actualisé suite au RGPD

Impact du Brexit sur le transfert de données à caractère personnel

L’impact qu’aura le Brexit dépend du résultat des négociations politiques avant la date officielle du Brexit qui est fixée au 31 janvier 2020. Dans le climat politique actuel, les deux scénarios suivants sont les plus probables: l'accord conclu avec l'Union européenne est ou n'est pas approuvé le 31 janvier 2020. Quelles sont les conséquences d'un Brexit sans accord ?

1. L'accord conclu avec l'UE est approuvé avant le 31 janvier 2020

Dans ce cas, la date de sortie correspond à la date à laquelle un accord a été obtenu.

Qu'en est-il pour les tranferts de données ?

Un accord de sortie est convenu avec une période transitoire de deux ans. Le RGPD restera donc d’application au Royaume-Uni jusqu’à fin 2020. Dans ce cas de figure, rien ne changera durant les 2 années qui suivent le Brexit pour les transferts de données à caractère personnel vers le Royaume-Uni. Néanmoins, nous vous recommandons de vous préparer au scénario du Brexit sans accord en réflechissant d'ores et déjà à la mise en place d'un des outils mentionnés dans la section "2. Brexit sans accord".

2. L'accord conclu avec l'UE n'est pas approuvé avant le 31 janvier 2020

Aucun accord de sortie entre l’UE et le Royaume-Uni (no-deal Brexit) n’est convenu. Le Royaume-Uni sera alors considéré comme un pays tiers dès le 1er février 2020.

Qu'en est-il pour les tranferts de données ?

Les responsables du traitement et les sous-traitants dans l’Union devront alors assurer un niveau de protection suffisant et approprié pour tout transfert de données vers le Royaume-Uni au-delà du 31 janvier 2020. Un des outils permettant l’encadrement de ces transferts devra être mis en place :

Le Comité européen sur la protection des données (CEPD) a adopté une note informative relative aux mécanismes de transferts disponibles sous le RGPD pour le transfert de données à caractère personnel vers le Royaume-Uni en cas de Brexit sans accord.

Comment me préparer à un Brexit sans accord ?

En cas de Brexit sans accord, nous vous conseillons de suivre les démarches suivantes :

1. Identifier les activités de traitement qui impliquent un transfert de données à caractère personnel vers le Royaume-Uni.
2. Déterminer l’outil de transfert le plus approprié à mettre en place pour vos activités de traitement (voir question suivante).
3. Procéder à la mise en place de l’outil de transfert choisi pour que celui-ci soit applicable et effectif au 1er février 2020.
4. Mentionner dans votre documentation interne que des transferts vers le Royaume-Uni seront effectués.
5. Mettre à jour votre déclaration de confidentialité afin d’y mentionner le transfert des données vers le Royaume-Uni.

Qu'en est-il pour les organismes publics ?

En plus des outils de transferts mentionnés ci-dessus, le RGPD prévoit des instruments spécifiques qui peuvent être mis en œuvre par ce type d’organismes pour l’encadrement de leurs transferts de données hors de l’Union européenne (UE) :

  • Des instruments juridiques contraignants entre ces autorités publiques ou organismes publics (telle une convention internationale bilatérale ou multilatérale ).
  • Des dispositions à intégrer dans des arrangements administratifs entre les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées.

Les organismes publics dont les traitements relèvent de la Directive UE 2016/680 « Police – Justice » devront utiliser les outils de transferts prévus par cette Directive.