Par Anne-Laure Villedieu, avocat associé, CMS Bureau Francis Lefebvre.

Toutefois, ces transferts sont autorisés dans certaines circonstances, lorsque les parties ont mis en œuvre des garanties suffisantes permettant de s’assurer que les principes européens de protection des données seront respectés. Ainsi, l’expéditeur et le destinataire des données peuvent conclure des «clauses types» publiées par la Commission européenne et visant à garantir la protection des données dans l’Etat de réception. L’utilisation de ces clauses-types est cependant contraignante car les responsables de traitement souhaitant transférer des données à de multiples destinataires doivent conclure autant de clauses contractuelles types qu’il y a de destinataires. Afin de s’éviter de telles contraintes, au sein des groupes de sociétés, les différentes entités peuvent choisir de se doter de «règles contraignantes d’entreprises», généralement désignées binding corporate rules («BCR»). 

Les BCR sont des codes de conduite, définissant la politique en matière de transferts de données, au sein d’un groupe de sociétés implanté dans divers Etats. Elles permettent d’assurer un niveau de protection adéquat aux données transférées hors de l’UE et constituent, dans un contexte intragroupe, une alternative aux clauses contractuelles types ou aux principes du safe harbor pour les transferts à destination des Etats-Unis. Les BCR sont soumises pour validation à une autorité de protection des données personnelles européenne (telle que la CNIL en France) qui engage une procédure de coopération avec les autres autorités européennes en vue de l’adoption des BCR dans l’ensemble des Etats-membres de l’UE.