Dernière information : La CNIL à indiqué le 31 janvier 2020 : “en application de l’accord de retrait, les dispositions du Règlement Général sur la Protection des Données continueront d’être applicables au Royaume-Uni jusqu’au 31 décembre 2020”. Donc jusqu’à cette date, aucune formalité additionnelle n’est donc requise pour les organismes établis en France ou au Royaume-Uni.
Même repoussée, la procédure de retrait du Royaume-Uni de l’Union Européenne est d’actualité et signifie qu’au 30 mars 2019 ou plus tard (si report), le Royaume-Uni deviendra un pays tiers.
Du fait de l’absence d’accord avec l’UE pour un retrait dit « ordonné », les flux de données personnelles seront alors considérés comme un transfert de données hors de l’Union européenne (UE) au sens des articles 44 et suivants du RGPD.
La principale conséquence pour les responsables du traitement des données et les sous-traitants dans l’Union est qu’ils devront donc assurer un niveau de protection suffisant et approprié pour tout transfert de données vers le Royaume-Uni. Cela sous-entant une mise en place d’outils permettant l’encadrement de ces transferts conformément au RGPD car le Royaume-Uni ne sera pas considéré comme un pays assurant un niveau de protection adéquat sur la base d’une décision d’adéquation prise par la Commission européenne.
Pour les données personnelles envoyées depuis le Royaume-Uni vers l’Union Européenne, le gouvernement britannique a annoncé que la situation resterait inchangée et que la libre circulation des données vers l’UE serait permise sans besoin de garantie supplémentaire.
Qui est concerné ?
Théoriquement, le RGPD s’applique à toute entreprise ou ses sous-traitants qui traitent des données personnelles pour son compte ou non, dès lors qu’elle est établie sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens. C’est donc le cas de la plupart des entreprises françaises, PME et TPE qui utilisent un site internet et des comptes sociaux pour communiquer et elles sont concernés par cette éventualité si elles transfèrent des données personnelles vers un responsable du traitement ou un sous-traitant au Royaume-Uni.
En conséquence, si vous transférez des données personnelles au Royaume-Uni, vous devrez donc, pour garantir la conformité de vos traitements :
- Identifier les activités de traitement constituant un transfert de données personnelles vers le Royaume-Uni.
- Déterminer et procéder à la mise en place de l’outil de transfert choisi
- Mettre à jour votre documentation interne afin d’y inscrire les transferts vers le Royaume-Uni
Et en cas de Brexit sans accord, les outils suivants pourront permettre d’encadrer les transferts de données personnelles vers le Royaume-Uni de façon appropriée :
Les clauses contractuelles types sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne, qui permettent d’encadrer les transferts de données entre deux responsables du traitement ou entre un responsable du traitement et un sous-traitant.
Les clauses contractuelles spécifiques dites « ad-hoc » sont des contrats de transferts de données personnelles qui permettent d’encadrer les transferts de données dans des situations spécifiques, comme par exemple lorsque les clauses contractuelles types ne sont pas applicables ou nécessitent d’être modifiées.
Les règles contraignantes d’entreprises (ou binding corporate rules – BCR) désignent une politique de protection des données intra-groupe en matière de transferts de données personnelles hors de l’Union européenne.
Les codes de conduites et les mécanismes de certifications pourraient également constituer des outils de transfert appropriés, à condition qu’ils comportent l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.
Toute l’information sur :
https://www.cnil.fr/fr/se-preparer-un-brexit-sans-accord-quelles-questions-quels-conseils-de-la-cnil