94 LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL - d'éviter de conclure autant de contrats qu'il existe de transferts au sein d'un groupe ; - d'uniformiser les pratiques relatives à la protection des données à caractère personnel au sein d'un groupe ; - de communiquer sur la politique d'entreprise en matière de protection des données à caractère personnel auprès de ses clients, partenaires et salariés et de leur assurer un niveau de protection satisfaisant lors des transferts de leurs données à caractère personnel ; - de placer la protection des données à caractère personnel au rang des préoccupations éthiques du groupe. Il existe deux types de BCR : - les BCR « responsables de traitement » qui permettent d'encadrer les transferts effectués au sein d'un groupe agissant en qualité de responsable de traitement ; - les BCR « sous-traitants » qui permettent de créer une sphère de sécurité pour les transferts effectués lorsque le groupe agit en qualité de soustraitant. - Selon la CNIL, afin d'adopter les BCR, le groupe d'entreprises doit notamment s'engager à mettre en œuvre : - un régime de responsabilité pesant sur le siège ou sur la filiale responsable par délégation de la protection des données à caractère personnel (ou autre régime de responsabilité, sur justification) ; - une procédure de formation du personnel quant aux règles posées par les BCR ; - une procédure d'audit ; - une procédure interne de gestion des plaintes ; - un réseau de responsables de la protection des données à caractère personnel ou d'employés qualifiés pour la gestion des plaintes, la surveillance et le contrôle du respect des règles internes ; - une procédure permettant de déterminer l'opportunité de conduire une analyse d'impact sur la vie privée (AIPD) ; - des mesures techniques et organisationnelles appropriées permettant de respecter les principes de la protection des données à caractère personnel.