Impact du Brexit

Depuis le 31 décembre 2020, un accord de commerce et de coopération (Vous pouvez consulter cet accord ici; cfr. article FINPROV.10 p. 427 – 429) conclu entre l’Union européenne et le Royaume-Uni prévoit que les transferts de données personnelles vers le Royaume-Uni peuvent continuer. Temporairement, le Royaume-Uni ne doit donc pas être considéré comme un "pays-tiers" et les responsables de traitement et sous-traitants ne sont pas dans l’obligation de mettre en place des instruments de transfert comme des règles d’entreprise contraignantes, des clauses contractuelles standards et autres instrument de transfert du chapitre V du RGPD pour exporter des données vers le Royaume-Uni.

Attention :

  • Cette clause cesse de s’appliquer 6 mois après l’entrée en vigueur de l’accord du 31 décembre 2020 ou plus tôt si une décision d’adéquation du Royaume-Uni est prise avant par la Commission européenne.
  • Si, au cours de la période de transition mise en place par l’accord du 31 décembre, le Royaume-Uni modifie le régime de protection des données applicable ou exerce les pouvoirs désignés sans l’accord de l’Union européenne, la période de transition prend fin à la date à laquelle les pouvoirs sont exercés ou la modification entre en vigueur

La seule différence avec la situation existante pendant la période de transition applicable précédemment est que, à partir du 1er janvier 2021, le mécanisme de « guichet unique » cesse de s’appliquer et qu’il n’existe plus de possibilité d’inviter le régulateur britannique de la vie privée (Information Commissioner’s Office) aux réunions du Comité Européen à la Protection des Données (CEPD)

Si aucune décision d’adéquation (GDPR, art.45)  du Royaume-Uni n’est adoptée par la Commission Européenne avant la fin de la période de transition mise en place par l’accord du 31 décembre 2020, les responsables du traitement et les sous-traitants dans l’Union devront alors assurer un niveau de protection suffisant et approprié pour tout transfert de données vers le Royaume-Uni. Un des outils permettant l’encadrement de ces transferts devra être mis en place :

  • Les clauses contractuelles types et clauses contractuelles spécifiques « ad hoc » ;
  • Les règles d’entreprises contraignantes (BCR) ;
  • Codes de conduites et les mécanismes de certifications ;
  • Dérogations telles que prévues par l’article 49 du RGPD.

Le Comité européen sur la protection des données (CEPD) a adopté une note informative relative aux mécanismes de transferts disponibles sous le RGPD pour le transfert de données à caractère personnel vers le Royaume-Uni si le Royaume-Uni venait à être considéré comme un pays-tiers.

Comment me préparer ?

Nous vous conseillons de suivre les démarches suivantes :

  1. Identifier les activités de traitement qui impliquent un transfert de données à caractère personnel vers le Royaume-Uni.
  2. Déterminer l’outil de transfert le plus approprié à mettre en place pour vos activités de traitement (voir question suivante).
  3. Procéder à la mise en place de l’outil de transfert choisi pour que celui-ci soit applicable et effectif avant la fin de la période de transition.
  4. Mentionner dans votre documentation interne que des transferts vers le Royaume-Uni seront effectués.
  5. Mettre à jour votre déclaration de confidentialité afin d’y mentionner le transfert des données vers le Royaume-Uni.

Liens intéressants

Strategy for Union institutions, offices, bodies and agencies to comply with the ‘Schrems II’ Ruling EDPS

Recommendations 02/2020 on the European Essential Guarantees for surveillance measures (EDPB)

Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with EU level of protection (EDPB)