BCR : faire le point sur la conformité de sa politique

RGPD : un nouvel outil pour s’auto-évaluer

Les entreprises basées dans l’Union européenne (UE) ou traitant des données personnelles de personnes résidant dans un des États membres de l’UE ont l’obligation de se conformer au Règlement général sur la protection des données personnelles (RGPD).

Ainsi, lorsqu’une entreprise souhaite opérer un transfert de données vers un État tiers, que l’UE ne considère pas comme offrant un cadre de protection suffisant, cette entreprise doit s’assurer par ses propres moyens que ce transfert se fera de façon sécurisée.

Une des méthodes pouvant être employées est celle des règles d’entreprise contraignantes (abrégées en BCR pour Binding Corporate Rules). Elle s’adresse aux groupes d’entreprises implantés dans plusieurs États et prend la forme d’un référentiel qui engage toutes les entreprises du groupe concernant le traitement des données personnelles.

La Commission nationale de l’informatique et des libertés (CNIL) propose régulièrement des outils, permettant aux professionnels d’optimiser la mise en place de leurs outils, mais aussi de faire le point sur les outils déjà en place.

Un nouvel outil de suivi pour vérifier la conformité aux BCR vient d’être mis en place composé de 2 questionnaires, l’un à remplir par les entités locales dans un premier temps, et l’autre par le délégué à la protection des données du groupe (DPO) une fois qu’il a reçu les premiers questionnaires.

Les résultats doivent permettre au DPO d’apprécier la conformité globale de son groupement vis-à-vis de la mise en place et de l’application des BCR.