Les cookies nous permettent de personnaliser les annonces. Nous partageons des informations sur l'utilisation de notre site
avec nos partenaires de publicité, qui peuvent combiner celles-ci avec d'autres informations que vous leur avez fournies ou
qu'ils ont collectées lors de votre utilisation de leurs services. En déclinant l'usage des cookies, vous acceptez de perdre
le bénéfice de magnifiques annonces et de promotions exceptionnelles.
En savoir plus
Autorisez-vous le site www.codes-et-lois.fr à conserver des cookies dans votre navigateur ?
Depuis le 1er janvier 2013, les prestataires effectuant de nombreux transferts internationaux de données pour le compte de leurs clients peuvent adopter des BCR " sous-traitants ". Ce nouvel outil vise à encadrer les transferts de données effectués au sein du groupe d'un prestataire agissant en qualité de sous-traitant dans le cadre de l'exécution de prestations conclues avec ses clients responsables de traitement.
Dans les dernières années, le Groupe des CNIL européennes (G29) a élaboré un outil juridique innovant, les Binding Corporate Rules (BCR) pour encadrer les flux internationaux de données internes à un groupe d'entreprises. Ces BCR constituent un code de conduite, définissant la politique d'un groupe en matière de transferts de données et permettant ainsi d'offrir une protection adéquate aux données transférées depuis l'Union européenne vers des pays tiers à l'Union européenne au sein d'un même groupe. Sur la base de ces garanties, la Cnil peut délivrer rapidement des autorisations de transfert de données.
Pourquoi un nouvel outil ?
Jusqu'à fin 2012, les BCR ne permettaient d'encadrer que des transferts effectués au sein d'un groupe agissant en qualité de responsable de traitement. Fort de ce succès et constatant que les outils d'encadrement des transferts existants ne sont pas suffisamment adaptés à des situations d'externalisation ou de cloud computing, le G29 a officiellement lancé les BCR sous-traitants le 1er janvier 2013.
Les BCR sous-traitants permettent de créer une sphère de sécurité pour les transferts effectués par des sous-traitants vers d'autres sous-traitants appartenant au même groupe. Ils garantissent aux responsables de traitement qu'ils pourront obtenir de la part des autorités de protection des données des autorisations de transfert. En cela, ils constituent une alternative aux outils d'encadrement des transferts existants, tels que les Clauses Contractuelles Types adoptées par la Commission européenne en 2010 permettant d'encadrer les transferts du responsable de traitement vers un sous-traitant.
Comment l'utiliser ?
Afin d'aider les entreprises intéressées par la mise en œuvre de BCR sous-traitants, le G29 a adopté le 19 avril 2013 un document expliquant ce qu'ils doivent contenir (WP204). Il complète un document de travail (WP195) adopté par le G29 en juin 2012.
Le contenu des BCR sous-traitants ne diffère pas de celui des Clauses Contractuelles Types de 2010 et s'inscrit dans la ligne du projet de règlement européen actuellement en discussion qui tend à davantage responsabiliser les sous-traitants.
Ainsi, les sous-traitants devront mettre en œuvre des mesures proactives (audit, formation, réseau de délégués à la protection des données...). Ces mesures d'accountability (ou responsabilisation) garantissent un traitement de données conforme aux principes européens de protection des données. Les sous-traitants pourront se prévaloir de ce haut niveau de protection des données personnelles traitées pour le compte de leurs clients responsables de traitement.
Les organisations souhaitant mettre en œuvre des BCR sous-traitants peuvent s'adresser à la CNIL ou à l'un de ses homologues en complétant le formulaire d'instruction spécifique aux BCR sous-traitants adopté par le G29 en septembre 2012. La procédure d'instruction des BCR sous-traitants est identique à celle des BCR " responsables de traitement ", avec le système de reconnaissance mutuelle au niveau européen.
