La Commission nationale de l’informatique et des libertés,

Saisie par la société WEBHELP au nom et pour le compte du groupe WEBHELP, le 28 novembre 2017, d’une demande d’approbation de ses BCR « responsable du traitement » ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD), notamment ses articles 47, 57 et 64 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment son article 73 ;

Sur la proposition de M^me Anne DEBET, commissaire, et après avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,

Formule les observations suivantes :

L’article 47-1 du RGPD dispose que la CNIL approuve des règles d’entreprise contraignantes (« BCR ») sous réserve que celles-ci répondent aux exigences prévues par cet article.

Conformément à la procédure de coopération décrite par le document de travail WP263.rev.01, la documentation relative aux BCR « responsable du traitement » du groupe WEBHELP a été instruite par les services de la CNIL en qualité d’autorité compétente, puis par les services de deux autres autorités de protection des données agissant en qualité de co-instructeurs. Ces BCR ont également été revues par les autorités de protection des données des pays membres de l’Espace économique européen (« EEE ») en application de la procédure d’approbation mise en place par le Comité européen de la protection des données (« CEPD »).

L’instruction des BCR « responsable du traitement » du groupe WEBHELP permet de conclure que celles-ci sont conformes aux exigences imposées par l’article 47-1 du RGPD et le document de travail WP256.rev.01, notamment car les BCR susmentionnées :

— sont rendues juridiquement contraignantes par un contrat intra-groupe et imposent une obligation claire à chaque entité participante du groupe WEBHELP, y compris à leurs employés, de les respecter (articles 3.1 et 3.2 des BCR) ;

— confèrent expressément des droits aux personnes concernées leur permettant de s’en prévaloir en tant que tiers bénéficiaires via l‘article 7 des BCR ;

— répondent aux exigences imposées par l’article 47-2 du RGPD :

• a) la structure et les coordonnées du groupe d’entreprises et de chacune de ses entités sont détaillées dans le formulaire WP264 qui a été fourni dans le cadre de l’instruction du dossier et dans l’annexe 1 des BCR ;
• b) les transferts ou l’ensemble des transferts de données, y compris les catégories de données à caractère personnel, le type de traitement et ses finalités, le type de personnes concernées affectées et le nom du ou des pays tiers en question sont précisés à l’article 2.1 et en annexe 11-A des BCR ;
• c) la nature juridiquement contraignante, tant interne qu’externe, des BCR « responsable du traitement » est reconnue à l’article 3 des BCRainsi qu’à l’article 3 du projet de contrat intra-groupe fourni par le groupe ;

• d) l’application des principes généraux relatifs à la protection des données, notamment la limitation de la finalité, la minimisation des données, la limitation des durées de conservation des données, la qualité des données, la protection des données dès la conception et la protection des données par défaut, la base juridique du traitement, le traitement de catégories particulières de données à caractère personnel, les mesures visant à garantir la sécurité des données, ainsi que les exigences en matière de transferts ultérieurs à des organismes qui ne sont pas liés par les règles d’entreprise contraignantes sont visés aux articles 4, 5, 6 et 11 des BCR ;

• e) les droits des personnes concernées à l’égard du traitement et les moyens d’exercer ces droits, y compris le droit de ne pas faire l’objet de décisions fondées exclusivement sur un traitement automatisé, y compris le profilage, conformément à l’article 22 du RGPD, le droit d’introduire une réclamation auprès de l’autorité de contrôle compétente et devant les juridictions compétentes des Etats membres conformément à l’article 79 du RGPD et d’obtenir réparation et, le cas échéant, une indemnisation pour violation des règles d’entreprise contraignantes sont bien prévus dans les BCR, aux articles 7 et 8 ;

