Depuis 2018, les utilisations faites des données personnelles des Européens sont encadrées par le Règlement général sur la protection des données (RGPD). Il impose notamment aux entreprises souhaitant transférer des données à l’étranger de prendre des précautions importantes pour s’assurer que ces données ne courent aucun danger…
RGPD : un nouvel outil pour s’auto-évaluer
Les entreprises basées dans l’Union européenne (UE) ou traitant des données personnelles de personnes résidant dans un des États membres de l’UE ont l’obligation de se conformer au Règlement général sur la protection des données personnelles (RGPD).
Ainsi, lorsqu’une entreprise souhaite opérer un transfert de données vers un État tiers, que l’UE ne considère pas comme offrant un cadre de protection suffisant, cette entreprise doit s’assurer par ses propres moyens que ce transfert se fera de façon sécurisée.
Une des méthodes pouvant être employées est celle des règles d’entreprise contraignantes (abrégées en BCR pour Binding Corporate Rules). Elle s’adresse aux groupes d’entreprises implantés dans plusieurs États et prend la forme d’un référentiel qui engage toutes les entreprises du groupe concernant le traitement des données personnelles.
La Commission nationale de l’informatique et des libertés (CNIL) propose régulièrement des outils, permettant aux professionnels d’optimiser la mise en place de leurs outils, mais aussi de faire le point sur les outils déjà en place.
Un nouvel outil de suivi pour vérifier la conformité aux BCR vient d’être mis en place composé de 2 questionnaires, l’un à remplir par les entités locales dans un premier temps, et l’autre par le délégué à la protection des données du groupe (DPO) une fois qu’il a reçu les premiers questionnaires.
Les résultats doivent permettre au DPO d’apprécier la conformité globale de son groupement vis-à-vis de la mise en place et de l’application des BCR.