actualisé suite au RGPD

Impact du Brexit sur le transfert de données à caractère personnel

Depuis le 1er février 2020, le Royaume-Unis est devenu un « pays tiers » toutefois, l’accord de retrait prévoit une période transition prenant fin le 31 décembre 2020, durant cette période, le RGPD et l’ensemble des règles de droit européen continuent à s’appliquer au Royaume-Uni.

Si aucune décision d’adéquation (GDPR, art.45) du Royaume-Unis n’est adoptée par la Commission Européenne avant le 1er janvier 2021, les responsables du traitement et les sous-traitants dans l’Union devront alors assurer un niveau de protection suffisant et approprié pour tout transfert de données vers le Royaume-Uni. Un des outils permettant l’encadrement de ces transferts devra être mis en place :

Le Comité européen sur la protection des données (CEPD) a adopté une note informative relative aux mécanismes de transferts disponibles sous le RGPD pour le transfert de données à caractère personnel vers le Royaume-Uni en cas de Brexit sans accord.

Comment me préparer avant la fin de la période de transition  ?

Nous vous conseillons de suivre les démarches suivantes :

  1. Identifier les activités de traitement qui impliquent un transfert de données à caractère personnel vers le Royaume-Uni.
  2. Déterminer l’outil de transfert le plus approprié à mettre en place pour vos activités de traitement (voir question suivante).
  3. Procéder à la mise en place de l’outil de transfert choisi pour que celui-ci soit applicable et effectif au 1er février 2020.
  4. Mentionner dans votre documentation interne que des transferts vers le Royaume-Uni seront effectués.
  5. Mettre à jour votre déclaration de confidentialité afin d’y mentionner le transfert des données vers le Royaume-Uni.