À moins d’un nouveau report de la date effective de retrait, le Royaume-Uni sortira sans accord (Brexit No-deal) de l’UE le 31 octobre 2019, sauf si l’accord de retrait est ratifié par les deux parties d’ici cette date. Cela signifie qu’au 1er novembre 2019 le Royaume-Uni deviendra un pays tiers et, en l’absence d’accord avec l’UE, les flux de données personnelles seront considérés comme un transfert de données en dehors de l’UE et de l’EEE.
En cas de Brexit sans accord, les pays faisant partis du royaume unis (Angleterre, Ecosse, Pays de Galles et Irlande du nord) seront considérés comme pays n’assurant pas un niveau de protection adéquat. les responsables du traitement et les sous-traitants dans l’Union devront donc assurer un niveau de protection suffisant et approprié pour tout transfert de données vers le Royaume-Uni, avec la mise en place d’outils permettant l’encadrement de ces transferts, conformément au RGPD.
Suis-je concerné et comment m’y préparer ?
Vous êtes concernés par cette éventualité si vous transférez des données personnelles vers un responsable de traitement ou un sous-traitant au Royaume-Uni et que ce flux de données se poursuit au-delà du 31 octobre 2019.
En cas de Brexit sans accord, les étapes suivantes vous permettront de déterminer les démarches à initier pour garantir la conformité de vos traitements :
1. Identifier les activités de traitement constituant un transfert de données personnelles vers le Royaume-Uni.
1. Vérifier vos applications cloud si des données sont stockées, échangées ou même simplement visualisée au royaume uni.
2. Préparer vos maisons-mères, filiales se situant au royaume uni aux impacts sur l’organisation interne groupe
2. Déterminer l’outil de transfert le plus approprié à mettre en place pour ces activités de traitement (voir question suivante).
3. Procéder à la mise en place de l’outil de transfert choisi pour que celui-ci soit applicable et effectif au 1er novembre 2019.
4. Mettre à jour votre documentation interne afin d’y inscrire les transferts vers le Royaume-Uni à compter du 1er novembre 2019.
5. Le cas échéant, mettre à jour l’information aux personnes concernées afin d’indiquer l’existence d’un transfert des données hors de l’UE et de l’EEE s’agissant du Royaume-Uni.
Avec quels outils encadrer les transferts de données personnelles vers le Royaume-Uni en cas de Brexit sans accord ?
La Cnil Précise :
« Le règlement européen sur la protection des données (RGPD) complète la gamme des outils existants permettant l’encadrement de ces transferts en dehors de l’Union, afin de répondre aux différentes situations rencontrées par les responsables de traitement de données et leurs sous-traitants.
En cas de Brexit sans accord, les outils suivants pourront permettre aux organismes d’encadrer les transferts de données personnelles vers le Royaume-Uni de façon appropriée :
Les Clauses contractuelles types
Les Clauses contractuelles types sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne, qui permettent d’encadrer les transferts de données entre deux responsables du traitement ou entre un responsable du traitement et un sous-traitant. Ces clauses ont pour but de faciliter la tâche des responsables de traitement dans la mise en œuvre de contrats de transfert puisqu’il s’agit d’un outil pouvant être considéré comme « prêt à l’emploi » et mis en place rapidement, en suivant les recommandations sur la page dédiée du site de la CNIL.
Les clauses contractuelles spécifiques
Les clauses contractuelles spécifiques dites « ad-hoc » sont des contrats de transferts de données personnelles qui permettent d’encadrer les transferts de données dans des situations spécifiques, comme par exemple lorsque les clauses contractuelles types ne sont pas applicables ou nécessitent d’être modifiées. Ces clauses contractuelles ad-hoc doivent cependant être préalablement autorisées par la CNIL, après avis du Comité européen de la protection des données.
Les binding corporate rules – BCR
Les règles contraignantes d’entreprises (ou binding corporate rules – BCR) désignent une politique de protection des données intra-groupe en matière de transferts de données personnelles hors de l’Union européenne. Elles sont juridiquement contraignantes et respectées par les entités signataires du groupe, quel que soit leur pays d’implantation, ainsi que par tous leurs salariés d’une même entreprise ou d’un même groupe. Toutes les informations pour la mise en place de règles contraignantes d’entreprises sont disponibles sur la page dédiée du site de la CNIL.
Pour les responsables du traitement ou sous-traitants ayant soumis une demande d’autorisation BCR auprès de l’autorité britannique de protection des données (ICO) toujours en cours d’instruction au moment de la sortie de Royaume-Uni, le Comité européen de la protection des données a publié une note d’information dédiée relative au suivi de la demande, qui sera assuré par une autre autorité de protection de données dans l’Union.
Les codes de conduites et les mécanismes de certifications
Les codes de conduites et les mécanismes de certifications pourraient également constituer des outils de transfert appropriés, à condition qu’ils comportent l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées. Ces outils doivent être préalablement autorisés par la CNIL, après avis du Comité européen de la protection des données. Il s’agit de nouveaux outils introduits par le RGPD sur lesquels des lignes directrices et recommandations sont en cours de préparation au sein du Comité européen de la protection des données. »
Oui les organismes publics sont également concernés par un BREXIT.
En cas de Brexit sans accord, l’ensemble des transferts de données personnelles vers le Royaume-Uni devront être encadrées au moyen de garanties appropriées, y compris les transferts effectués par les autorités ou organismes publics.
En plus des outils de transferts décrits précédemment lorsqu’ils sont applicables aux autorités et organismes publics, le RGPD prévoit des instruments spécifiques qui peuvent être mis en œuvre par ce type d’organismes pour l’encadrement de leurs transferts de données hors de l’Union européenne (UE) et de l’Espace Économique Européen (EEE) :
- Des instruments juridiques contraignants entre ces autorités publiques ou organismes publics (telle une convention internationale).
- Des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées. Cet outil doit être préalablement autorisé par la CNIL et dans certains cas l’avis du CEPD sera nécessaire.
Les autorités ou organismes publics dont les traitements relèvent de la Directive UE 2016/680 « Police – Justice » devront utiliser les outils de transferts prévus par cette Directive et les dispositions du droit français la transposant.
A quelle date ces outils devront-ils être opérationnels ?
En cas de Brexit sans accord, quel que soit le type d’organisme concerné, l’outil choisi pour encadrer le transfert de données vers le Royaume-Uni devra être mis en place et effectif à compter du 1er novembre 2019.
En cas de Brexit sans accord et en l’absence de garanties appropriées encadrant un transfert vers le Royaume-Uni, des dérogations sont-elles possibles ?
Dès le premier novembre 2019 le royaume uni sera considéré comme un pays tiers non adéquat et à ce titre les règles concernant ces dérogations (Art 49 du RGPD) entreront en vigueur. Toutefois attention à ne pas confondre dérogation et règles.
Qu’en est-il des données reçues du Royaume-Uni en cas de Brexit sans accord ?
Pour les données personnelles envoyées depuis le Royaume-Uni vers l’Union Européenne, le gouvernement britannique a annoncé que la situation resterait inchangée et que la libre circulation des données vers l’UE serait permise sans besoin de garantie supplémentaire.
Si vous recevez des données d’un responsable du traitement ou sous-traitant britannique, il n’y a donc a priori pas de changement pour ces traitements, qui devront toutefois être conformes aux dispositions du RGPD ou tout autre cadre juridique spécifique applicable une fois les données reçues.