22 jan
2015

Première procédure européenne de coopération finalisée par l'Autorité en tant qu’autorité chef de file

Le mardi 6 janvier 2015, l'Autorité a finalisé son intervention en tant qu’autorité chef de file pour la procédure de coopération européenne des règles d’entreprise contraignantes, mieux connues comme « Binding Corporate Rules » ou « BCR », de la société Johnson Controls.

Les BCR sont des règles élaborées par des entreprises multinationales, obligatoires pour leurs entités et employés, afin d’offrir des garanties suffisantes de protection des données pour leurs flux transfrontières intra-groupe (par ex. échange entre les entités du groupe d’informations relatives à leurs employés ou à leurs clients). Elles comportent les principes fondamentaux de protection des données (transparence, proportionnalité, …) mais également des mesures visant à assurer la mise en œuvre concrète de ces principes au sein de l’entreprise (systèmes d’audit, formation du personnel, nomination de détachés à la protection des données, système de gestion de plainte,…).

Les BCR permettent aux entreprises d’élaborer des règles uniformes au sein de leur groupe d’entreprises. Elles offrent également l’avantage aux citoyens de disposer de droits de recours robustes sur le territoire européen et cela même pour les traitements réalisés après le transfert à l’étranger.

Ces règles doivent être validées par les différentes autorités nationales de protection des données concernées par le flux et une procédure européenne coordonnée a été mise en place afin de permettre un examen concerté du projet de règles, et pour favoriser des décisions cohérentes des différentes autorités de protection des données. Cette procédure permet à la société multinationale d’introduire sa demande auprès d’une autorité nationale (autorité "chef de file" au niveau européen) qui gère la procédure de coopération avec les autres autorités concernées dans l’Union européenne.

Une fois la procédure de coopération européenne finalisée, la majorité des législations nationales requièrent que les BCR soient encore autorisées par les différentes autorités nationales de protection des données concernées. En Belgique, un Arrêté royal doit être adopté, après avis de l'Autorité - voir le protocole d'accord conclu entre le SPF Justice et l'Autorité. Le projet de Règlement européen de protection des données prévoit la suppression de cette deuxième étape relative à la procédure nationale.

Johnson Controls va donc rejoindre la liste des 61 autres sociétés pour lesquelles la procédure de coopération européenne BCR est finalisée.

Vous avez des questions ? Contactez Sarah Boulerhcha, responsable communication.

+32 (0)2 274 48 08 ou +32(0)473 85 15 97

sarah.boulerhcha@apd-gba.be