• f) l’acceptation, par le responsable du traitement ou le sous-traitant établi sur le territoire d’un Etat membre, de l’engagement de sa responsabilité pour toute violation des règles d’entreprise contraignantes par toute entité concernée non établie dans l’Union ainsi que l’exonération, en tout ou en partie, de cette responsabilité uniquement si l’intéressé prouve que le fait générateur du dommage n’est pas imputable à l’entité en cause, sont précisées à l’article 7.2 des BCR ;

• g) la manière dont les informations sur les règles d’entreprise contraignantes, notamment en ce qui concerne les éléments mentionnés aux points d), e) et f) de l’article 47.2 du RGPD, sont fournies aux personnes concernées, en sus des informations visées aux articles 13 et 14 du RGPD, est spécifiée aux articles 12.1 et 12.2 des BCR ;

• h) les missions de tout délégué à la protection des données, désigné conformément à l’article 37, ou de toute autre personne ou entité chargée de la surveillance du respect des règles d’entreprise contraignantes au sein du groupe d’entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe, ainsi que le suivi de la formation et le traitement des réclamations sont détaillées à l’article 9 et en annexe 3 des BCR ;

• i) les procédures de réclamation sont décrites à l’article 8 et en annexe 5 des BCR ;

• j) les mécanismes mis en place au sein du groupe d’entreprises pour garantir le contrôle du respect des règles d’entreprise contraignantes sont détaillés à l’article 13 et en annexe 7 des BCR. Ces mécanismes prévoient des audits sur la protection des données et des méthodes assurant que des mesures correctrices seront prises pour protéger les droits de la personne concernée. Les résultats de ces contrôles sont communiqués à la personne ou à l’entité visée au point h) ci-dessus et au conseil d’administration de l’entreprise qui exerce le contrôle du groupe d’entreprises (en l’occurrence au siège social de WEBHELP ainsi qu’à l’équipe responsable de la protection de la vie privée), et sont mis à la disposition de l’autorité de contrôle compétente sur demande ;

• k) les mécanismes mis en place pour communiquer et consigner les modifications apportées aux règles et pour communiquer ces modifications à l’autorité de contrôle sont précisés à l’article 14 des BCR ;

• l) le mécanisme de coopération avec l’autorité de contrôle mis en place pour assurer le respect des règles par toutes les entités du groupe d’entreprises est décrit à l’article 12.4 des BCR. L’obligation de mise à disposition de l’autorité de contrôle des résultats des contrôles des mesures visés au point j) ci-dessus est spécifiée à l’article 13 des BCR ;

• m) les mécanismes permettant de communiquer à l’autorité de contrôle compétente toutes les obligations juridiques auxquelles une entité du groupe d’entreprises est soumise dans un pays tiers qui sont susceptibles d’avoir un effet négatif important sur les garanties fournies par les règles d’entreprise contraignantes sont décrits à l’article 12.3 des BCR ;

• n) enfin, l’article 10 et l’annexe 4 des BCR prévoient une formation appropriée en matière de protection des données pour le personnel ayant un accès permanent ou régulier aux données à caractère personnel.

Le CEPD a rendu l’avis n°02/2022 en date 7 février 2022, conformément à l’article 64-1-f du RGPD. La Commission a tenu compte de cet avis.

Décide :

Les règles d’entreprises contraignantes « responsable du traitement » présentées par le groupe WEBHELP, en ce qu’elles fournissent des garanties appropriées pour le transfert de données à caractère personnel conformément aux articles 46-1, 46-2-b, 47-1 et 47-2 du RGPD, sont approuvées.

Toutefois, avant de mettre en application ces BCR, il incombe à l’exportateur de données situé dans un Etat membre, le cas échéant en collaboration avec l’importateur de données, d’apprécier si le niveau de protection requis par le droit de l’EEE est respecté dans le pays tiers de destination, y compris dans les situations de transferts ultérieurs. Cette évaluation doit être effectuée afin de déterminer si les garanties établies par les BCR peuvent être respectées dans la pratique, compte tenu des circonstances du transfert et des conflits qui peuvent exister entre les exigences du droit du pays tiers et les droits fondamentaux. Si tel n’est pas le cas, l’exportateur de données situé dans un Etat membre, le cas échéant en collaboration avec l’importateur de données, doit évaluer s’il peut prévoir des mesures supplémentaires pour assurer un niveau de protection substantiellement équivalent à celui garanti au sein de l’EEE.

