Avec ou sans accord, à partir du 30 mars 2019, le Royaume-Uni deviendra un pays tiers à l’Union européenne. Sans accord, certaines restrictions, voire interdictions, seront de mise dans le cadre des échanges de données entre les pays membres de l’Union européenne et le Royaume-Uni. Comment les entreprises doivent-elles se préparer à l’éventualité d’un Brexit sans accord ? Quelles seront les conséquences pour les transferts de données personnelles ? La CNIL aide les entreprises à se préparer.
Transférez-vous des données personnelles entre l’Union européenne et le Royaume-Uni ? Votre entreprise a-t-elle des données hébergées au Royaume-Uni ? Faites-vous appel à des sous-traitants (gestion RH, gestion des fichiers clients, etc.) qui stockent ou traitent des données au Royaume-Uni ? Si vous répondez oui à ces questions, cet article est fait pour vous.
Aujourd’hui, 75% des données sortant du Royaume-Uni transitent vers l’Europe. Et tous les secteurs d’activité sont concernés, que ce soit la finance, l’énergie ou encore l’industrie pharmaceutique. D’après le journal The Guardian, les entreprises de l’UE qui dépendent des accords de partage de données ont rapporté 36 milliards d’euros au Royaume-Uni en 2016.
Que se passe-t-il à compter du 30 mars 2019 ?
Suite au référendum sur le Brexit de juin 2016, et à la procédure enclenchée au niveau européen, le retrait du Royaume-Uni de l’Union européenne doit avoir lieu le 29 mars 2019 à minuit. Si les deux parties ne trouvent pas un accord, à compter du 30 mars, les flux de données personnelles seront considérés comme un transfert de données hors de l’UE et de l’Espace Economique Européen (EEE).
La législation européenne est claire sur ce sujet. Tout pays situé en dehors de l’EEE est soumis à des dispositions particulières en matière de transfert de données personnelles et à la mise en place de garanties supplémentaires.
Assurer un niveau de protection adéquat
En cas de Brexit sans accord (no deal Brexit), les responsables du traitement et les sous-traitants dans l’Union devront donc assurer un niveau de protection suffisant et approprié pour tout transfert de données vers le Royaume-Uni, avec la mise en place d’outils permettant l’encadrement de ces transferts, conformément au RGPD (Règlement européen de protection des données). « Au 30 mars, le Royaume-Uni ne sera pas considéré comme un pays assurant un niveau de protection adéquat sur la base d’une décision d’adéquation prise par la Commission européenne », a indiqué la CNIL.
Qui sera concerné en cas de Brexit sans accord ?
Le réponse de la CNIL est simple : vous êtes concerné si vous transférez des données personnelles vers un responsable du traitement ou un sous-traitant au Royaume-Uni et que ce flux de données se poursuit au-delà du 29 mars. Si à l’issue des négociations, le no-deal Brexit
Quels outils pour encadrer les transferts de données ?
Il existe un certain nombre d’outils pour encadrer le transfert de données personnelles vers le Royaume-Uni en cas de Brexit sans accord. Le RGPD complète la gamme des outils afin de répondre aux différentes situations rencontrées par les responsables de traitement de données et leurs sous-traitants.
- Les clauses contractuelles types sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne, qui permettent d’encadrer les transferts de données entre deux responsables du traitement ou entre un responsable du traitement et un sous-traitant. Ces clauses ont pour but de faciliter la tâche des responsables de traitement dans la mise en œuvre de contrats de transferts puisqu’il s’agit d’un outil pouvant être considéré comme « prêt à l’emploi » et mis en place rapidement.
- Les clauses contractuelles dites « ad-hoc » sont des contrats de transferts de données personnelles qui permettent d’encadrer les transferts de données dans des situations spécifiques, comme par exemple lorsque les clauses contractuelles types ne sont pas applicables au nécessitent d’être modifiées. Ces clauses contractuelles ad-hoc doivent cependant être préalablement autorisées par la CNIL, après avis du Comité européen de la protection des données.
- Les règles contraignantes d’entreprises désignent une politique de protection des données intra-groupe en matière de transfert des données personnelles hors de l’Union européenne. Elles sont juridiquement contraignantes et respectées par les entités signataires du groupe, quel que soit leur pays d’implantation, ainsi que par tous leurs salariés d’une même entreprise ou d’un même groupe.
- Les codes de conduites et les mécanismes de certifications pourraient également constituer des outils de transfert appropriés, à condition qu’ils comportent l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées. Ces outils doivent être préalablement autorisés par la CNIL, après avis du Comité européen de la protection des données. Il s’agit de nouveaux outils introduits par le RGPD sur lesquels des lignes directrices et recommandations sont en cours de préparation au sein du Comité européen de la protection des données.
