Brexit : quel encadrement des transferts de données personnelles vers le Royaume-Uni ?

Brexit : quel encadrement des transferts de données personnelles vers le Royaume-Uni ?

Par Alric HÜRSTEL & A’drill KOUDOU

Le 29 mars 2019 à minuit, le Royaume-Uni sera sorti de la zone de l’Union Européenne. Si aucun accord n’est trouvé d’ici là (hypothèse d’un no-deal), les transferts de données à caractère personnel vers l’Angleterre, l’Ecosse, le Pays de Galles et l’Irlande du Nord seront encadrés selon les règles relatives aux transferts hors UE du RGPD[1].

 

Le 12 février dernier, l’EDPB (European Data Protection Board ou Comité européen de la protection des données, successeur du G29) publiait une note[2] afin d’informer les acteurs concernés de la manière dont ils doivent se préparer à gérer de tels transferts à l’avenir.

1/ En cas de transfert de données personnelles d’un pays membre de l’Union Européenne vers le Royaume-Uni…  

 

Brexit 1Les responsables de traitement et les sous-traitants situés dans l’UE devront assurer un niveau de protection suffisant et approprié pour tout transfert de données personnelles vers le Royaume-Uni. Il faudra dès lors se référer au chapitre V du RGPD relatif aux transferts des données à caractère personnel vers des pays tiers ou des organisations internationales.

Le gouvernement anglais a récemment fait part de son souhait de bénéficier d’une décision d’adéquation dans l’hypothèse de négociations sans issue.

 

En cas de Brexit sans accord, les organismes souhaitant effectuer ou maintenir des transferts de données personnelles vers le Royaume-Uni à compter du 30 mars 2019 devront avoir recours à l’un des instruments suivants :

  • Les Clauses Contractuelles Types: modèles de contrats de transfert de données personnelles adoptés par la Commission européenne permettant   d’encadrer les transferts de données entre deux responsables du traitement ou entre un responsable du traitement et un sous-traitant
  • Les clauses contractuelles spécifiques dites ad hoc : contrats de transferts de données personnelles permettant d’encadrer les transferts de données dans des situations spécifiques[3]
  • Les règles d’entreprise contraignantes (Binding Corporate Rules, BCR) : politique de protection des données intra-groupe en matière de transferts de données personnelles hors UE
  • Les codes de conduites et mécanismes de certifications

 

Dans tous les cas, l’EDPB propose une démarche en 5 étapes :

  • Identifier les activités qui impliquent un transfert de données personnelles vers le Royaume-Uni 
  • Déterminer les instruments appropriés pour encadrer le transfert de telles données
  • Apprêter tous les instruments pour le 30 mars 2019
  • Indiquer dans sa documentation l'existence d'un transfert de données personelles hors UE (registre des activités de traitement, mentions d'informations, etc)
  • Mettre à jour sa politique de protection des données afin d'informer les personnes concernés

 

L’Information Commissioner’s Office (ICO – l’organisme public indépendant britannique créé pour promouvoir l’accès aux informations officielles et protéger les données personnelles) s’inscrit dans la même veine que l’EDPB et indique en 6 étapes – qui se rapprochent fortement de celles préconisées par la Comité européen dans sa note – comment se préparer en cas de no-deal Brexit[4].

  • L’ICO recommande dans un premier temps aux organismes de rester conformes au RGPD même si le Royaume-Uni sort de l’Union Européenne sans accord le 29 mars 2019.
  • Si un DPO a été nommé, il faut qu’il continue de jouer son rôle et d’accomplir ses missions au sein de l’organisme en question car il aura notamment une place importante dans l’élaboration des nouveaux processus d’encadrement des transferts de données. Son rôle de véritable conseiller dans la protection des données à caractère personnel sera pour le responsable de traitement propice à la prise de décisions[5].

