God save data protection
Le Brexit est définitivement source d’incertitudes multiples depuis le référendum du 23 juin 2016 et l’hypothèse du «No Deal Brexit» semble être l’issue la plus probable. Comme en matière de propriété intellectuelle, le Comité européen de la protection des données se prépare dans l’urgence à une absence d’accord. Ainsi, le 12 février 2019, le comité a publié une note en matière de protection des données à caractère personnel, au travers de laquelle sont envisagées les conséquences pratiques de ce scénario.
Le Royaume Uni, pays tiers pour les transferts de données
Le Royaume Uni devrait devenir un pays tiers à l’UE, et notamment au sens du RGPD, en cas de « No Deal ». Les reports de la date de sortie auront pour conséquence de reculer de quelques jours cette échéance, prévue pour le moment au 31 octobre 2019.
La note d’information précise qu’à partir du moment où le Royaume–Uni est un Etat tiers à l’UE, les transferts de données à caractère personnel vers le Royaume-Uni devront être fondés sur des outils adéquats permettant un encadrement conforme aux exigences du RGPD, puisque le Royaume-Uni ne sera désormais plus considéré comme un Etat assurant un niveau de protection des données suffisant.
L’organisation en 5 étapes
Tout responsable de traitement ou sous-traitant au sens du RGPD et effectuant des transferts de données à caractère personnel à destination du Royaume Uni est invité à mettre en place l’organisation en 5 étapes préconisée par le comité européen comme suit :
– Effectuer un inventaire de ses activités de traitement situées au Royaume Uni.
– Définir l’instrument de protection de transfert de données le plus approprié (clauses contractuelles ad hoc, clauses contractuelles types, règles contraignantes d’entreprises, codes de conduites ou mécanismes de certification).
– Mettre en place l’instrument de transfert choisi pour une application effective de celui-ci à la date de sortie du Royaume-Uni.
– Effectuer une mise à jour interne de l’ensemble des documents en vigueur relatifs aux transferts à destination du Royaume Uni.
– Mettre à jour, si besoin, les mentions d’information à l’attention des personnes concernées par les traitements.
La CNIL a également publié un guide de préparation au scénario « No Deal» et invite toute personne concernée à mettre en place précisément cette organisation en 5 étapes. Il est donc urgent pour chaque entreprise de répertorier ses relations d’affaires avec les interlocuteurs situés au Royaume–Uni de manière à pouvoir parfaitement appréhender en amont les conséquences post-Brexit, et cela spécialement en matière de protection des données personnelles.
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb-2019-02-12-infonote-nodeal-brexit_en.pdf
https://www.cnil.fr/fr/se-preparer-un-brexit-sans-accord-quelles-questions-quels-conseils-de-la-cnil