Vie privée
AXA Binding Corporate Rules (BCR)
Les règles d’entreprise contraignantes ou Binding Corporate Rules (« BCR »), telles que le Code de conduite, sont adoptées par un groupe multinational d’entreprises pour définir les lignes de sa politique mondiale en matière de transferts internationaux de données à caractère personnel au sein du même groupe vers des entités situées dans des pays qui ne garantissent pas un niveau de protection adéquat.
Quelle est la finalité des BCR ?
Les BCR sont utilisées par les multinationales afin d’offrir des garanties adéquates pour la protection de la vie privée et des libertés et droits fondamentaux des personnes au sens de l’article 26 de la directive 95/46/CE pour tout transfert de données à caractère personnel protégées en vertu du droit européen.
En ce sens, les BCR assurent que tous les transferts opérés au sein d’un groupe bénéficient d’un niveau de protection adéquat. À ce titre, elles constituent une alternative à la signature, par l’entreprise, de clauses contractuelles standard chaque fois qu’elle doit transférer des données à un membre de son groupe, et peuvent s’avérer préférables dans les cas où ces signatures de clauses contractuelles représentent un fardeau administratif trop important pour chaque transfert effectué au sein d’un groupe.
Une fois approuvées au titre de la procédure de coopération de l’Union européenne, les règles d’entreprise contraignantes fournissent un niveau de protection suffisant aux entreprises pour obtenir l’autorisation d’effectuer des transferts des autorités nationales chargées de la protection des données (« DPA » ; en Belgique la Commission de la Protection de la Vie Privée). Il convient de noter que les BCR ne fournissent pas une base de transferts à l’extérieur du groupe.
Quels sont les avantages des BCR ?
- les pratiques en matière de protection des données à caractère personnel au sein d’un groupe;
- de prévenir les risques inhérents aux transferts de données à des pays tiers;
- d’éviter de devoir établir un contrat pour chaque transfert;
- de déployer une communication externe à propos de la politique de l’entreprise en matière de protection des données;
- d’avoir un guide interne pour les employés en matière de gestion des données à caractère personnel;
- d’intégrer la protection des données à la philosophie de l’entreprise.