2/ En cas de transfert de données personnelles hors du Royaume-Uni

 

Un transfert de données personnelles hors du Royaume-Uni est caractérisé lorsque :

  • Le Data Protection Act 2018 (l’équivalent britannique de la loi Informatique et Libertés) s’applique aux traitements dont les données font l’objet d’un tel transfert
  • Le Data Protection Act 2018 ne s’applique pas à l’entité destinataire des données situées dans un pays membre de l’UE ou un pays tiers
  • L’expéditeur des données et le destinataire sont des organisations distinctes
a) Transfert de données personnelles vers un pays membre de l’UE

Brexit 2

 

Le principe de la libre circulation des données sera toujours applicable. Ceci précisé, les traitements concernés devront respecter les dispositions du RGPD.

 

b) Transfert de données personnelles vers un pays non-membre de l’UE

Copie de Design sans titre

 

A compter du Brexit, les organismes britanniques souhaitant effectuer des transferts de données personnelles hors UK auront trois possibilités :

 

  • Transferts fondés sur une décision d’adéquation

Afin de permettre la continuité des transferts vers les organismes établis dans les pays couverts par une telle décision, le gouvernement britannique a annoncé maintenir la validité – dans un premier temps – des décisions d’adéquation de la Commission européenne.

  • Transfert fondé sur des garanties appropriées

Dans l’hypothèse où l’organisme destinataire de données personnelles transférées du Royaume-Uni est situé dans un pays ne bénéficiant pas d’une décision d’adéquation de la Commission Européenne, l’organisme émettrice devra mettre en œuvre au moins une des garanties appropriées de l’article 46 du RGPD pour effectuer un transfert de données personnelles en toute sécurité (CCT, BCR, codes de conduite, etc.).

L’ICO se montre plus favorable à l’utilisation des Clauses Contractuelles Types, quand l’organisme se trouve dans la possibilité d’en établir. A ce titre, elle met à disposition des organismes concernées un outil leur permettant d’apprécier la nécessité d’établir ou non des clauses contractuelles afin d’encadrer à l’avenir les transferts[6]

  • Transfert basé sur les exceptions du RGPD

Les exceptions prévues par l’article 49 du RGPD pour effectuer des transferts de données personnelles hors UE continueront à s’appliquer. Ainsi, de tels transferts pourront être effectués à l’une des conditions suivantes : 

  • La personne concernée a donné son consentement explicite ;
  • Le transfert est nécessaire pour la conclusion ou l’exécution d’un contrat entre le responsable de traitement et la personne concernée ;
  • Le transfert est nécessaire pour des motifs d’intérêts publics ;
  • Le transfert est nécessaire à la constatation, l’exercice ou la défense de droits en justice ;
  • Le transfert est nécessaire pour la sauvegarde des intérêts vitaux de la personne concernée ou d’autres personnes lorsque la personne concernée se trouve dans l’incapacité de donner son consentement.

Brexit : quel sort pour vos marques européennes ?

Le Cabinet HAAS Avocats expert en droit des marques vous accompagne dans vos démarches afin d’anticiper les conséquences d’un no-deal sur vos transferts de donnés vers le Royaume-Unis, cliquez ici pour en savoir plus. 

 

 

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

[2] https://edpb.europa.eu/sites/edpb/files/files/file1/edpb-2019-02-12-infonote-nodeal-brexit_en.pdf

[3] Par exemple lorsque les clauses contractuelles types ne sont pas applicables ou nécessitent d’être modifiées. Ces clauses contractuelles ad-hoc doivent cependant être préalablement autorisées par la CNIL, après avis du CEPD.

[4] https://ico.org.uk/for-organisations/data-protection-and-brexit/data-protection-if-there-s-no-brexit-deal/the-gdpr/international-data-transfers/

[5] Le RGPD continuera à s’appliquer après le Brexit aux organismes établis au Royaume-Uni si ceux-ci traitent des données à caractère personnel de personnes établies sur le territoire de l’Union européenne

[6] https://ico.org.uk/for-organisations/data-protection-and-brexit/standard-contractual-clauses-for-transfers-from-the-eea-to-the-uk-interactive-tool/y

 

Alric Hürstel

Auteur Alric Hürstel

Suivez-nous sur Linkedin

Catégories

Derniers tweets

Besoin d'une réponse
à vos questions juridiques ?

Demande de devis

Consultation téléphonique