L’avis rendu le 27 février 2014 par le groupe de travail « article 29 », de même que la procédure actuelle d’adoption du projet de Règlement européen, nous permet de revenir sur la pratique des règles d’entreprise contraignantes (REC) désormais bien ancrée dans le paysage européen.
1. Que sont les règles d’entreprise contraignantes (en anglais, Binding Corporate Rules – BCR) ?
Il n’existe actuellement pas de définition légale des REC mais l’article 4, 17° du projet de règlement européen sur la protection des données les définit comme étant des « règles internes relatives à la protection des données à caractère personnel qu’applique un responsable du traitement ou un sous-traitant établi sur le territoire d’un État membre de l’Union, aux transferts ou à un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous-traitant dans un ou plusieurs pays tiers au sein d’un groupe d’entreprises ».
Ainsi, lors de transfert de données d’une société européenne vers une filiale établie dans un Etat tiers, il sera considéré que – même si l’Etat tiers ne rencontre pas le niveau de sécurité exigé par la Commission européenne – le groupe de sociétés offre l’assurance d’une protection adéquate et constitue dès lors un véritable « safe haven » pour les personnes concernées.
Les REC nécessitent un important effort de mise en conformité (approbation par les autorités de contrôle compétentes, formation du personnel, information des clients, mise en place d’audits…) mais elles ont cependant l’avantage de permettre le transfert de données à caractère personnel vers un Etat tiers ne disposant pas d’un niveau de protection adéquat, et ce sans requérir la signature de clauses contractuelles entre entreprises d’un même groupe.
2. Les règles d’entreprise contraignantes ne sont pas neuves, elles ont été mises en place sur base de l’article 26, § 2 de la directive 95/46 du 24 octobre 1995. Aujourd’hui, 60 entreprises internationales sont répertoriées sur le site de l’Union comme ayant des REC valablement approuvées selon la procédure de coopération.
Si les REC existent et sont appliquées depuis plus de 10 ans, leur reconnaissance explicite dans le projet de règlement général constitue cependant une nouveauté.
Ce règlement décrit dans son actuel article 43 (« Transferts encadrés par des règles d’entreprise contraignantes ») les conditions que ces REC devront respecter pour être reconnues par les autorités des Etats membres concernés.
Ces conditions sont issues des avis du groupe de travail « article 29 », avis qui ont été rédigés comme des « boites à outils » pratiques facilitant la conception et l’adoption de REC appropriées : voy. WP 74 du 3 juin 2003, WP 108 du 14 avril 2005, WP 133 du 10 janvier 2007, WP 153 du 24 juin 2008, WP 154 du 24 juin 2008, WP 155 du 8 avril 2009.
Le règlement offrirait ainsi une sécurité juridique renforcée puisqu’il apporte un socle juridique aux REC.
De plus, de par sa nature de règlement, les exigences de l’article 43 s’appliqueraient de manière uniforme à l’ensemble des Etats membres.
Enfin, il est prévu la désignation d’une « autorité chef de file » située dans l’Etat membre de l’établissement principal du groupe (en pratique généralement le siège) comme unique contact de ce groupe, évitant ainsi la multiplication des interlocuteurs.
Le projet de règlement a été voté par le Parlement européen le 12 mars 2014 et est actuellement en attente de position du Conseil en première lecture. Dans ce cadre, le chapitre V (relatif au transfert de données à caractère personnel vers un pays tiers) a déjà fait l’objet d’un vote conditionnel du Conseil le 28 mai 2014 .
3. La pratique des REC voit cependant son applicabilité limitée aux transferts de données d’une entreprise située dans l’Espace Economique Européen.
L’avis WP 212 du 27 février 2014 du groupe de travail « article 29 » a vocation à aider le praticien dans le transfert mondialisé des données. Ainsi, cet avis compare de manière détaillée (le document fait 68 pages dans sa version française) d’une part, l’actuelle Directive et les différents avis du groupe du travail et, d’autre part, le système de règles transfrontalières de protection de la vie privée (CBPR) de l’APEC (Asia-Pacific Economic Cooperation).
Ce référentiel décrit les blocs communs aux deux systèmes, et les exigences complémentaires de l’un ou l’autre système.
Un groupe d’entreprises opérant tant dans l’UE que la zone APEC est soumis aux deux régimes juridiques et doit dans ce cadre obtenir une double « certification ».
Il est à noter que, contrairement aux règles d’entreprises contraignantes qui permettent au groupe d’entreprises de transférer des données vers des entités du groupe hors de l’UE, le CBPR ne permet que le transfert de données entre les Etats membres de l’APEC participant au système des règles transfrontalières de protection de la vie privée. Les Etats participants sont actuellement limités au nombre de trois : les Etats-Unis, le Mexique et le Japon.
Our advice:
L’intégration de REC nécessite une importante adaptation de l’organisation interne de l’entreprise, au besoin avec l’assistance d’un conseil, et un investissement budgétaire.
Toutefois, au vu des règles en matière de transfert de données, nous conseillons cette option pour le transfert de données intra-groupe vers des entreprises établies dans des pays tiers à l’Union.
En effet, la signature de contrats pour chaque transfert de données constitue rapidement une charge ingérable pour des transferts fréquents vers différents destinataires internationaux. En outre, il est moins coûteux pour une entreprise d’uniformiser une nouvelle politique globale que d’introduire différents règlements internes au niveau de ses filiales. Enfin, la reconnaissance officielle de REC peut constituer un avantage concurrentiel significatif pour le groupe d’entreprises. La publication des REC sur le site internet de l’entreprise, en plus de répondre à l’exigence de transparence, indique en effet aux consommateurs une bonne « privacy governance ».