La société Equinix, spécialisée dans les datacenters et services d’hébergement d’infrastructures, a obtenu l’approbation de ses Binding corporate rules (BCR) – ou règles contraignantes d’entreprise en français – par le Comité européen de la protection des données (CEPD), organe indépendant mis en place dans le cadre du Règlement européen sur la protection des données (RGPD).
Les BCR permettent aux groupes internationaux de se conformer aux règles européennes en matière de transferts de données en dehors de l’Union européenne et d’uniformiser leurs pratiques relatives à la protection des données au sein de leurs différentes entités sur la base du standard de protection le plus élevé au monde, à savoir celui requis par le RGPD. Bird & Bird a conseillé Equinix avec Ariane Mole, associée, Willy Mikalef et Juliette Terrioux en protection des données.
Le conseil d’Equinix : Willy Mikalef, avocat, chez Bird&Bird
Pourquoi Equinix a souhaité entamer cette démarche ?
Equinix souhaitait mettre en place des Binding corporate rules (BCR) afin de renforcer l’encadrement des transferts de données personnelles réalisés vers ses différentes entités situées en dehors de l’Union européenne. Equinix disposait déjà de garanties contractuelles permettant de procéder à ces transferts. Il s’agissait des clauses contractuelles types adoptées par la Commission européenne, c’est-à-dire un contrat bilatéral entre l’exportateur de données dans l’UE et l’importateur de données hors de l’UE aux termes duquel ceux-ci s’engagent à respecter une série de principes de protection des données. Equinix a souhaité faire évoluer l’encadrement de ses transferts par la mise en place d’un outil plus moderne et adapté à celle d’une société internationale. Nous avons donc accompagné la société dans la mise en place de ses BCR. Celles-ci consistent en une série de politiques, de procédures et de mécanismes attestant que le plus haut niveau de protection de données personnelles, à savoir celui requis par le RGPD, est respecté dans toutes ses entités. Démontrer la robustesse de son programme de conformité en la matière permettait aussi à Equinix d’acquérir un atout concurrentiel sur le marché et de renforcer la confiance de ses clients et fournisseurs.
Sur quels points spécifiques avez-vous accompagné votre client ?
Nous l’avons aidé à compléter son dossier de demande d’approbation et à rédiger sa politique globale de protection des données personnelles ainsi que sa procédure de traitement des demandes d’exercice de droit et de gestion des plaintes par exemple. Nous l’avons également accompagné dans la mise en place du contrat intragroupe rendant obligatoire le respect de ces politiques et procédures par toutes les entités d’Equinix. Nous avons aussi assisté le groupe tout au long de la procédure d’approbation, de la soumission de la demande d’approbation auprès de l’Information commissioner’s office (ICO), l’autorité de protection des données britanniques, en passant par la phase de co-revue des BCR par la Commission nationale de l’informatique et des libertés (CNIL) en France et la Data protection commission (DPC) en Irlande, puis lors de la phase de revue par l’ensemble des autres autorités européennes et enfin par le Comité européen de la protection des données (CEPD). Cette mission est à marquer d’une pierre blanche car elle nous a donné l’opportunité d’œuvrer à l’approbation des toutes premières BCR post-RGPD.
Des difficultés particulières à signaler ?
Nous avons dû agir dans un contexte instable lié à deux grandes sources d’incertitude. D’une part, le Brexit, qui était sans cesse repoussé, faisant peser un risque que l’ICO sorte de la «communauté» des BCR, ce qui nous aurait contraints à changer d’autorité chef de file sur la procédure engagée. D’autre part, les référentiels et le dossier de demande d’approbation avaient évolué compte tenu de la mise en place du RGPD. Nous avons donc dû revoir et mettre à jour l’ensemble des documents soumis. Il a fallu tenir compte des différences culturelles, des différents points de vue des autorités nationales sur ces nouveaux référentiels aussi. Le CEPD et les différentes autorités nationales, sachant que ce dossier était une sorte de «test» pour eux, tenaient à ce qu’il reflète une vision commune et harmonisée des exigences du RGPD en matière de transferts. Nous avons eu donc à remplir un rôle d’intermédiaire entre toutes ces parties et notre client.
D’autres entreprises vous ont-elles d’ores et déjà sollicité pour entamer des démarches similaires ?
Oui, des sociétés dont les BCR ont été approuvées au regard des anciens référentiels reviennent vers nous pour mettre à jour leurs BCR au regard des nouveaux référentiels (c’est une obligation). Nous avons également été contactés par des groupes qui veulent entamer cette démarche car ils ont compris qu’en termes de stratégie et de communication, c’est un atout supplémentaire. En France, la CNIL, autorité chef de file, se montre très proactive en la matière. Elle a récemment mis en place un service en ligne sur son site où il est possible de déposer une demande d’approbation de BCR.
