La Cnil annonce une simplification des formalités pour les multinationales qui mettent en œuvre des flux transfrontières de données et qui ont adopté des BCR (« règles contraignantes d’entreprise », RCE).
Dans ce cadre, la Cnil propose de délivrer une autorisation unique à chaque groupe ayant adopté des BCR, afin de permettre à leurs entités de demander des autorisations à la Cnil au coup par coup pour leurs flux transfrontières de données.
En pratique, lorsqu’un nouveau flux transfrontière de données hors de l’Union européenne sera mis en œuvre par des entités d’un groupe pour lequel la Cnil aura délivré une autorisation unique, celles-ci devront simplement effectuer un engagement de conformité à l’autorisation unique du groupe sur le site de la Cnil.
Préalablement à l’engagement de conformité, les entités devront analyser la conformité des nouveaux flux transfrontières de données hors de l’Union européenne à l’autorisation unique délivrée par la Cnil au groupe.
La Cnil précise qu’à la suite de l’engagement de conformité, le responsable de traitement devra tenir à sa disposition une liste à jour des flux transfrontières, qui précisera les informations suivantes :
- « la finalité générale de chaque transfert couvert par les BCR ;
- la ou les catégories de personnes intéressées par les transferts encadrés par les BCR ;
- la ou les catégories de données personnelles transférées sur la base des BCR ;
- les informations relatives à chaque destinataire des données (raison sociale, groupe auquel il appartient et ayant adopté des BCR responsable de traitement, des BCR sous-traitant et/ou des règles contraignantes d’entreprise francophones, pays d’établissement, catégories de destinataire des données et nature du traitement opéré par ce dernier) ».
Dans ce cadre, la Cnil annonce que ses services vont contacter dans les prochaines semaines plus d’une soixantaine d’entreprises multinationales ayant déposé des BCR, afin de définir en concertation avec ces dernières le contenu de leurs autorisations uniques respectives.
L’attention des entreprises multinationales concernées est attirée sur le fait que la définition de leur autorisation unique est une tâche qui doit être anticipée et réfléchie afin de s’assurer qu’une telle autorisation unique s’adaptera à l’évolution du groupe dans le temps.
Céline Avignon
Anaïs Gimbert-Bonnal
Lexing, Droit Informatique et libertés Contentieux