62
rapport d’activité 2012
Informer et éduquer / Conseiller et réglementer / Accompagner la conformité / Protéger les citoyens /
focus
Le lancement des
BCR sous-traitants
À compter du 1er janvier
2013, il sera également
possible d’adopter des BCR
« sous-traitants », destinés à
encadrer les transferts intragroupes de données traitées
par un sous-traitant selon les
instructions et pour le compte
de ses clients responsables de
traitement. Particulièrement
adaptés aux évolutions
technologiques telles que le
Cloud computing, ces BCR
créent une sphère de sécurité
pour les transferts effectués
par des sous-traitants,
apportant alors des garanties
suffisantes aux transferts pour
les responsables de traitement.
les BCR, laboratoire pour
la rédaction de l’accountability
dans le projet de règlement
la procédure de coopération entre les
autorités européennes de protection des
données. Un guide sur les transferts,
disponible sur le site de la CNIL, fournit
davantage d’informations sur la procédure
de coopération européenne pour les BCR.
Les BCR rencontrent de plus en plus
de succès car ils constituent un outil
d’encadrement des transferts, mais
également parce qu’ils permettent de
mettre en œuvre des mesures proactives
et concrètes dites d’accountability (for-
mations, audits, délégués à la protection
des données, etc.). La Commission européenne a d’ailleurs récemment déclaré
que les BCR avaient été « un laboratoire
pour la rédaction de l’accountability
dans le projet de règlement »1, ce qui
est confirmé par de nombreuses multinationales ayant adopté des BCR car
elles les envisagent plus comme un
programme mondial de conformité que
comme un simple outil d’encadrement
des transferts.
Vers une articulation de
l’encadrement des flux entre
l’Europe (BCR) et la zone Asie
Pacifique (CBPR) ?
La Coopération économique pour
l’Asie-Pacifique (APEC) a récemment
développé un système de règles transfrontalières de protection de la vie privée, les
« Cross-Border Privacy Rules » (CBPR),
afin d’apporter des garanties aux transferts de données et d’obtenir leur certification par des tiers certificateurs externes
eux-mêmes agréés par l’APEC.
Partant du constat que les systèmes BCR et CBPR sont basés sur des
approches similaires (codes de conduite
sur les transferts internationaux développés par des entreprises et revus a priori
par des autorités de protection des données ou par des tiers agréés), le G29 a
étudié les CBPR afin d’identifier leurs
similarités et leurs différences avec les
BCR. Sur la base de cette comparaison,
le G29 a lancé une réflexion pour développer des outils pratiques qui permettraient
aux organisations d’adopter des politiques
internes respectueuses des deux systèmes, et ce en vue d’obtenir une « double
certification BCR-CBPR » dans le respect
des procédures d’approbation propres à
chaque zone.
En janvier 2013, des représentants
d’autorités européennes de protection des
données dont la CNIL, le Contrôleur européen, l’autorité allemande se sont réunis
pour la première fois avec le Comité BCR/
CBPR de l’APEC afin d’échanger leurs
vues sur ce projet.
1
Déclaration de Marie-Hélène BOULANGER, chef de l’unité Protection des données de la Commission européenne dans le cadre du panel “A Great Ascent: How to Summit from
BCR Basecamp to Accountability and Global Interoperability”, organisé le 14/11 lors de la Conférence IAPP du 13-14 novembre 2012, Bruxelles