Dans le cas où l’exportateur de données établi dans un Etat membre n’est pas en mesure de prendre des mesures supplémentaires suffisantes pour assurer un niveau de protection substantiellement équivalent à celui garanti dans l’Union, il ne peut y avoir de transfert de données à caractère personnel vers le pays tiers en vertu des BCR. Par conséquent, l’exportateur de données est tenu de renoncer, de suspendre ou de mettre fin au transfert de données à caractère personnel.

La mise en œuvre des BCR approuvées ne nécessite pas d’autorisation supplémentaire spécifique de la part des autorités européennes de protection des données concernées.

Conformément à l’article 58-2-j du RGPD, chaque autorité de protection des données concernée dispose du pouvoir d’ordonner la suspension des flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale dans le cas où les garanties appropriées prévues par les BCR « responsable du traitement » du groupe WEBHELP ne seraient pas respectées.

La Présidente

Marie-Laure DENIS

ANNEXE AU PROJET DE DECISION

Les BCR « responsable du traitement » du groupe WEBHELP qui sont approuvées par la présente décision couvrent le champ d’application suivant :

A. Champ d’application. Ces BCR « responsable du traitement » s’appliquent lorsqu’une entité du groupe juridiquement liée par les BCR et ayant mis en œuvre les engagements pris au titre des BCR, agit en tant que responsable du traitement, de même que lorsqu’une entité agit en tant que sous-traitant pour le compte du groupe WEBHELP, ainsi qualifié de sous-traitant interne (article 2.1 des BCR).

B. Etats membres de l’Union économique européenne depuis lesquels les transferts sont effectués : Italie, République Tchèque, Allemagne, France, Autriche, Pologne, Roumanie, Portugal, Belgique, Grèce, Espagne, Pays-Bas, Suède, Lettonie, Estonie, Danemark, Norvège, Finlande, Luxembourg (annexe 1 des BCR).

C. Pays tiers vers lesquels les transferts sont effectués : les transferts de données à caractère personnel se font vers les entités du groupe WEBHELP localisées en Algérie, Australie, Canada, Chine, Inde, Côte d’Ivoire, Japon, Jordanie, Kosovo, Madagascar, Malaisie, Maroc, Mexique, Philippines, Porto Rico, Sénégal, Singapour, Afrique du Sud, Suriname, Turquie, Royaume-Uni (annexe 1 des BCR).

D. Les finalités des transferts : les finalités sont détaillées en annexe 11-A des BCR. Elles comprennent notamment les finalités suivantes :

• Activités de traitement liées aux ressources humaines (ex : gestion du recrutement et des rémunérations, gestion des données des employés) ;
• Vie et services de l’entreprise (ex : gestion de l‘informatique, sécurité de l’information interne) ;
• Juridique et conformité (ex : prévention et détection des fraudes, gestion des procédures d’alertes) ;
• Opérations et marketing (ex : gestion des clients et prospects, gestion des campagnes de prospection) ;
• Relations avec les partenaires et fournisseurs (ex : gestion des fournisseurs et gestion des contrats).

E. Catégories de personnes concernées : les catégories sont détaillées, par finalité, dans l’annexe 11-A des BCR. Elles comprennent les :

• candidats ;
• employés et administrateurs ;
• parents déclarés des employés ;
• visiteurs dans les locaux ;
• clients, prospects et partenaires commerciaux ;
• avocats ;
• fournisseurs et employés des fournisseurs.

F. Catégories de données à caractère personnel transférées : les catégories sont détaillées par finalités et par catégories de personnes concernées dans l’annexe 11-A des BCR.