Brexit et transferts de données dans le cadre du RGPD

Brexit et transferts de donnéesL’Union européenne a accordé au Royaume-Uni un report du Brexit jusqu’au 12 avril. A l’issue de cette date, deux options se présenteront :

  • soit les députés anglais votent l’accord et le Brexit sera reporté au 22 mai,
  • soit ils le rejettent et le divorce entre le Royaume-Uni et l’Europe devrait être officiellement prononcé le 12 avril.

Dans un communiqué publié le 25 mars, intitulé « La Commission européenne a achevé aujourd’hui ses préparatifs en vue d’un Brexit sans accord », celle-ci a indiqué qu’il était de « plus en plus probable que le Royaume-Uni quitte l’Union européenne sans accord le 12 avril » .

Brexit et transferts de données : quel sera le nouveau cadre ?

Le Brexit emportera son lot de conséquences juridiques. Les règlements européens, en ce compris le RGPD, ne s’appliqueront plus au Royaume-Uni :

  • Du point de vue d’une entreprise européenne effectuant des transferts de données vers le Royaume-Uni, quel sera l’impact du Brexit ?
  • Sur quel instrument fonder les transferts de données vers le Royaume-Uni ?
  • Quid des transferts réalisés par les organismes publics ?

La pratique actuelle, qui permet aujourd’hui aux données à caractère personnel de circuler librement du Royaume-Uni vers l’Union européenne, pourrait ne pas être maintenue dans l’éventualité d’un Brexit sans accord.

Eléonore Colson, Lexing Belgique, fait le tour des différents fondements et garanties prévus par le RGPD dans un article intitulé «  [13 avril] 2019 : (Br)exit la protection des données personnelles ? », publié sur Lexing Belgique, le 18 mars 2019.

Brexit et transferts de données : comment s’organiser ?

Dans une note d’information du 12 février 2019, le Comité Européen de la Protection des Données (CEPD) apporte quelques explications sur la question.

En l’absence d’un accord entre l’Union européenne et le Royaume-Uni (no-deal Brexit), ce dernier deviendra un pays tiers.

Cela signifie que le transfert de données à caractère personnel vers le Royaume-Uni devra désormais reposer sur l’un des instruments suivants :

  • Clauses standard ou ad hoc de protection des données ;
  • Règles d’entreprise contraignantes ;
  • Codes de conduite et mécanismes de certification ;
  • Dérogations.

Pour se préparer à un Brexit sans accord, le CEPD recommande aux entreprises de suivre les 5 étapes suivantes :

  • Identifier les activités de traitement qui impliqueront un transfert de données personnelles vers le Royaume-Uni ;
  • Déterminer l’instrument de transfert de données approprié à sa situation ;
  • Mettre en œuvre l’instrument de transfert de données choisi pour qu’il soit prêt d’ici fin mai ;
  • Indiquer dans sa documentation interne que les transferts seront effectués au Royaume-Uni.
  • Mettre à jour sa déclaration de confidentialité en conséquence pour informer les personnes.

Le CEPD donne la liste des de clauses standard de protection des données disponibles et rappelle les conditions à remplir pour appliquer les règles d’entreprise contraignantes.

S’agissant plus particulièrement des codes de conduite, le CEPD informe que les conditions et procédures harmonisées d’utilisation de ces outils feront prochainement l’objet de lignes directrices afin de tenir compte du RGPD.

Enfin, s’agissant des dérogations visées à l’article 49 du RPDG, le CEPD rappelle qu’elles doivent être interprétées de manière restrictive et concerner principalement les activités de traitement occasionnelles et non répétitives.

Isabelle Pottier
Directeur Études et Publications

image_pdfimage_print