Brexit et RGPD : comment vont s’articuler les transferts de données vers le Royaume-Uni ?
Le Royaume-Uni assure la protection des données personnelles depuis de nombreuses années. En effet, il s’est doté depuis 1984 du Data Protection Act qui a par ailleurs été remis au goût du jour par le Data Protection Act de 1998 puis de 2018 avec l’objectif de fournir un cadre juridique aux nouvelles méthodes de traitement des données personnelles.
Le Royaume-Uni s’est doté en outre d’un équivalent de la CNIL française, à savoir l’Information Commissioner’s Office (ICO), organisme chargé du respect de cette loi.
Il assure ainsi un niveau de protection équivalent au niveau de protection exigé par l’Union européenne.
Par ailleurs, le gouvernement britannique a précisé que le RGPD sera intégré dans le droit britannique au moment de sa sortie de l’Union européenne. Dès lors, l’effectivité du Brexit ne devrait pas changer substantiellement le niveau de protection des personnes concernées au Royaume-Uni.
De plus, l’ICO a d’ores et déjà précisé qu’un niveau élevé de protection des données personnelles serait maintenu au Royaume-Uni après le Brexit.
La principale interrogation porte néanmoins sur les organisations qui dépendent des transferts de données à caractère personnel entre le Royaume-Uni et l’Union européenne et qui peuvent dès lors être affectées (articles 44 à 49 du RGPD).
En effet, la libre circulation des informations personnelles de l’Union européenne vers le Royaume-Uni ne sera plus d’actualité en l’absence d’accord de retrait prévoyant spécifiquement la poursuite de la transmission de données à caractère personnel.
Par conséquent, les transferts des données personnelles vers le Royaume-Uni devront cesser ou être encadrés.
Le Royaume-Uni pourrait alors chercher à bénéficier d’une décision d’adéquation (premier outil juridique d’encadrement prévu à l’ article 45 du RGPD) qui est une décision prise par la Commission européenne dans laquelle elle reconnait que le pays en question assure un niveau de protection adéquat vis-à-vis des données personnelles.
Dans l’attente d’une telle décision, le transfert ne pourra être opéré qu’après la mise en place de garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.
Ces garanties appropriées sont les suivantes (article 46 du RGPD) :
– Les clauses contractuelles types (CCT) de la Commission européenne
– Les règles internes d’entreprises (BCR)
– Un code de conduite approuvé conformément à l’article 40 du RGPD (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées)
– Un mécanisme de certification approuvé conformément à l’article 42 du RGPD (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées)
Il convient de noter que des dérogations pour des situations particulières sont également envisagées par le RGPD (article 49 du RGPD), telles que le consentement explicite de la personne concernée au transfert envisagé.