Les BCR sous-traitants, un instrument d’encadrement des flux

Les BCR sous-traitants, un instrument d’encadrement des flux

Les BCR sous-traitants sont un outil d’encadrement des flux transfrontières qui a vocation à sécuriser les échanges.

BCR « responsable du traitement ». Le G29 (le Groupe des Cnil européennes) a mis en place des BCR (Binding Corporate Rules) « responsable du traitement » permettant aux groupes d’entreprises effectuant des flux transfrontières internes, c’est-à-dire des transferts de données à caractère personnel en dehors de l’Union européenne mais au sein d’un même groupe, de bénéficier d’une protection adéquate de leurs données.

Les BCR sous-traitants sont un dispositif qui s’ajoute aux BCR « responsable du traitement » et dont la cible n’est plus le responsable du traitement mais les sous-traitants auxquels fait appel le responsable du traitement.

Présentation des BCR sous-traitants. L’objectif des BCR sous-traitants est de proposer aux entreprises qualifiées de sous-traitant (1) au sens de la loi Informatique et libertés de pouvoir garantir aux responsables de traitement qui sont leurs clients que les flux transfrontières de données effectués pour leur compte dans le cadre de la prestation qu’ils ont choisie, sont bien encadrés et sécurisés.

Responsabilisation plus importante des sous-traitants. L’outil des BCR sous-traitants n’est pas nouveau puisqu’il date de janvier 2013 et qu’il résulte d’un document explicatif du G29 du 19 avril 2013 (2). Néanmoins et avec l’entrée en application du règlement européen sur la protection des données en 2018, il est amené à connaître un nouvel essor (3).

En effet, si le responsable du traitement est l’un des acteurs principaux de la loi Informatique et libertés, avec le règlement européen sur la protection des données, le sous-traitant devient également central et ses obligations, notamment en termes de sécurité, augmentent de manière importante.

A ce jour, quelques groupes ont déjà mis en œuvre des BCR sous-traitants (4).

Formalités déclaratives. D’un point de vue des formalités déclaratives, il convient, pour le sous-traitant, de déposer un formulaire d’instruction spécifique aux BCR sous-traitants auprès de la Cnil ou de l’un de ses homologues. A cela s’en suit une procédure d’instruction.

Une fois que le groupe a obtenu la validation des BCR sous-traitants ainsi qu’une autorisation unique de transferts de données à caractère personnel hors Espace économique européen encadrés par les règles internes d’entreprise, BCR « sous-traitant », il est alors possible pour les clients de ces groupes d’effectuer auprès de la Cnil un engagement de conformité aux BCR sous-traitants correspondantes à celles du groupe qui est leur sous-traitant.

Ainsi, le responsable du traitement n’a plus besoin d’encadrer ces flux transfrontières effectués par son sous-traitant par la signature, par exemple, de clauses contractuelles types. Les formalités d’encadrement des flux sont donc allégées.

De manière opérationnelle, le responsable du traitement, c’est à dire le client, qui s’engage à se conformer à ces BCR sous-traitants doit vérifier au sein de la délibération publiée par la Cnil le champ d’application de ces flux transfrontières relatif :

  • aux finalités ;
  • aux données ;
  • aux personnes concernées par le transfert ;
  • aux destinataires ;
  • aux droits des personnes concernées ;
  • à l’information des personnes concernées.

De plus, il convient que le responsable du traitement tienne à la disposition de la Cnil une liste détaillée et à jour des transferts effectués sur la base des BCR sous-traitants pour chaque transfert, les informations suivantes :

  • la finalité générale du transfert ;
  • la ou les catégories de données à caractère personnel transférées ;
  • la ou les catégories de personnes concernées par le transfert ;
  • les informations relatives à chaque destinataire des données ;
  • la raison sociale ;
  • le nom du groupe auquel le destinataire appartient et ayant adopté des BCR « sous-traitant » ;
  • le pays d’établissement ;
  • la catégorie de destinataires ;
  • la nature du traitement opéré par ce dernier.

