0,00  (0)
fr

Connectez-vous avec votre adresse e-mail ou votre compte Facebook

OU

Vous n'avez pas encore de compte ?

Inscrivez-vous dès maintenant
> > > Brexit et RGPD : état de la situation

Brexit et RGPD : état de la situation

18 novembre 2019 IP/IT

Par Axel Beelen, Legal Consultant

Le Royaume-Uni a décidé de quitter l’Union européenne. C’est ce que l’on appelle le « Brexit ». La date du départ n’est pas encore connue mais on se dirige plus que probablement vers la fin janvier 2020. L’auteur analyse pour vous les implications du Brexit en matière de protection des données personnelles.

– – –

In 2016, the United Kingdom decided to leave the European Union. That’s what we called the « Brexit ». The exact date of the Brexit is not yet settled but last discussion targeted the end of January 2020. The author clarifies for you what will be the implications of the Brexit for data protection issues.

 

I. INTRODUCTION

Un peu d’histoire moderne tout d’abord. Le « Brexit » est une abréviation de « British Exit », désignant la sortie du Royaume-Uni de l’Union européenne (UE). Le 23 juin 2016, lors d’un référendum organisé par l’ancien Premier ministre David Cameron, 51,9 % des Britanniques ont choisi de quitter l’UE. À la suite du déclenchement de l’article 50 du Traité sur l’Union européenne le 29 mars 2017, le Royaume-Uni et les 27 autres pays membres de l’Union européenne se sont donné deux ans pour préparer la sortie effective du pays.

Le processus aurait dû s’achever le 29 mars 2019, après deux ans de négociations entre le pays et les vingt-sept autres États membres. Les discussions ont été prolongées une première fois au 12 avril 2019, puis au 31 octobre 20191)https://www.consilium.europa.eu/fr/policies/eu-uk-after-referendum/, pour essayer d’éviter une sortie du pays sans accord2)https://www.touteleurope.eu/actualite/qu-est-ce-que-le-brexit.html. Dernièrement, les 27 pays de l’Union européenne ont donné leur feu vert pour accorder un nouveau report « flexible » de la date de sortie du Royaume-Uni jusqu’au 31 janvier 2020. La France, pays le plus réticent à un report long, a donné son accord à cette nouvelle prolongation mais avec des conditions. Le projet sur la table prévoit une date butoir au 31 janvier, mais avec la possibilité que le Royaume-Uni quitte l’UE au 30 novembre 2019 ou au 31 décembre de la même année en cas de ratification de l’accord de sortie avant ces échéances.

II. UNE SORTIE AVEC ACCORD

L’Union européenne et le Premier ministre anglais (Boris Johnson) sont parvenus à un accord concernant la sortie du Royaume-Uni de l’UE le 17 octobre 2019. Cet accord prévoit des modalités en matière de protection des données personnelles.

Dans l’accord, voici ce que l’on trouve pour la privacy :

« Data protection

In view of the importance of data flows and exchanges across the future relationship, the Parties are committed to ensuring a high level of personal data protection to facilitate such flows between them.

The Union’s data protection rules provide for a framework allowing the European Commission to recognise a third country’s data protection standards as providing an adequate level of protection, thereby facilitating transfers of personal data to that third country. On the basis of this framework, the European Commission will start the as- sessments with respect to the United Kingdom as soon as possible after the United Kingdom’s withdrawal, endeavouring to adopt decisions by the end of 2020, if the applicable conditions are met. Noting that the United Kingdom will be establishing its own international transfer regime, the United Kingdom will in the same timeframe take steps to ensure the comparable facilitation of transfers of personal data to the Union, if the applicable conditions are met. The future relationship will not affect the Parties’ autonomy over their respective personal data protection rules.

In this context, the Parties should also make arrangements for appropriate cooperation between regulators. »

En résumé, dès la sortie de l’UE, la Commission européenne va commencer au plus vite les discussions afin que le Royaume-Uni soit reconnu comme un pays ayant un niveau de protection équivalent à celui existant à l’Union européenne afin de conclure avec lui une décision d’adéquation.

III. QUID DES TRAITEMENTS QUI SE PRODUISENT AVANT CETTE DÉCISION D’ADÉQUATION ?

Pour des raisons évidentes, la conclusion d’une décision d’adéquation ira certainement très vite avec le Royaume- Uni. Toutefois, nous ne pouvons prédire le délai (qui dépendra de la bonne volonté des parties).

En attendant, dès la sortie du Royaume-Uni de l’UE avec accord, le Royaume-Uni deviendra, le temps des discussions, un pays tiers au sens du RGPD. Des transferts de données personnelles de citoyens européens vers un pays tiers sont normalement interdits. Sauf dans certaines circonstances. Quid dès lors de la conformité des activités des entreprises anglaises/européennes avec le RGPD de 2016 ?

A. Transfert de données vers l’UE

Il faut savoir que le Royaume-Uni a largement adopté le contenu du RGPD dans ses propres normes de protection des données par le biais de la loi sur la protection des données, entrée en vigueur en 2018. Dès lors, tant que les traitements de données personnelles des entreprises situées au Royaume-Uni sont conformes au RGPD, ils devraient généralement l’être également après le Brexit.

Le gouvernement britannique continuera à permettre la libre circulation des données à caractère personnel du Royaume-Uni vers l’UE. À long terme, le Royaume-Uni envisage de collaborer avec l’UE afin de mettre en place une décision d’adéquation, qui permettra le transfert international entre le Royaume-Uni et l’UE.

