Brexit

Depuis le 1er février 2020, le Royaume-Uni est devenu un « pays tiers » toutefois, l’accord de retrait prévoit une période transition prenant fin le 31 décembre 2020. Durant cette période, le RGPD et l’ensemble des règles de droit européen continuent à s’appliquer au Royaume-Uni.


Si aucune décision d’adéquation (GDPR, art.45)  du Royaume-Uni n’est adoptée par la Commission Européenne avant le 1er janvier 2021, les responsables du traitement et les sous-traitants dans l’Union devront alors assurer un niveau de protection suffisant et approprié pour tout transfert de données vers le Royaume-Uni. Un des outils permettant l’encadrement de ces transferts devra être mis en place :

  • Les clauses contractuelles types et clauses contractuelles spécifiques « ad hoc » ;
  • Les règles d’entreprises contraignantes (BCR) ;
  • Codes de conduites et les mécanismes de certifications ;
  • Dérogations telles que prévues par l’article 49 du RGPD.

Le Comité européen sur la protection des données (CEPD) a adopté une note informative relative aux mécanismes de transferts disponibles sous le RGPD pour le transfert de données à caractère personnel vers le Royaume-Uni en cas de Brexit sans accord.

Comment me préparer avant la fin de la période de transition ?

Nous vous conseillons de suivre les démarches suivantes :

  1. Identifier les activités de traitement qui impliquent un transfert de données à caractère personnel vers le Royaume-Uni.
  2. Déterminer l’outil de transfert le plus approprié à mettre en place pour vos activités de traitement (voir question suivante).
  3. Procéder à la mise en place de l’outil de transfert choisi pour que celui-ci soit applicable et effectif au 1er janvier 2021.
  4. Mentionner dans votre documentation interne que des transferts vers le Royaume-Uni seront effectués.
  5. Mettre à jour votre déclaration de confidentialité afin d’y mentionner le transfert des données vers le Royaume-Uni.