Alors que le processus de sortie du Royaume-Uni de l’Union Européenne a commencé suite au référendum du 23 juin 2016, les négociations sur le Brexit sont toujours en cours et aucun accord n’a pour l’instant été trouvé. Après plusieurs reports, une nouvelle date butoir a été fixée au 31 octobre 2019 pour que le Brexit soit appliqué avec un accord ou non. Pour le moment, la situation reste donc floue et a des effets sur de nombreux secteurs. Parmi ces impacts, les pays européens s’interrogent sur les effets d’une sortie sans accord sur le traitement des données personnelles et l’application du RGPD. Une question qui reste donc encore en suspens mais pour laquelle plusieurs mesures peuvent d’ores-et-déjà être prises.
Comment se préparer à une sortie sans accord ?
Depuis le vote du Brexit il y a plus de trois ans, de nombreuses interrogations restent sans réponses quant aux effets d’une sortie du Royaume-Uni sans accord. Pour ce qui est des établissements concernés par le RGPD, les règles à suivre ne sont pas encore définies. Pour répondre aux interrogations, la CNIL a décidé de donner la marche à suivre dans le cas où vous transférez des données personnelles vers un responsable du traitement ou un sous-traitant présent au Royaume-Uni. Ainsi, si aucun accord n’est trouvé pour le Brexit, la CNIL précise les étapes à suivre :
- “Identifier les activités de traitement constituant un transfert de données personnelles vers le Royaume-Uni.
- Déterminer l’outil de transfert le plus approprié à mettre en place pour ces activités de traitement.
- Procéder à la mise en place de l’outil de transfert choisi pour que celui-ci soit applicable et effectif au moment de la sortie.
- Mettre à jour votre documentation interne afin d’y inscrire les transferts vers le Royaume-Uni à partir de la date de sortie.
- Le cas échéant, mettre à jour l’information aux personnes concernées afin d’indiquer l’existence d’un transfert des données hors de l’UE et de l’EEE s’agissant du Royaume-Uni.”
Quels outils pour encadrer le transfert des données ?
Que ce soit pour une entreprise ou un organisme public, le RGPD impose la mise en place de différents outils pour encadrer ce transfert des données personnelles vers le Royaume-Uni :
- Clauses contractuelles types
- Clauses contractuelles spécifiques dites “ad-hoc”
- Règles contraignantes d’entreprises
- Codes de conduites et mécanismes de certifications
- Instruments juridiques contraignants
- Dérogations pour certaines situations particulières
Quelle que soit la nature de l’organisme concerné, il est nécessaire de prévoir un outil adapté pour encadrer un transfert des données en cas de sortie sans accord.
Brexit : Quel sera le cadre réglementaire ?
Si aucun accord n’est trouvé entre l’Union Européenne et le Royaume-Uni, ce dernier deviendra un pays tiers et les conséquences juridiques pourraient être importantes. En effet, un no-deal Brexit, entraînerait la fin de l’application du RGPD au Royaume-Uni. De ce fait, la liberté de transfert de données personnelles entre le Royaume-Uni et l’Union Européenne pourrait être remise en cause. A l’heure actuelle, aucun cadre réglementaire n’est prévu et pose donc le problème des outils et instruments à mettre en place pour garantir la sécurité des internautes.
La question des transferts de données du Royaume-Uni vers l’UE
Au vu de l’incertitude qui règne autour de la sortie du Royaume-Uni et des conditions de cette éventuelle sortie, il est nécessaire de prendre des mesures de sécurité adaptées concernant le transfert des données vers le Royaume-Uni. Les transferts de données entre les Etats membres de l’UE sont autorisés. Cependant, si aucun accord n’est trouvé et que le Royaume-Uni devient un pays tiers, alors ils seraient par principe interdit. Pour assurer cette possibilité de transfert de données, plusieurs conditions devront être remplies : le Royaume-Uni a la possibilité par exemple de recourir à une décision d’adéquation par la Commission Européenne (article 45 du RGPD). La décision d’adéquation permet de reconnaître un pays comme garantissant un niveau de protection adapté pour les données personnelles.
Si aucun accord n’est trouvé et qu’aucune demande de décision d’adéquation n’a été faite, alors le transfert de données ne pourra pas être réalisé. Cependant, le RGPD prévoit certaines dispositions pour garantir malgré tout ce transfert. En effet, selon l’article 47, il est possible de transférer les données si les garanties mises en place permettent d’assurer la protection des droits des personnes. Autre exemple de dérogation, l’article 49 du RGPD autorise ce transfert lorsque le consentement explicite de la personne concernée est collecté . Quoi qu’il en soit, on distingue deux possibilités à la fin du processus de Brexit : cessation des transferts ou encadrement spécifique pour garantir la sécurité du transfert.
Conserver un niveau de sécurité exigeant
Qu’un accord soit immédiatement trouvé ou non, il est nécessaire de garantir un niveau de sécurité important lors du traitement et du transfert des données personnelles. En vigueur depuis le 25 mai 2018 dans l’ensemble des pays de l’Union Européenne, le RGPD a permis de renforcer la protection des individus. L’autorité britannique de la protection des données personnelles (Information Commissioner’s Office – ICO) rappelle que le Royaume-Uni a mis en place les mesures nécessaires pour respecter le RGPD. Concernant ce niveau de sécurité, l’ICO a indiqué qu’il serait maintenu, même après le Brexit.
Une sortie du Royaume-Uni de l’Union Européenne entraîne de nombreuses questions et inquiétudes sur la protection des données. Néanmoins, une diminution de la protection n’est pas à l’ordre du jour au Royaume-Uni.
Laisser un commentaire
Participez-vous à la discussion?N'hésitez pas à contribuer!