B. Transfert des données de l’UE vers le Royaume- Uni

Le transfert des données de l’UE vers le Royaume-Uni deviendra probablement plus complexe.

Le Comité européen de la protection des données (le remplaçant du Working Group 29) a publié le 12 février 2019 un document pour aider les entreprises à garder leurs activités de traitement constituant un transfert de données personnelles vers le Royaume-Uni conformes au RGPD3)Comité européen de la protection des données, “Information note on data transfers under the GDPR in the event of a no-deal Brexit – Adopted on 12 February 2019” disponible sur https://edpb.europa.eu/sites/edpb/files/files/file1/edpb-2019-02-12-infonote-nodeal-brexit_en.pdf. Ce document est à appliquer le temps des discussions menant à la conclusion de la décision d’adéquation entre la Commission européenne et le Royaume-Uni.

Selon la nature des traitements, l’entreprise devra déterminer l’outil de transfert le plus approprié. Nous les rappelons ci-après. Cet outil devra être mis en place pour le jour de sortie du Royaume-Uni. Il s’agit donc de garder un œil sur l’actualité. L’entreprise devra mettre à jour sa documentation et y renseigner les (dorénavant) transferts vers le Royaume-Uni. L’organisation devra finalement aussi mettre à jour l’information qu’elle envoie aux personnes concernées en précisant l’existence d’un transfert des données hors de l’UE et de l’EEE (Espace Economique Européen) pour le cas du Royaume-Uni.

Plusieurs possibilités existent pour permettre le transfert de données européennes vers un pays tiers4)Voir aussi la page web de l’ICO (l’autorité de supervision anglaise) : https://ico.org.uk/for-organisations/data-protection-and-brexit/how-to-transfer-data-from-europe-from-the-eea-to-the-uk-using-standard-contractual-clauses-sccs/.

En effet, l’entreprise aura à choisir entre :

  • les modèles de contrats de transfert de données personnelles adoptés par la Commission européenne. Considérés comme « prêts à l’emploi », ils permettent à un responsable de traitement d’encadrer le transfert des données avec un autre responsable ou un sous-traitant ;
  • des modèles de contrats de transfert des données personnelles répondant à des situations spécifiques. Conformément au RGPD, ces clauses contractuelles ad-hoc doivent cependant être préalablement autorisées par l’autorité de contrôle dont dépend le responsable du traitement, après avis du Comité européen de la protection des données ;
  • écrire des règles d’entreprise contraignantes (ou « bin­ding corporate rules » dit « BCR ») si l’entreprise fait partie d’un groupe de sociétés et qu’existent des transferts vers des autres sociétés du groupe qui se situent au Royaume-Uni. Ce document devra fournir les garanties appropriées à toutes les entités d’un groupe, même en dehors de l’UE ;
  • s’ils existent, des codes de conduites et des mécanismes de certifications, qui devront être préalablement autorisés par l’autorité de contrôle, après avis du Comité européen de la protection des données ;
  • pour les autorités et organismes publics, des instruments juridiques contraignants comme les conventions internationales.

 

Des dérogations peuvent également être appliquées. Toutefois, ces dérogations ne peuvent être utilisées que dans des situations particulières : les responsables de traitement doivent s’efforcer de mettre en place des garanties appropriées et ne doivent recourir à ces exceptions qu’en l’absence de telles garanties.

Rappelons que l’entreprise qui transfère des données personnelles vers le Royaume-Uni doit, outre les points rappelés ci-dessus, aussi respecter l’ensemble des autres dispositions du RGPD (base juridique, principes généraux, etc.).

IV. CONCLUSION

Quel que soit l’outil choisi pour encadrer le transfert de données vers le Royaume-Uni à la date du Brexit, celui-ci doit être mis en place et être effectif au jour du Brexit. Si l’entreprise ne s’y prend pas à temps, le timing risque d’être fort serré.

Axel Beelen

28/10/20195)La situation en matière de Brexit évoluant beaucoup, nous vous conseillons aussi de suivre l’actualité juridique le concernant.

 

Addendum Revue internationale de la propriété intellectuelle et du droit du numérique – PIN CODE

Références   [ + ]

1. https://www.consilium.europa.eu/fr/policies/eu-uk-after-referendum/
2. https://www.touteleurope.eu/actualite/qu-est-ce-que-le-brexit.html
3. Comité européen de la protection des données, “Information note on data transfers under the GDPR in the event of a no-deal Brexit – Adopted on 12 February 2019” disponible sur https://edpb.europa.eu/sites/edpb/files/files/file1/edpb-2019-02-12-infonote-nodeal-brexit_en.pdf
4. Voir aussi la page web de l’ICO (l’autorité de supervision anglaise) : https://ico.org.uk/for-organisations/data-protection-and-brexit/how-to-transfer-data-from-europe-from-the-eea-to-the-uk-using-standard-contractual-clauses-sccs/
5. La situation en matière de Brexit évoluant beaucoup, nous vous conseillons aussi de suivre l’actualité juridique le concernant.

Laisser un commentaire

Vous devez être connecté pour ajouter un commentaire.

contribuer-aux-articles

Découvrez Casteganro TV

Partagez sur les réseaux sociaux

Ajouter un favoris

Vous devez être membre pour ajouter un contenu à vos favoris.

Déjà membre ? Connectez-vous :

Pas encore inscrit ?

Créez votre compte