Brexit – Échange de données

UPDATE 6/01/2021 – Le transfert de données avec le Royaume-Uni post Brexit conforme au RGPD jusqu’au 30 juin 2021

Le 1er janvier dernier, le Royaume-Uni a officiellement quitté l’Union Européenne.

Un accord post-Brexit entre le Royaume-Uni et les 27 pays restants dans l’UE a enfin été trouvé ce 24 décembre 2020. Cet accord s’applique depuis le 1er janvier 2021. Il ne prévoit pas de solution définitive en matière de protection des données, mais une nouvelle période transitoire.

Pendant la durée de cet accord post-Brexit, le transfert de données à caractère personnel entre un pays de l’Union et le Royaume-Uni ne sera pas considéré comme un transfert vers un pays tiers au sens du RGPD pendant 4 mois, éventuellement rallongés de 2 mois si aucune partie ne s’y oppose.

Pour cela, le Royaume-Uni doit respecter deux conditions :

(1) Premièrement, la législation en matière de protection des données incorporée dans le droit national du Royaume-Uni par le « European Union Act 2018 » et tel que modifiée par les règlements de 2019 sur la protection des données, la vie privée et les communications électroniques doit continuer à s’appliquer.

(2) Deuxièmement, le Royaume-Uni ne doit pas modifier cette législation sans une procédure de consultation ayant débouchée sur l’approbation de la modification par l’UE.

Cet accord post-Brexit prendra fin si une décision d’adéquation est prise par la Commission concernant le Royaume-Uni. Par cette décision, la Commission constaterait ainsi que le Royaume-Uni offre un niveau de protection adéquat en matière de protection des données. Cela permettrait le transfert des données entre l’UE et le Royaume-Uni sans exiger de mesure particulière.

Par contre, si aucune décision d’adéquation (art. 45 RGPD) n’a été adoptée le 1er juillet 2021, le transfert de données à caractère personnel entre le Royaume-Uni et un Etat membre de l’Union sera considéré comme un flux transfrontalier de données.

Dès lors , le responsable du traitement qui continuerait à transférer des données au Royaume-Uni après cette date sans pouvoir s’appuyer sur l’un des quatre outils de transfert s’exposerait à un risque de poursuites pour violation du RGPD.

Espérons donc qu’une telle décision d’adéquation soit adoptée avant la fin du mois de juin prochain.

Après la période de transition le Royaume-Uni sera un pays tiers au sens du règlement général sur la protection des données. L’une des conséquences principales est que tout transfert de données à caractère personnel d’une entreprise établie dans un État membre de l’UE/EEE vers une entité établie au Royaume-Uni constituera désormais un transfert de données à caractère personnel vers un pays tiers. Le RGPD prévoit des règles spécifiques en la matière (aux articles 44 et suivants).

 

Transfert de données à caractère personnel vers le Royaume-Uni après la nouvelle période de transition

Chaque entreprise devra examiner si elle transfère ou non des données vers le Royaume-Uni et faire l’inventaire de ces transferts. Sur cette base, l’entreprise devra ensuite mettre à jour son registre des activités de traitement ainsi que sa déclaration de confidentialité.

Les entreprises qui transfèrent des données vers le Royaume-Uni ne pourront continuer à le faire que sur la base de ce qui suit :

Soit

  • Une future décision d’adéquation de la Commission européenne (attendue au plus tôt en mars 2021)

Soit

(a) Des clauses contractuelles types et des clauses contractuelles ad hoc spécifiques

(b) Des règles d’entreprise contraignantes

(c) Des codes de conduite et mécanismes de certification

(d) L’une des dérogations prévues à l’article 49 du RGPD

Suite à l’arrêt dit Schrems II de la Cour de justice de l’UE, il est en outre possible, tant qu’il n’y aura pas de décision d’adéquation, que le responsable du traitement doive prendre des mesures complémentaires pour renforcer le niveau de protection des données transférées. Le Comité européen de la protection des données a publié des projets de recommandations dans ce cadre.

 

Liens vers des sources d’information externes

 Note d’information du Comité européen de la protection des données (CEPD) – European Data Protection Board https://edpb.europa.eu/our-work-tools/our-documents/other/information-note-data-transfers-under-gdpr-united-kingdom-after_en

 Page consacrée au Brexit sur le site web de l’Autorité belge de protection des données : https://www.autoriteprotectiondonnees.be/professionnel/themes/flux-internationaux-de-donnees/impact-du-brexit-

+ présentation APD (webinaire Brexit FEB 28/10/20): https://www.vbo-feb.be/globalassets/events/emily/brexit/stevens---bon---gegevensbescherming---protection-des-donnees.pdf

 Position de l’Autorité britannique de protection des données (ICO – Information Commissioner’s Office) https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/01/statement-on-data-protection-and-brexit-implementation-what-you-need-to-do

Our partners

Business Issues

An optimum business environment is vital for a sound economy and sustainable growth. FEB aims to help create and maintain such an environment by, among other things, closely monitoring all issues of direct relevance to businesses. Here, grouped into 17 themes, are the issues on which FEB focuses most of its attention and action.


Subscribe to newsletter

Subscribe now and receive every week the latest articles directly in your mailbox