Le 9 janvier 2018, la Commission européenne a publié un communiqué sur les conséquences du Brexit au regard de l’application du nouveau Règlement sur les données personnelles (RGPD).
Dans cette notice, la Commission explique que le Royaume-Uni devra être considéré comme un « pays tiers » dès le 30 mars 2019, date à partir de laquelle le Brexit sera effectif. Cela impacte donc directement les conditions de licéité des transferts de données entre la France et le Royaume-Uni.
Ainsi, sous réserve de tout arrangement transitoire qui pourrait être convenu entre le Royaume Uni et l’Union européenne d’ici la fin du mois, la Commission rappelle qu’en l’absence de décision d’adéquation (décision rendue par la Commission européenne reconnaissant qu’un Etat assure un niveau de protection adéquat au regard du RGPD), les transferts vers le Royaume-Uni, de données à caractère personnel, ne seront possibles que si le responsable de traitement ou le sous-traitant présentent « des garanties appropriées ».
Selon l’article 46 du RGPD, les « garanties appropriées » visent :
- La signature de clauses contractuelles types ;
- La signature de règles d’entreprise contraignantes (BCR);
- L’adoption de codes de conduites approuvés par les autorités de contrôle (en France la CNIL) ;
- L’adoption de mécanismes de certification associés à l’engagement du responsable de traitement ou du sous-traitant d’appliquer les garanties appropriées dans le pays tiers.
En outre, en l’absence de décision d’adéquation ou de garanties appropriées, les transferts seront possibles sur la base des dérogations prévues à l’article 49 du Règlement : la personne concernée a donné son consentement au transfert, le transfert est nécessaire à l’exécution d’un contrat demandé par la personne, pour l’exercice d’actions en justice ou pour des raisons importantes d’intérêt public. Cela étant, ces dérogations ne s’appliquent que pour les traitements occasionnels.
Rappelons que le Royaume-Uni a d’ores et déjà entamé des démarches pour intégrer les normes du RGPD au sein de sa législation. Il serait donc peu probable, compte tenu des garanties législatives qu’il apportera, que la Commission européenne ne lui délivre pas cette fameuse décision d’adéquation, …mais cela prendra plusieurs mois.
Les Clauses contractuelles types de la Commission Européenne semblent donc l’outil le plus simple à mettre en place si vous transférez régulièrement des données au Royaume-Uni.
Enfin, n’oubliez pas d’insérer le Royaume-Uni dans la catégorie « transfert » de votre registre.
Charlotte GALICHET