Actualité
En cas de Brexit sans accord, les transferts de données personnelles vers le Royaume-Uni seront considérés comme des transferts vers un État n’offrant pas de niveau de protection adéquat (à défaut d’une décision d’adéquation prise par la Commission européenne).
Le 23 juin 2016 a eu lieu le référendum sur l’appartenance du Royaume-Uni à l’Union européenne.
Les citoyens résidents du Royaume-Uni ont voté à 51,89 % pour que le Royaume-Uni quitte l’Union européenne.
Le gouvernement britannique a alors enclenché le Brexit.
Alors que la sortie du Royaume-Uni était initialement prévue le 29 mars 2019, cette date a été reportée au 31 octobre prochain.
Toutefois, aucun accord n’a pour l’instant été trouvé entre l’État sortant et l’Union européenne.
En cas de Brexit sans accord, les transferts de données personnelles vers le Royaume-Uni seront considérés comme des transferts vers un État n’offrant pas de niveau de protection adéquat (à défaut d’une décision d’adéquation prise par la Commission européenne).
Des lors, quelle est la marche à suivre pour les responsables de traitements et sous-traitants opérant de tels transferts ?
Tous les traitements et transferts de données vers le Royaume-Uni qui se poursuivront à compter du 1er novembre 2019, devront être assortis de garanties et encadrés par l’un des outils prévus par le Règlement Général sur la Protection des Données personnelles (RGPD).
Ainsi, l’entité émettrice des données depuis le territoire de l’UE devra signer des clauses contractuelles types avec l’entité destinataire au Royaume-Uni ou adopter des règles contraignantes d’entreprise (BCR) ou des codes de conduite / mécanismes de certifications.
A défaut d’un tel encadrement, les responsables de traitement et sous-traitants s’exposeront à des sanctions pouvant atteindre 20 000 000 € ou 4 % de leur chiffre d’affaires.
L’article 49 du RGPD prévoit néanmoins quelques exceptions permettant des transferts de données vers un territoire situé en dehors de l’UE en l’absence de décision d’adéquation ou de garanties.
Ces exceptions sont en revanche à interpréter de manière stricte comme le rappelle la CNIL et les opérateurs ne pourront y recourir que de manière ponctuelle.
Parmi ces exceptions, le consentement des personnes concernées pourrait permettre le transfert de données.
En revanche, les personnes devront préalablement être informées des risques que le transfert pourrait comporter en raison de l’absence de décision d’adéquation et de garantie appropriées.
Par ailleurs, outre cet encadrement, les opérateurs réalisant des transferts devront mettre à jour leur registre des traitements pour y renseigner ces transferts de données hors UE.
Ils devront également procéder à une nouvelle information des personnes concernées afin de leur notifier l’existence de ces transferts.
Enfin, s’agissant des transferts de données en provenance du Royaume-Uni, ces derniers pourront se poursuivre sans garantie supplémentaire, le gouvernement britannique ayant annoncé que la libre circulation des données vers l’Union européenne serait permise.
A rapprocher : Brexit, Lettre des Réseaux, 16 sept. 2016
19856 vues 
