I. Les BCR pour faciliter les transferts intra-groupes

Les données personnelles ont vocation à circuler sans s’arrêter aux frontières de l’Union européenne (« UE »). Aussi, le règlement général sur la protection des données[1] (« RGPD») conditionne-t-il les transferts de données hors de l’UE et de l’Espace économique européen à l’existence dans les pays destinataires d’un niveau de protection « adéquat»[2] – c’est-à-dire équivalent à celui de l’UE – ou à l’existence de garanties appropriées offertes par le responsable de traitement/sous-traitant destinataire, entreprise ou administration[3]. Deux principaux mécanismes juridiques sont prévus pour les transferts dans des pays qui n’ont pas fait l’objet d’une décision d’adéquation de la part de la Commission : le premier est celui des « clauses contractuelles » conclues entre l’exportateur et l’importateur des données qui assurent que l’importateur présente les garanties requises en matière de protection des données ; le second est celui des « règles contraignantes d’entreprise »[4] ou Binding Corporate Rules (« BCR ») qui s’appliquent au niveau du groupe.

Les clauses contractuelles doivent être conclues au cas par cas. Dès lors, s’agissant de transferts concernant des multinationales opérant à travers le monde, elles sont nécessairement très nombreuses. Si l’entreprise a la possibilité de proposer des clauses « ad hoc » sous réserve de l’autorisation de l’autorité de contrôle compétente, le plus souvent ces clauses sont standardisées sous la forme de « clauses types » adoptées par la Commission européenne[5]. En revanche, les BCR sont un document juridique unique élaboré par l’entreprise en concertation avec les autorités de contrôle, et dont le contenu s’adapte à chacune des entreprises qui y souscrivent.

Les BCR ont été conçues avant tout pour permettre aux multinationales, tout en s’engageant à respecter les règles du RGPD dans leurs différentes entités, de favoriser les transferts intra-groupes qui ne nécessitent ainsi plus au cas par cas le recours à des clauses contractuelles. Seuls les transferts transfrontaliers de données entre le groupe et les autres opérateurs (e.g., fournisseurs, clients etc.) situés dans des pays tiers restent soumis le cas échéant à la procédure des clauses contractuelles.

Nombre de grandes entreprises se sont déjà dotées de BCR[6]. L’adoption des BCR, qui implique des négociations avec les autorités de contrôle de la protection des données, demande certes des efforts d’organisation et un certain temps. En effet, en termes d’organisation, les BCR supposent de mettre en conformité avec le RGPD les filiales du groupe éventuellement situées dans des pays qui, soit n’ont pas de législation de protection des données, soit ont une législation beaucoup plus flexible et de moindre portée que le RGPD, et qui donc n’assurent pas un niveau de protection adéquat. L’élaboration des BCR demandent plusieurs mois puisque sous l’égide de l’autorité « chef de file » (la CNIL pour la France), plusieurs autorités de contrôle peuvent avoir leur mot à dire jusqu’au Comité Européen de Protection des Données (« CEPD ») regroupant l’ensemble des autorités de contrôle de l’UE. Cette procédure de concertation entre autorités a pour avantage de sécuriser l’entreprise quant au caractère approprié de ses BCR.

II. La latitude des opérateurs pour déterminer le périmètre des BCR

Le groupe a toute latitude pour déterminer le périmètre d’application des BCR auxquelles il souhaite adhérer.

Tout d’abord, il peut choisir les filiales qui seront liées par les principes et règles contenus dans les BCR. Cette possibilité est expressément prévue dans les formulaires d’instruction publiés en 2018 par le Groupe de l’Article 29[7] (« G29 ») auquel a maintenant succédé le CEPD. L’entreprise qui veut se doter de BCR n’est nullement tenue d’en imposer le respect à ses filiales situées hors de l’UE si aucun transfert de données personnelles n’a lieu de l’UE vers lesdites filiales.

Ensuite, si les BCR s’appliquent de manière uniforme au sein des entités incluses dans leur périmètre, le caractère exécutoire de leurs règles au niveau du groupe peut être différencié selon que les données sont soumises au RGPD, c’est à dire transférées depuis une entité en Europe vers une filiale d’un pays tiers, ou qu’elles n’y sont pas dans l’hypothèse d’un transfert entre pays tiers d’une filiale à l’autre (ne traitant pas de données personnelles des citoyens européens).