Recommandations. Il convient, pour les sous-traitants, de s’interroger sur la possibilité de recourir à cet outil que sont les BCR sous-traitants afin d’encadrer et de sécuriser leurs flux transfrontières ; et pour les clients de vérifier si leurs sous-traitants bénéficient de BCR sous-traitants et, le cas échéant, de s’engager à les respecter.

Lexing Alain Bensoussan Avocats
Lexing Informatique et libertés

(1) C’est-à-dire comme agissant sur instruction du responsable du traitement qui sont leurs clients.
(2) G29 Document explicatif 00658/13/EN WP 204 du 19-4-2013.
(3) Règlement(UE) 2016/679 du 27-4-2016.
(4) Cnil, Les outils de la conformité, les BCR.




Fin du Safe Harbor, premières sanctions en Allemagne

Safe harborL’Autorité d’Hambourg a sanctionné les sociétés qui n’avaient pas pris en compte l’invalidation du Safe Harbor.

Dans un communiqué de presse (1), l’Autorité de protection des données à caractère personnelles d’Hambourg annonce qu’elle a contrôlé trente-cinq entreprises internationales effectuant des flux transfrontières de données vers les Etats-Unis. Suite à ce contrôle, des amendes ont été prononcées contre trois d’entre elles. A ce titre, la Commission a précisé avoir minoré ces amendes dans la mesure où ces sociétés avaient mis en place des clauses contractuelles types au cours de l’enquête.

L’invalidation du dispositif du Safe Harbor par la CJUE

Depuis l’invalidation du dispositif du Safe Harbor par la CJUE le 6 octobre 2015 (2), les sociétés effectuant des flux transfrontières de données vers les Etats-Unis ont eu pour indication (3) d’encadrer ces flux transfrontières hors de l’Union européenne de manière classique comme avec tout pays ne proposant pas un niveau de protection adéquat.

Par conséquent, il convenait que ces sociétés signent soit des binding corporate rules (BCR), soit des clauses contractuelles types avec les sociétés américaines concernées en attendant qu’un nouveau dispositif soit mis en œuvre.

Le Privacy Shield remplacera le Safe Harbor

Ce nouveau dispositif, dénommé Privacy Shield, qui devrait être adopté très prochainement, viendra remplacer le dispositif du Safe Harbor.

Or, pendant cette phase de transition, c’est aux entreprises concernées effectuant des flux transfrontières de données vers les Etats-Unis, de mettre en place un système intermédiaire. Or, cela n’est pas toujours mis en œuvre.

Phase de transition

Trois cas de figure se présentent depuis octobre 2015, concernant les sociétés effectuant des flux transfrontières de données vers les Etats-Unis :

  • elles n’ont pas mis en œuvre d’autres mesures d’encadrement des flux transfrontières de données depuis la fin du Safe Harbor ;
  • elles ont débuté la mise en œuvre de BCR ou de clauses contractuelles types ;
  • elles ont signé des BCR ou des clauses contractuelles types avec les sociétés américaines concernées.
Défaut de mesures de protection complémentaires

Or, la Commission d’Hambourg vient de sanctionner le premier cas de figure à savoir les entreprises qui étaient couvertes par le dispositif du Safe Harbor et qui n’ont pas pris de mesures de protection complémentaires depuis octobre 2015 afin d’encadrer leurs flux transfrontières de données vers les Etats-Unis.

On peut rappeler que la Cnil, ainsi que ses homologues européens, avaient demandé aux institutions européennes et aux gouvernements concernés de trouver des solutions juridiques et techniques avant le 31 janvier 2016.

Cette date étant dépassée, le Privacy Shield étant toujours en discussion et les autorités commençant à prononcer des sanctions, il est recommandé aux sociétés françaises qui ne seraient pas en conformité concernant l’encadrement de leurs flux transfrontières de données vers les Etats-Unis d’y remédier rapidement.

Lexing Alain Bensoussan Avocats
Lexing Informatique et libertés

(1) Communiqué de presse du 6-6-2016 de la « Cnil » de Hambourg (en allemand).
(2) CJUE, 6-10-2015, Aff. C-362/14, Maximillian S. c/ Data Protection Commissioner.
(3) Le Safe Harbor, présentation du 8-1-2016 par la Cnil.