Les BCR : une adaptation de la loi à la massification des transferts internationaux de données

Toute société désireuse d’exporter des données à caractère personnel (DCP) en dehors de l’UE, vers des pays ne bénéficiant pas d’un statut de type « pays adéquat » (tel l’Argentine ou le Canada), doit s’équiper d’outils juridiques à même de garantir un niveau satisfaisant de protection aux données transférées. Comprendre l’aspect novateur des BCR passe par une revue des outils juridiques existants avant leur création.

L’adhésion aux principes du Safe Harbor

Négociés en 2001 par la Commission Européenne et le Département du Commerce Américain, ils autorisent les entreprises européennes à transférer des données personnelles aux seules sociétés établies aux États-Unis et ayant adhéré à ces principes. Le champ d’application de ce régime reste tout de même limité.

La mise en place de clauses contractuelles types

Les autorités européennes de régulation ont, depuis 2010, rédigé des clauses contractuelles génériques. Cela a permis aux responsables de traitement du monde entier de s’échanger des données à caractère personnel en restant conforme à la législation européenne sans avoir à rédiger un texte sur mesure à chaque transfert comme c’était le cas auparavant. Toutefois, chaque transfert nécessitant la signature d’une de ces clauses, le processus peut rapidement devenir indigeste d’un point de vue administratif.

Si ces outils existent toujours, les BCR apportent une réponse globale aux problématiques de massification de transfert des données à caractère personnel au sein des multinationales. Désormais, un seul instrument juridique permet d’encadrer l’ensemble des transferts réalisés dans n’importe quel pays : leurs périmètres d’application, qu’ils soient géographiques ou matériels, sont extensibles à l’infini.

L’intérêt des BCR : un outil sur mesure pour les multinationales

Jusqu’à fin 2012, les BCR s’adressaient uniquement aux multinationales exportant entre leurs entités propres, un volume conséquent de DCP de différentes natures vers des pays tiers n’assurant pas un niveau de protection « adéquat ». Les BCR ne prenaient alors pas en compte le phénomène d’externalisation. Des BCR sous-traitants ont donc été mises en place le 1^er janvier 2013. La sphère de sécurité de transfert des DCP s’étend désormais  à l’ensemble de l’écosystème, partenaires commerciaux inclus, des multinationales.

Le véritable enjeu des BCR : la mise en place d’une gouvernance dédiée

Les conditions semblent donc réunies pour les BCR permettent aux multinationales de conjuguer conformité et simplicité. Le véritable enjeu pour toute entreprise désireuse de se lancer dans la rédaction et la mise en place de BCR réside, en définitive, dans la gouvernance à mettre en place.

En effet, la mise en application de ces BCR nécessite la mise en place d’un réseau de responsables à la protection des données qualifiés. L’objectif de cette gouvernance dédiée est double : elle permet de veiller au respect des règles internes et gérer les plaintes concernant le traitement des DCP.

La difficulté de mettre en place un tel réseau est proportionnelle à la taille du périmètre défini en amont. Toutefois, dans la plupart des cas, la création d’un réseau dédié ex-nihilo ne semble pas a priori à privilégier. Il serait coûteux à mettre en place, difficile à animer et ne jouirait pas d’une visibilité immédiate. Aussi, s’appuyer sur un réseau de correspondants existant semble être, a contrario, plus approprié. Outre la pertinence des compétences mobilisables (SSI, juridique, compliance, RH…), le degré de maturité des réseaux en question semble être la clé pour faciliter l’adhésion et la mise en œuvre des mesures de conformité.

Les BCR réussissent donc bel et bien à conjuguer la simplification du traitement massif des données à caractère personnel avec efficacité de leur protection. De cette façon, elles illustrent le souci des autorités de régulation à faire preuve de pragmatisme dans l’application de la loi.

On ne doit toutefois pas perdre de vue que la formalisation de ces règles n’est bien qu’une première étape et pousse les multinationales à aller plus loin dans la réflexion autour de la protection des transferts de données à caractère personnel.

Cet article Les Binding Corporate Rules (BCR) font-elles rimer conformité avec simplicité ? est apparu en premier sur RiskInsight.

La captive d’assurance, un outil bien implémenté en France

Une captive est un montage juridique et financier orchestré par une société industrielle ou commerciale voulant se doter de sa propre compagnie d’assurance, sans que cela ne relève de son activité principale. La captive facture, tout comme un assureur classique, des primes à la maison mère et couvre en contrepartie leurs sinistres. Le concept de captives est attribué à Frederic Reiss. Ingénieur en protection contre le feu, il accompagnait dans les années 50 une entreprise cherchant à assurer les mines dont la production était exclusivement réservée à ses usines aux Etats-Unis. Parce qu’elles étaient appelées captive mines (captive signifiant prisonnier en anglais), Reiss a réutilisé cet attribut pour baptiser la compagnie d’assurance en question. Depuis, le terme a été généralisé.