Le G29 précise qu’il appartient à l’entreprise de faire le choix entre deux options, à savoir appliquer les BCR :

  • soit à toutes les données à caractère personnel soumises au droit de l’Union, c’est-à dire principalement les données collectées au sein de l’Union et faisant l’objet d’un transfert ;
  • soit à toutes les données à caractère personnel transférées au sein du groupe au niveau mondial qu’elles soient ou non soumises au droit de l’Union[8].

En d’autres termes, un groupe qui souhaiterait – au moins dans un premier temps – exclure l’application des BCR pour les transferts intra-groupes de données non soumises au RGPD, pourrait le faire ; et d’ailleurs plusieurs entreprises l’ont fait en réduisant le périmètre des BCR. Ainsi, une entreprise active dans le secteur de l’aviation a décidé de limiter les BCR aux données soumises au RGPD : « the BCR apply to all personal data of (…) subject to EEA data protection legislation »[9]. Un autre groupe international spécialisé dans l’assurance a adopté une approche similaire en précisant que « although BCR (…) Companies may have processes required for BCR implemented everywhere, BCR (…) Compagnies do not provide BCR guarantees for Personal Data that is not subject to a data privacy law in a Regulated Jurisdiction, i.e. which is not transferred from a Regulated Jurisdiction [any jurisdiction, in the EEA and Andorra, Switzerland, Faeroe Islands, Guernsey, Isle of Man and Jersey] »[10].

III. La question du partage des responsabilités entre entités liées par des BCR

Par ailleurs se pose la question des conséquences de l’adoption de BCR sur le niveau de responsabilité du groupe vis-à-vis de ses filiales situées en dehors de l’UE. Dans cette éventualité, le G29 prévoit que, selon le choix de l’entreprise, le siège ou l’une des filiales installées dans l’UE doit s’engager à endosser la responsabilité des actes, commis en violation de ces règles par les filiales localisées en dehors de l’Union[11].

Toutefois, il est possible dans certains cas, notamment en raison de la structure de l’entreprise, de prévoir dans les BCR que chaque exportateur des données sera responsable des violations de ces règles par l’importateur des données[12]. Par exemple, une grande compagnie d’assurance a prévu des règles spécifiques de partage des responsabilités : selon ses BCR, chaque entité du groupe est en principe individuellement responsable pour les violations qui sont de son fait ; toutefois, dans certains cas, l’exportateur des données pourra aussi être responsable des violations commises par l’importateur des données, quitte à se retourner ensuite contre l’importateur fautif. Cette situation n’est pas éloignée de celle prévue par les clauses contractuelles types où l’exportateur et l’importateur des données sont solidairement responsables des violations des clauses en question[13].

Pour conclure

Les groupes disposent d’une marge importante pour fixer les contours de leurs BCR : (i) il leur appartient d’en fixer le périmètre d’application aux transferts de données personnelles intra-groupes ; (ii) ils sont en mesure de définir, en cas de violation des BCR, un partage de responsabilités adapté à leur vision des relations entre leurs différentes entités à travers le monde ; (iii) tout en étant conforme au RGPD, le contenu des BCR dépendra pour le reste également de leurs contraintes spécifiques eu égard à leur business model et à la structure du groupe.

Reflet d’un choix stratégique, les BCR constituent un instrument à privilégier pour les multinationales.

Les BCR sont d’autant plus un élément de sécurisation des transferts de données hors UE que l’avenir des clauses contractuelles types (dont le champ est quelque peu différent, mais l’objet analogue) est incertain. En effet, la Cour de justice de l’Union européenne doit se prononcer en juillet 2019 sur renvoi préjudiciel de la Haute Cour de justice irlandaise sur la validité des clauses contractuelles les plus usuelles, à savoir les clauses contractuelles types approuvées par la Commission européenne. La Cour irlandaise avait été saisie par l’autorité irlandaise de protection des données confrontée à une nouvelle plainte de Maximilian Schrems, relative cette fois-ci aux transferts des données personnelles aux Etats-Unis, et qui pose donc la question de la validité des clauses contractuelles types[14]. Il faut attendre pour savoir si l’arrêt de la Cour, au-delà des clauses contractuelles types, impactera ou non tous les transferts de données hors UE.