Brexit : quelles conséquences en matière de protection des données personnelles ?

Virginie PERDRIEUX
Virginie PERDRIEUX

Source : note d’information du Comité européen de la protection des données personnelles sur le transfert des données sous le RGPD dans l’éventualité d’un « no-deal Brexit », adoptée le 12 février 2019

 

Le RGPD est un règlement européen directement applicable aux Etats membres de l’Union européenne. L’article 3 du règlement étend son champ d’application au traitement de donnée à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union.

 

Le Brexit, en ce qu’il emportera la sortie du Royaume-Uni de l’Union européenne, aura nécessairement des conséquences sur le régime de protection des données à caractère personnel transférées depuis des Etats membres vers ce pays.

 

La date fatidique du 29 mars 2019 approchant, sans qu’aucun accord n’ait encore été trouvé, le Comité européen de la protection des données personnelles a souhaité préparer les Etats membres dans l’éventualité d’un retrait sec du Royaume-Uni de l’Union Européenne.

 

En effet, dans l’hypothèse d’un « no-deal Brexit », au 30 mars 2019, le Royaume-Uni ne sera pas considéré comme un pays assurant un niveau de protection adéquat sur la base d’une décision d’adéquation prise par la Commission européenne.

 

Conformément aux dispositions d’ores et déjà existantes au sein du RGPD applicables aux pays tiers, les organismes publics et privés dans l’Union européenne transférant des données personnelles vers le Royaume-Uni devront mettre en place, selon le contexte, un ou plusieurs des outils suivants :

 

–  les clauses contractuelles types : modèles de contrats de transfert de données adoptées par la Commission européenne qui permettent d’encadrer ces transferts entre deux responsables de traitement ou entre un responsable de traitement et un sous-traitant ;

 

–  les clauses contractuelles spécifiques dites « ad hoc » : contrats permettant d’encadrer le transfert de données dans des cas très spécifiques, lesquels doivent préalablement être autorisés par la CNIL, après avis du Comité européen de la protection des données ;

 

–  les règles contraignantes d’entreprises ou « binding corporate rules » : politique de protection des données intra-groupe en matière de transferts de données juridiquement contraignante pour toutes les entités signataires du groupe ;

 

–  les codes de conduite et les mécanismes de certification : ces outils devront être préalablement autorisés par a CNIL, après avis du Comité européen de la protection des données.

 

Concernant les données personnelles envoyées depuis le Royaume-Uni vers l’Union européenne, le gouvernement britannique a annoncé que la situation resterait inchangée et que la libre circulation des données vers l’Union européenne serait permise, sans besoin de garantie supplémentaire.

Partager cet article