Transferts de données personnelles dans l'espace francophone : les autorités adoptent les règles contraignantes d’entreprise (RCE)

La communauté de valeurs qui lie les pays francophones a favorisé l’adoption d’un protocole de coopération entre autorités membres de l’AFAPDP. Les autorités se sont ainsi engagées à s’échanger mutuellement toute information utile à l’accomplissement de leurs missions, dans le respect de leur droit interne et de leurs obligations de confidentialité. Faisant suite à une résolution précédemment adoptée à Mexico le 31 octobre 2011, l’AFAPDP vient également d’adopter une « Résolution  relative à la procédure d’encadrement des transferts de données personnelles dans l’espace francophone au moyen de règles contraignantes d’entreprise (RCE) ». Cette résolution répond à la demande des autorités francophones de pouvoir partager un outil commun pour encadrer et faciliter, au sein de l’espace francophone, les transferts de données à l’étranger.  Les règles contraignantes  d’entreprise (ou « RCE ») offrent  plusieurs avantages : elles permettent de garantir un niveau élevé de protection des données tout en s’appuyant sur un instrument juridique déjà connu et utilisé par les entreprises. Cet outil prévoit le respect des principes fondamentaux en matière de protection des données sous forme de codes de conduite internes à l’entreprise et de mécanismes de mise en conformité tels que :

• Des réseaux de responsables en charge de la vie privée ;
• Des procédures de gestion des plaintes ;
• Des programmes de formation et d’audit. Ce concept, qui repose sur le principe de responsabilisation des entreprises  (« accountability ») correspond à la ligne développée par le projet de Règlement européen en matière de protection des données à caractère personnel.

L’utilisation de RCE francophones n’a pas d’incidence sur les règles actuellement en vigueur en matière de règles contraignantes d’entreprise au sein de l’Union européenne. En termes de procédure, l’autorité en charge de RCE agirait  comme un point de contact auprès des entreprises pour la vérification de la conformité au référentiel commun de l’outil développé par l’entreprise et comme coordinatrice auprès des autres autorités pour recueillir leurs commentaires sur cet outil. Les autorisations sur les transferts et/ou sur l’outil lui-même seraient délivrées par les autorités concernées, et non pas par l’autorité point de contact, conformément à leurs compétences nationales en matière de transferts. Les entreprises souhaitant voir reconnaître leurs RCE francophones en BCR européen afin de couvrir les transferts en provenance d’Etats membres de l’UE qui ne sont pas membres de l’AFAPDP devront suivre la procédure européenne de coopération établie par le G29 prévoyant une instruction conjointe par une autorité chef de file européenne et ainsi obtenir l’aval des autorités européennes pour leur BCR. Cette démarche partenariale entre pays de l’espace francophone s’inscrit également dans l’objectif de développer des outils de coopération avec différentes zones géographiques dans le monde (comme c’est le cas par exemple avec les pays de l’APEC). Un bilan du déploiement de ces RCE francophones sera présenté dans un an lors de la prochaine assemblée générale de l’AFPDP.