Les BCR sous-traitants, un instrument d’encadrement des flux

Les BCR sous-traitants sont un outil d’encadrement des flux transfrontières qui a vocation à sécuriser les échanges.

BCR « responsable du traitement ». Le G29 (le Groupe des Cnil européennes) a mis en place des BCR (Binding Corporate Rules) « responsable du traitement » permettant aux groupes d’entreprises effectuant des flux transfrontières internes, c’est-à-dire des transferts de données à caractère personnel en dehors de l’Union européenne mais au sein d’un même groupe, de bénéficier d’une protection adéquate de leurs données.

Les BCR sous-traitants sont un dispositif qui s’ajoute aux BCR « responsable du traitement » et dont la cible n’est plus le responsable du traitement mais les sous-traitants auxquels fait appel le responsable du traitement.

Présentation des BCR sous-traitants. L’objectif des BCR sous-traitants est de proposer aux entreprises qualifiées de sous-traitant (1) au sens de la loi Informatique et libertés de pouvoir garantir aux responsables de traitement qui sont leurs clients que les flux transfrontières de données effectués pour leur compte dans le cadre de la prestation qu’ils ont choisie, sont bien encadrés et sécurisés.

Responsabilisation plus importante des sous-traitants. L’outil des BCR sous-traitants n’est pas nouveau puisqu’il date de janvier 2013 et qu’il résulte d’un document explicatif du G29 du 19 avril 2013 (2). Néanmoins et avec l’entrée en application du règlement européen sur la protection des données en 2018, il est amené à connaître un nouvel essor (3).

En effet, si le responsable du traitement est l’un des acteurs principaux de la loi Informatique et libertés, avec le règlement européen sur la protection des données, le sous-traitant devient également central et ses obligations, notamment en termes de sécurité, augmentent de manière importante.

A ce jour, quelques groupes ont déjà mis en œuvre des BCR sous-traitants (4).

Formalités déclaratives. D’un point de vue des formalités déclaratives, il convient, pour le sous-traitant, de déposer un formulaire d’instruction spécifique aux BCR sous-traitants auprès de la Cnil ou de l’un de ses homologues. A cela s’en suit une procédure d’instruction.

Une fois que le groupe a obtenu la validation des BCR sous-traitants ainsi qu’une autorisation unique de transferts de données à caractère personnel hors Espace économique européen encadrés par les règles internes d’entreprise, BCR « sous-traitant », il est alors possible pour les clients de ces groupes d’effectuer auprès de la Cnil un engagement de conformité aux BCR sous-traitants correspondantes à celles du groupe qui est leur sous-traitant.

Ainsi, le responsable du traitement n’a plus besoin d’encadrer ces flux transfrontières effectués par son sous-traitant par la signature, par exemple, de clauses contractuelles types. Les formalités d’encadrement des flux sont donc allégées.

De manière opérationnelle, le responsable du traitement, c’est à dire le client, qui s’engage à se conformer à ces BCR sous-traitants doit vérifier au sein de la délibération publiée par la Cnil le champ d’application de ces flux transfrontières relatif :

• aux finalités ;
• aux données ;
• aux personnes concernées par le transfert ;
• aux destinataires ;
• aux droits des personnes concernées ;
• à l’information des personnes concernées.

De plus, il convient que le responsable du traitement tienne à la disposition de la Cnil une liste détaillée et à jour des transferts effectués sur la base des BCR sous-traitants pour chaque transfert, les informations suivantes :

• la finalité générale du transfert ;
• la ou les catégories de données à caractère personnel transférées ;
• la ou les catégories de personnes concernées par le transfert ;
• les informations relatives à chaque destinataire des données ;
• la raison sociale ;
• le nom du groupe auquel le destinataire appartient et ayant adopté des BCR « sous-traitant » ;
• le pays d’établissement ;
• la catégorie de destinataires ;
• la nature du traitement opéré par ce dernier.

Recommandations. Il convient, pour les sous-traitants, de s’interroger sur la possibilité de recourir à cet outil que sont les BCR sous-traitants afin d’encadrer et de sécuriser leurs flux transfrontières ; et pour les clients de vérifier si leurs sous-traitants bénéficient de BCR sous-traitants et, le cas échéant, de s’engager à les respecter.

Lexing Alain Bensoussan Avocats
Lexing Informatique et libertés

(1) C’est-à-dire comme agissant sur instruction du responsable du traitement qui sont leurs clients.
(2) G29 Document explicatif 00658/13/EN WP 204 du 19-4-2013.
(3) Règlement(UE) 2016/679 du 27-4-2016.
(4) Cnil, Les outils de la conformité, les BCR.