Le 1er janvier 2021 marque la fin de la période transitoire ouverte à la suite du Brexit et au cours de laquelle le droit de l’Union européenne continuait de s’appliquer au Royaume-Uni. 

Après dix mois de négociations, un accord de commerce et de coopération entre le Royaume-Uni et l’Union européenne a été trouvé le 24 décembre 2020. Il entre en application, à titre provisoire, dès le 1er janvier et sera ratifié dans le courant de l’année 2021.

Quels sont les impacts de cet accord sur les transferts de données à caractère personnel vers le Royaume-Uni ?

Validité des flux de données vers le Royaume-Uni jusqu’à l’adoption d’une décision d’adéquation

Compte tenu de l’entrée en application de l’accord précité, les transferts de données à caractère personnel depuis l’Espace Economique Européen vers le Royaume-Uni devraient être analysés comme des transferts de données vers un pays tiers, conformément au chapitre V du règlement général sur la protection des données. Dans la mesure où aucune décision d’adéquation n’est intervenue à date, cela signifie qu’il faudrait utiliser l’une des garanties appropriées définies par le RGPD ou s’appuyer sur une dérogation (RGPD, article 49).

Toutefois, il n’en est rien !

En effet, l’accord de commerce et de coopération prévoit une période de sursis applicable aux flux de données à caractère personnel à compter du 1er janvier 2021 (Article FINPROV.10A: Interim provision for transmission of personal data to the United Kingdom, pp.414-415).

Ainsi, les transmissions de données vers le Royaume-Uni n’ont pas à faire l’objet de garanties telles que définies dans le RGPD. Ce sursis durera jusqu’à l’adoption d’une décision d’adéquation de la Commission européenne conformément aux dispositions de l’article 45 du RGPD, ou jusqu’au 1er mai 2021 c’est-à-dire quatre mois après l’entrée en application de ladite période de sursis. Cette dernière pourra être prolongée pour une durée de deux mois, soit jusqu’au 1er juillet 2021, à moins que l’Union européenne ou le Royaume-Uni ne s’y oppose.

Que faire pendant ce laps de temps ?

Pendant la période transitoire, plusieurs actions peuvent être entreprises. Si cela n’a pas déjà été fait, une identification des activités de traitement impliquant un transfert de données à caractère personnel vers le Royaume-Uni s’avère nécessaire. 

Par ailleurs, qu’une décision d’adéquation intervienne ou qu’il faille recourir à une garantie appropriée au sens du RGPD, une mise à jour du registre des activités de traitement s’avèrera nécessaire. En effet, il faudra y intégrer les transferts de données au Royaume-Uni.

De même, la mise à jour des mentions d’information relatives à la protection des données peut d’ores et déjà être préparée ou, à tout le moins, planifiée.

Mathias Avocats se tient à votre disposition pour vous assister dans votre conformité.