services offered by Mondaq:

Yes, I am happy to received promotional communications from Mondaq
No, please do not send me promotional communications from Mondaq
Terms & Conditions

Mondaq.com (the Website) is owned and managed by Mondaq Ltd (Mondaq). Mondaq grants you a non-exclusive, revocable licence to access the Website and associated services, such as the Mondaq News Alerts (Services), subject to and in consideration of your compliance with the following terms and conditions of use (Terms). Your use of the Website and/or Services constitutes your agreement to the Terms. Mondaq may terminate your use of the Website and Services if you are in breach of these Terms or if Mondaq decides to terminate the licence granted hereunder for any reason whatsoever.

Use of www.mondaq.com

To Use Mondaq.com you must be: eighteen (18) years old or over; legally capable of entering into binding contracts; and not in any way prohibited by the applicable law to enter into these Terms in the jurisdiction which you are currently located.

You may use the Website as an unregistered user, however, you are required to register as a user if you wish to read the full text of the Content or to receive the Services.

You may not modify, publish, transmit, transfer or sell, reproduce, create derivative works from, distribute, perform, link, display, or in any way exploit any of the Content, in whole or in part, except as expressly permitted in these Terms or with the prior written consent of Mondaq. You may not use electronic or other means to extract details or information from the Content. Nor shall you extract information about users or Contributors in order to offer them any services or products.

In your use of the Website and/or Services you shall: comply with all applicable laws, regulations, directives and legislations which apply to your Use of the Website and/or Services in whatever country you are physically located including without limitation any and all consumer law, export control laws and regulations; provide to us true, correct and accurate information and promptly inform us in the event that any information that you have provided to us changes or becomes inaccurate; notify Mondaq immediately of any circumstances where you have reason to believe that any Intellectual Property Rights or any other rights of any third party may have been infringed; co-operate with reasonable security or other checks or requests for information made by Mondaq from time to time; and at all times be fully liable for the breach of any of these Terms by a third party using your login details to access the Website and/or Services

however, you shall not: do anything likely to impair, interfere with or damage or cause harm or distress to any persons, or the network; do anything that will infringe any Intellectual Property Rights or other rights of Mondaq or any third party; or use the Website, Services and/or Content otherwise than in accordance with these Terms; use any trade marks or service marks of Mondaq or the Contributors, or do anything which may be seen to take unfair advantage of the reputation and goodwill of Mondaq or the Contributors, or the Website, Services and/or Content.

Mondaq reserves the right, in its sole discretion, to take any action that it deems necessary and appropriate in the event it considers that there is a breach or threatened breach of the Terms.

Mondaq’s Rights and Obligations

Unless otherwise expressly set out to the contrary, nothing in these Terms shall serve to transfer from Mondaq to you, any Intellectual Property Rights owned by and/or licensed to Mondaq and all rights, title and interest in and to such Intellectual Property Rights will remain exclusively with Mondaq and/or its licensors.

Mondaq shall use its reasonable endeavours to make the Website and Services available to you at all times, but we cannot guarantee an uninterrupted and fault free service.

Mondaq reserves the right to make changes to the services and/or the Website or part thereof, from time to time, and we may add, remove, modify and/or vary any elements of features and functionalities of the Website or the services.

Mondaq also reserves the right from time to time to monitor your Use of the Website and/or services.

Disclaimer

The Content is general information only. It is not intended to constitute legal advice or seek to be the complete and comprehensive statement of the law, nor is it intended to address your specific requirements or provide advice on which reliance should be placed. Mondaq and/or its Contributors and other suppliers make no representations about the suitability of the information contained in the Content for any purpose. All Content provided "as is" without warranty of any kind. Mondaq and/or its Contributors and other suppliers hereby exclude and disclaim all representations, warranties or guarantees with regard to the Content, including all implied warranties and conditions of merchantability, fitness for a particular purpose, title and non-infringement. To the maximum extent permitted by law, Mondaq expressly excludes all representations, warranties, obligations, and liabilities arising out of or in connection with all Content. In no event shall Mondaq and/or its respective suppliers be liable for any special, indirect or consequential damages or any damages whatsoever resulting from loss of use, data or profits, whether in an action of contract, negligence or other tortious action, arising out of or in connection with the use of the Content or performance of Mondaq’s Services.

General

Mondaq may alter or amend these Terms by amending them on the Website. By continuing to Use the Services and/or the Website after such amendment, you will be deemed to have accepted any amendment to these Terms.

These Terms shall be governed by and construed in accordance with the laws of England and Wales and you irrevocably submit to the exclusive jurisdiction of the courts of England and Wales to settle any dispute which may arise out of or in connection with these Terms. If you live outside the United Kingdom, English law shall apply only to the extent that English law shall not deprive you of any legal protection accorded in accordance with the law of the place where you are habitually resident ("Local Law"). In the event English law deprives you of any legal protection which is accorded to you under Local Law, then these terms shall be governed by Local Law and any dispute or claim arising out of or in connection with these Terms shall be subject to the non-exclusive jurisdiction of the courts where you are habitually resident.

You may print and keep a copy of these Terms, which form the entire agreement between you and Mondaq and supersede any other communications or advertising in respect of the Service and/or the Website.

No delay in exercising or non-exercise by you and/or Mondaq of any of its rights under or in connection with these Terms shall operate as a waiver or release of each of your or Mondaq’s right. Rather, any such waiver or release must be specifically granted in writing signed by the party granting it.

If any part of these Terms is held unenforceable, that part shall be enforced to the maximum extent permissible so as to give effect to the intent of the parties, and the Terms shall continue in full force and effect.

Mondaq shall not incur any liability to you on account of any loss or damage resulting from any delay or failure to perform all or any part of these Terms if such delay or failure is caused, in whole or in part, by events, occurrences, or causes beyond the control of Mondaq. Such events, occurrences or causes will include, without limitation, acts of God, strikes, lockouts, server and network failure, riots, acts of war, earthquakes, fire and explosions.

By clicking Register you state you have read and agree to our Terms and Conditions