Si l’assureur reste l’acteur principal du financement du risque, un grand nombre d’entreprises se tournent vers cette solution. Accor, Danone, Total, Carrefour, Alstom et bien d’autres ont succombé à la tendance ! En 2010, on comptait 5200 captives, contre 1000 en 1982.

La captive d’assurance,  un outil traditionnellement aux mains du directeur financier

Le directeur financier a rapidement vu en la captive d’assurance une source de revenus supplémentaires, et ce à plusieurs égards.

En accédant directement au marché de la réassurance, l’entreprise optimise sa gestion des coûts. Moins vulnérable aux fluctuations du marché, elle peut faire rapidement varier la voilure de sa captive en fonction de la dynamique du marché et donc de ses intérêts. Le mécanisme lui permet également, dans une moindre mesure, d’économiser les frais d’intermédiation.

Elle permet parallèlement à l’entreprise d’améliorer sa rentabilité : via le mécanisme de consolidation, sa comptabilité bénéficie des résultats financiers de la captive. En outre, les profits et les fonds accumulés par la captive peuvent aisément bénéficier à la maison mère : indemnisation des sinistres, distribution de dividendes, liquidation ou vente de la captive.

Souvent la vision du directeur financier a été privilégiée, en témoigne la domiciliation de la plupart des captives qui relève clairement de l’optimisation fiscale : plus de 30% d’entre elles sont domiciliées aux Bermudes.

La captive d’assurance, un outil désormais au cœur de la gestion des risques

Entrée en vigueur en janvier 2013, la règlementation Solvabilité 2  a pour objectif affiché de garantir les intérêts des assurés face aux assureurs. L’assuré et l’assureur se confondant dans le cas des captives, il n’était pas évident que la réglementation s’applique à elles. Elle n’est pourtant pas dénuée d’effet : comme le montre Laure Léger, elle participe à une augmentation générale des coûts des captives via l’augmentation de l’exigence de capital (pilier 1) et la hausse des coûts de gestion (pilier 2). Enfin, au nom de la transparence (pilier 3), la directive oblige les captives à communiquer des informations jusqu’à présent classifiées comme confidentielles.

Face à ces nouvelles contraintes le directeur financier verra en Solvabilité 2 une incitation supplémentaire à domicilier sa captive dans un pays à fiscalité privilégiée et le risk manager une opportunité pour sortir son épingle du jeu et se réapproprier le concept de captive !

On l’oublie souvent mais la mise en place d’une captive a pour objectif initial de répondre à des problématiques de risk management en couvrant les risques non pris en charge par le marché des assurances. Aussi, les risques dits non assurables trouvent enfin leurs assureurs. Si « catastrophe naturelle » sont souvent les seuls et uniques mots qui nous viennent à l’esprit lorsqu’on veut accoler l’adjectif « non assurable » à un risque, leur nombre est susceptible d’augmenter et ce pour deux raisons. Tout d’abord parce que de nouveaux risques, à l’image de la cybercriminalité, apparaissent et ne sont pas, aujourd’hui encore, couverts de façon satisfaisante par les acteurs traditionnels du marché. Ensuite parce que les assureurs, du fait de la hausse du coût du capital induite par Solvabilité 2, risquent de cesser de couvrir certains dommages qui ne seraient plus aussi rentables et participeraient indirectement à agrandir le champ d’action d’un de leurs concurrents, la captive !

Solvabilité 2 participe certes, on l’a vu, à une augmentation du coût du capital d’une captive mais incite également et indirectement les entreprises à améliorer l’amortissement d’un tel investissement. Pour ce faire, elles n’ont pas d’autres choix que de renforcer leurs stratégies de contrôles des risques. Elles doivent parallèlement optimiser leurs programmes d’assurances. Pour ce faire, elles disposent de deux leviers : une meilleure gestion des rétentions qu’elle doit financer (part du risque à la charge de l’assuré) et la création des polices d’assurance adaptées à ses besoins et à ses contraintes financières également.

En définitive, deux vents contraires semblent jouer en faveur des captives d’assurance. En effet, si le contexte réglementaire actuel semble être défavorable aux captives, il participe également à leur légitimation : elles doivent faire face aux mêmes contraintes que leur grand frère, l’assureur traditionnel. Dans le même temps, la frilosité des assureurs à prendre en charge les nouveaux risques poussent les entreprises à mettre en place leurs assurances home made. Au regard du contexte actuel, il est donc de la responsabilité du risk manager de s’associer avec son confrère, le directeur financier, afin de donner les moyens à sa captive de jouer pleinement et simultanément sur le volet fiscalité mais aussi sur celui de la gestion de crise. De cette façon, il gagnera en efficacité mais aussi en visibilité au sein de la direction générale.

Cet article La captive d’assurance : un nouvel outil au service du risk manager est apparu en premier sur RiskInsight.