Les pays de l’Union européenne se préparent à un Brexit sans accord qui, d’après la Commission européenne, « reste une issue possible, mais non souhaitable ».

L’UE et le Royaume-Uni sont parvenus le 25 novembre 2018 à un accord de retrait, dont la ratification demeure à ce jour incertaine. Initialement prévue au 29 mars 2019 et reportée une fois, la date de sortie effective du Royaume-Uni a été fixée au 31 octobre 2019. A moins que l’accord de retrait ne soit ratifié dans les prochaines semaines, ou qu’un autre report ne soit prévu, le Royaume-Uni sortira de l’UE sans accord. Il est à noter que la suspension du Parlement britannique a été jugée « illégale, nulle et sans effet » par la Cour suprême du Royaume-Uni le 24 septembre 2019, ce qui pourrait changer le cours du Brexit.

En ce qui concerne la protection des données à caractère personnel, les responsables du traitement et les sous-traitants devront anticiper l’éventualité d’un retrait sans accord, notamment dans le cadre de transferts de données.

Dans ce contexte, Mathias Avocats vous expose les enjeux et une checklist pour vous aider dans la poursuite de votre conformité.

Quel sera l’impact d’un Brexit sans accord sur les transferts de données ?

En cas de Brexit sans accord, le Royaume-Uni deviendra un pays tiers à l’Espace Économique Européenne (EEE) et le droit de l’Union ne s’appliquera plus dans le pays à compter du 1er novembre 2019. Cela signifie que les transferts de données à caractère personnel entre les pays de l’EEE et le Royaume-Uni devront être encadrés au moyen de garanties appropriées.

En effet, le Règlement général sur la protection des données (RGPD) prévoit un régime spécifique applicable au transfert de données hors de l’EEE. Ces transferts internationaux peuvent avoir lieu lorsque le pays de l’entité destinataire offre un niveau de protection adéquat reconnu par la Commission européenne au moyen de décisions d’adéquation prévues par l’article 45 du RGPD. En l’absence d’une telle décision, les entités ne peuvent transférer des données vers un pays tiers que si elles ont mis en place des garanties appropriées énumérées par les articles 46 et suivants du RGPD.

La Commission européenne n’a pas adopté de décision d’adéquation pour le Royaume-Uni et il est peu probable qu’une telle décision intervienne avant le 1er novembre.

Dès lors, le responsable du traitement ou le sous-traitant transférant des données à caractère personnel vers le Royaume-Uni doit s’assurer qu’il dispose de l’une des garanties appropriées suivantes :

  • Clauses contractuelles types: ce sont des modèles de clauses de transfert de données adoptés par la Commission européenne. Il est à noter que ces modèles ne peuvent pas être modifiés et doivent être complétés et signés par les parties en tant que tels. Toutefois, les parties peuvent intégrer le modèle dans un contrat plus large et/ou ajouter des clauses à condition que celles-ci ne contredisent ledit modèle.Clauses contractuelles « ad-hoc » : si les parties n’optent pas pour un modèle de la Commission ou si elles le modifient, les clauses rédigées par celles-ci sont considérées comme des clauses contractuelles « ad-hoc ». Cela signifie qu’elles doivent être approuvées par l’autorité de contrôle compétente, après l’avis du Comité européen de la protection des données (CEPD), avant tout transfert de données.
  • Clauses contractuelles « ad-hoc » : si les parties n’optent pas pour un modèle de la Commission ou si elles le modifient, les clauses rédigées par celles-ci sont considérées comme des clauses contractuelles « ad-hoc ». Cela signifie qu’elles doivent être approuvées par l’autorité de contrôle compétente, après l’avis du Comité européen de la protection des données (CEPD), avant tout transfert de données.
  • Règles contraignantes d’entreprise: appelées également « binding corporate rules », les règles contraignantes d’entreprise désignent une politique de protection des données intra-groupe en matière de transfert de données hors de l’EEE. Elles sont juridiquement contraignantes et doivent ainsi être respectées par toutes les entités d’un même groupe, quel que soit leur pays d’implantation.
  • Codes de conduite et mécanismes de certification: ces instruments peuvent également offrir des garanties appropriées pour les transferts hors de l’EEE, à condition qu’ils contiennent des engagements contraignants et exécutoires à la charge du destinataire de données. Le CEPD travaille actuellement sur des lignes directrices et recommandations sur ces mécanismes introduits par le RGPD.

Rappelons que les personnes dont les données font l’objet d’un transfert vers un pays tiers doivent en être informées dans les conditions des articles 13 et 14 du RGPD. Dès lors, les mentions d’information devront être modifiées en cas de Brexit sans accord.

Le registre des activités de traitement doit également refléter ce changement. En effet, l’article 30 du RGPD dispose que tout registre doit mentionner les transferts de données vers un pays tiers.

Quelles sont les démarches à suivre pour assurer votre conformité ?

La Cnil a publié une liste des étapes à suivre par les responsables du traitement et les sous-traitants dans le cadre de transfert de données vers le Royaume-Uni, dans laquelle elle réitère les préconisations du CEPD.

Plusieurs points devront ainsi être pris en compte :

  • L’identification des activités de traitement de votre entité impliquant un transfert de données à caractère personnel vers le Royaume-Uni.
  • La détermination de la garantie appropriée qui correspond au mieux à ces transferts de données.
  • La mise en place de la garantie choisie avant le 1er novembre 2019.
  • La mise à jour du registre des activités de traitement afin d’y intégrer les transferts vers le Royaume-Uni en tant que transferts hors de l’EEE.
  • La mise à jour de l’information fournie aux personnes concernées afin de leur indiquer l’existence d’un transfert de données hors de l’EEE dans les conditions définies par le RGPD.

Mathias Avocats se tient à votre disposition pour vous assister dans votre conformité post Brexit.