Dans le cadre du RGPD / GDPR, il s’agit de règles, appliquées à l’ensemble d’un groupe, pour tout transfert de données à caractère personnel en-dehors de l’Union Européenne. Les BCE sont lourdes à mettre en œuvre mais permettent à une entreprise de réaliser une démarche pour tout son offshoring.
Elles concernent par exemple une multinationale qui réalise ses développements dans une de ses filiales implantées dans un pays comme l’Inde. Afin de valider les développements, des données personnelles "en clair", c'est à dire non anonymisées ou pseudonymisées, doivent être transférées hors UE pour être utilisées dans la filiale.
La société doit établir une "sphère de protection" des données qui se retrouvent donc hors UE. Elle doit mettre en place les procédures liées à ces règles afin de garantir leur transfert et utilisation à l'étranger en toute sécurité. Il faut aussi former le personnel concerné, auditer, comme pour une filiale intra-UE. Les BCR, véritable outil attestant de la conformité au RGPD, constituent la synthèse de ce travail effectué.
La validation des BCR est donc l’aboutissement d’un processus défini par la CNIL.
L’obtention finale des autorisations des transferts de données est un long parcours, en raison de tout ce travail de mise en conformité.
Si cette société est un intégrateur renommé travaillant pour plusieurs clients, les BCR se substituent à autant de contrats ou d’autorisations CNIL qu’il y a de cas d’utilisations des données externes à l’UE.
Il existe deux types de BCR : Responsable de Traitement et Sous-Traitant (pour les problématiques d'externalisation et de Cloud).