Transferts internationaux de données : le G29 et l’APEC proposent aux multinationales un outil pratique

Le groupe des CNIL européennes (G29) a élaboré des règles contraignantes d’entreprise (Binding Corporate Rules dites « BCR ») pour encadrer les flux internationaux de données internes à une entreprise ou un groupe. Ces BCR constituent un code de conduite, définissant la politique d'une entreprise en matière de transferts de données. Les BCR permettent d'offrir une protection adéquate aux données transférées depuis l'Union européenne vers des pays tiers à l'Union européenne au sein d'une même entreprise ou d'un même groupe. Les États membres de la Coopération économique pour l'Asie-Pacifique (APEC) ont récemment développé un système de règles transfrontalières de protection de la vie privée, les Cross-Border Privacy Rules (CBPR). Celui-ci permet d'apporter des garanties aux transferts de données. Ces garanties reposent notamment sur une certification par des tiers certificateurs agréés par l'APEC. Le système européen des BCR et celui des CBPR sont basés sur des approches comparables. Dans les deux cas il s'agit pour des entreprises de développer des codes de conduite pour les transferts internationaux qui sont revus a priori par des autorités de protection des données européennes (pour les BCR) ou par des tiers agréés (pour les CBPR). Le G29  a étudié les CBPR afin d'identifier leurs similarités et leurs différences avec les BCR. Sur la base de cette comparaison, le G29 et les Etats membres de l’APEC ont élaboré un référentiel sur les exigences relatives à la protection des données personnelles et à la vie privée issues des BCR  et des CBPR (WP212). Cet outil est  destiné à aider les multinationales qui opèrent à la fois en Europe et dans la zone Asie-Pacifique puisqu’il identifie dans un document unique les éléments requis dans les systèmes BCR et CBPR. Cet outil pratique liste, pour chaque principe et exigence, les éléments qui sont requis dans les deux systèmes, ainsi que les éléments additionnels spécifiques à chaque système. Dans tous les cas, ces éléments additionnels doivent être pris en compte par les entreprises multinationales souhaitant obtenir l’approbation de leurs BCR par les autorités de protection des données européennes d’une part, et la certification de leurs CBPR par un tiers certificateur agréé par l’APEC d’autre part. Le G29 salue le résultat de ce travail conjoint avec les Etats membres de l’APEC, qui constitue une première et un très bon exemple de coopération. En effet, cet outil pragmatique instaure des solutions globales pour les multinationales souhaitant développer des politiques relatives à la protection des données personnelles et à la vie privée conformes aux systèmes BCR et CBPR, et ainsi obtenir une double certification.