L'impact du Brexit sur vos transferts de données personnelles

Sujet brulant d’actualité, le BREXIT a eu lieu le 1er janvier 2021. De nombreuses entreprises se sont alors interrogées sur l’impact du BREXIT quant aux transferts des données à caractère personnel au Royaume Uni (RU).

I. La période transitoire :

Le 24 décembre 2020, le Royaume Uni a signé un accord de commerce et de coopération avec l’Union Européenne. Cet accord prévoit notamment que le RGPD restera applicable de manière transitoire au RU pour 6 mois, soit jusqu’au 1er juillet 2021. Seul le mécanisme du guichet unique prendra fin dès le 1er janvier 2021. Autrement dit, pendant la période de transition et jusqu’au 1er juillet 2021, les données personnelles peuvent circuler librement conformément RGPD, sans restrictions supplémentaires, entre l'UE et le Royaume-Uni. C’est-à-dire que les transferts de données personnelles vers le RU continueront de se faire dans le cadre actuel et ne seront pas considérés comme des « transferts de données vers un pays tiers ».

II. A partir du 1er juillet 2021 :

Le Royaume Uni appliquera sa propre loi de protection des données qui remplacera le Règlement européen. (Pour rappel, le RGPD était applicable au RU sans qu’il soit nécessaire qu’une loi britannique le transpose). Tous les grands principes, droits et obligations de cette loi restent les mêmes que le RGPD européen, ce que confirme l’ICO (autorité de contrôle du Royaume Uni). Autrement dit, les dispositions clés du RGPD seront conservées dans le droit interne britannique à la fin de la période de transition.

Le 15 décembre 2020, l’European Data Protection Board (EDPB) écrivait ainsi qu'à l’issue de la période de transition, le Royaume-Uni n'appliquera plus le RGPD au traitement des données personnelles et un cadre juridique distinct concernant la protection des données sera en vigueur dans ce pays.

Les conséquences :

À compter du 1er juillet 2021, tous les transferts de données personnelles entre parties prenantes soumises au RGPD et les entités britanniques constitueront un transfert de données personnelles vers un pays tiers et seront donc soumis aux dispositions du chapitre V du RGPD (« transferts de données à caractère personnel vers des pays tiers »). Pour rappel, la Commission Nationale Informatique et Libertés (CNIL) définit le « transfert de données » comme toute communication, copie ou déplacement de données personnelles ayant vocation à être traitées dans un pays tiers à l’Union européenne.

Les articles 44 à 50 du RGPD prévoient qu'un transfert international de données peut s'effectuer notamment:

1. Sur la base d’une décision d'adéquation par laquelle la Commission de l'Union Européenne reconnaît qu'un territoire présente un niveau de protection équivalent au sien (art 45).

2. Sur la base des garanties appropriées listées par le RGPD (art 46). Font partie des « garanties appropriées » les clauses contractuelles types (CCT) qui présentent des garanties suffisantes et qui sont adoptées par la Commission européenne (RGPD art. 46).

Or, en l’état actuel des choses, le Royaume Uni n’est pas un pays « adéquat » au sens du RGPD car la commission européenne n’a pas rendu une décision d’adéquation qui établit que ce territoire tiers assure un niveau de protection adéquat des données à caractère personnel.

Quant aux CCT, la CJUE a confirmé que l’établissement de CCT était un outil valable pour le transfert international de données à caractère personnel mais à condition que ces clauses prévoient « une protection équivalente » à celle de l’UE (Arrêt « Schrems II » de la CJUE du 16 juillet 2020).

III. Analyses prospectives :

- Concernant la décision d’adéquation :

Se pose la question de savoir si une décision d’adéquation serait prise en faveur du RU, mais cette éventualité doit être nuancée au regard du récent arrêt de la Cour de Justice de l’Union Européenne (CJUE). En effet, la CJUE a invalidé l’accord d’adéquation en place entre les USA et l’UE (invalidation du Privacy shield qui permettait le transfert des données entre les Etats Unis et les pays membres) car les lois de sécurités nationales du pays ne protégeaient pas suffisamment les données personnelles des citoyens. Il est donc nécessaire d’anticiper l’éventualité d’une absence de décision d’adéquation pour le RU d’ici juillet 2021, et d’encadrer les transferts de données sur la base d’autres fondements.

- Concernant les CCT :

L’établissement des CCT est un mécanisme pertinent de transfert alternatif à la décision d’adéquation pour le RU. Un responsable de traitement peut établir des CCT avec son partenaire quand il transfère des données personnelles hors UE.

L’EDPB a précisé que les données personnelles transférées au Royaume-Uni sur la base des garanties de l'article 46 du RGPD, peuvent nécessiter des mesures supplémentaires afin de garantir un niveau de protection suffisant, (recommandations EDPB 01/2020 sur les mesures qui complètent les outils de transfert pour garantir le respect du niveau de protection de l'UE sur les données personnelles) Suite à l’arrêt SCHREMS II de la CJUE, les recommandations publiées par l’EDPB le 10 novembre 2020, précisent qu’il convient d’évaluer le cadre juridique du pays tiers afin de vérifier si les autorités nationales de sécurité ont un accès aux données personnelles qui peut être considéré comme une ingérence justifiable ou non.

En conclusion, le moyen le plus simple de fournir une garantie appropriée pour un transfert de données personnelles restreint de l'EEE vers le Royaume-Uni est de conclure des clauses contractuelles types et d’adopter des mesures complémentaires conformément aux recommandations de l’EDPB.

Me Aurélie Puig


Mentions légales - Données personnelles