Le transfert de données personnelles vers le Royaume Uni en cas de Brexit sans accord

Le transfert de données personnelles vers le Royaume Uni en cas de Brexit sans accord ©AFP

Le transfert de données personnelles vers le Royaume Uni en cas de Brexit sans accord ©AFP

En cas de Brexit sans accord (« no-deal Brexit »), le Royaume-Uni deviendra, à compter du 30 mars 2019, un pays tiers à l’Union européenne. Conséquence majeure : tout transfert de données personnelles depuis l’UE vers le Royaume-Uni entrera dans le champ du chapitre 5 du RGPD :

« Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales ». 

Dans cette éventualité, responsables de traitement et sous-traitants doivent mettre en place des mesures permettant d’encadrer les transferts concernés afin d’assurer un niveau de protection suffisant et approprié. En d’autres termes, au 30 mars 2019, il conviendra d’identifier les transferts de données vers le Royaume-Uni et de déterminer l’outil le plus approprié pour les encadrer.

Selon les dispositions du RGPD, ces transferts devront être encadrés par l’un des mécanismes suivants :

  • Les Clauses contractuelles spécifiques, qui s’appliquent lorsque les clauses contractuelles types ne peuvent être appliquées et qui doivent être autorisées par la CNIL ;

  • Les Règles contraignantes d’entreprise (BCR), qui sont des règles élaborées par les entreprises structurées sous forme de grands groupes et qui portent sur les transferts de données personnelles qui sont réalisés au sein de ces entités du groupe et en dehors de l’Union européenne. Elles doivent être obligatoires pour l'ensemble des entités et employés du groupe quel que soit son pays d’implantation ;

  • Les codes de conduite, qui traduisent une application concrète de la réglementation sur la protection des données à un secteur d’activité donné et se composent de bonnes pratiques ; et

  • Les mécanismes de certification, qui, par le recours à un organisme de certification externe, permettent d’assurer que les processus de transfert concernés sont en conformité avec les exigences requises.

L’article 49 du RGPD prévoit cependant plusieurs cas dérogeant à ces mécanismes, qui ne peuvent être utilisés que sous certaines conditions d’interprétation strictes.

Quant au gouvernement britannique, il annonce que dans le sens inverse, les données personnelles pourraient librement circuler ver l’UE. Seul bémol : ces transferts devront être conformes aux dispositions du RGPD !

L’horizon d’un éventuel Brexit sans accord n’est donc pas sans ajouter certaines difficultés, dans un contexte jeune et incertain. D’autant que de très nombreux transferts sont concernés et obligent les responsables de traitements et sous-traitants à reprendre et modifier leurs cartographies et registres toujours en cours de consolidation.

(Source : CNIL)