actualisé suite au RGPD

Impact du Brexit sur le transfert de données à caractère personnel

L’impact qu’aura le Brexit dépend du résultat des négociations politiques avant la date officielle du Brexit qui est fixée au 31 janvier 2020. Dans le climat politique actuel, les deux scénarios suivants sont les plus probables: l'accord conclu avec l'Union européenne est ou n'est pas approuvé le 31 janvier 2020. Quelles sont les conséquences d'un Brexit sans accord ?

1. L'accord de retrait négocié entre le Royaume-Unis et l'UE est approuvé avant le 31 janvier 2020

L’accord de retrait négocié entre le Royaume-Unis et l'UE prévoit l’application de la réglementation européenne en matière de protection des données (RGPD, E-Privacy, Directive (EU) 2016/680 etc.) jusqu’au 31 décembre 2020 avec un période d’extension possible de deux ans.


Si à l’issue de cette période, aucune décision d’adéquation du Royaume-Unis n’est adoptée par la Commission Européenne, le Royaume-Unis sera alors considéré comme un pays-tiers

2. L'accord conclu avec l'UE n'est pas approuvé avant le 31 janvier 2020

Aucun accord de retrait entre l’UE et le Royaume-Uni n’est convenu. Le Royaume-Uni sera alors considéré comme un pays tiers dès le 1er février 2020.

3. Implications pour les transferts de données personnelles si le Royaume-Unis devient un pays tiers :

Les responsables du traitement et les sous-traitants dans l’Union devront alors assurer un niveau de protection suffisant et approprié pour tout transfert de données vers le Royaume-Uni. Un des outils permettant l’encadrement de ces transferts devra être mis en place :

Le Comité européen sur la protection des données (CEPD) a adopté une note informative relative aux mécanismes de transferts disponibles sous le RGPD pour le transfert de données à caractère personnel vers le Royaume-Uni en cas de Brexit sans accord.

4. Comment me préparer à ce que le Royaume-Unis devienne un pays-tiers ?

Nous vous conseillons de suivre les démarches suivantes :

  1. Identifier les activités de traitement qui impliquent un transfert de données à caractère personnel vers le Royaume-Uni.
  2. Déterminer l’outil de transfert le plus approprié à mettre en place pour vos activités de traitement (voir question suivante).
  3. Procéder à la mise en place de l’outil de transfert choisi pour que celui-ci soit applicable et effectif au 1er février 2020.
  4. Mentionner dans votre documentation interne que des transferts vers le Royaume-Uni seront effectués.
  5. Mettre à jour votre déclaration de confidentialité afin d’y mentionner le transfert des données vers le Royaume-Uni.