Le Royaume-Uni a officiellement quitté l'Union européenne (ci-après « UE »), et se trouve actuellement dans une période de transition qui devrait se terminer le 31 décembre 2020 et qui a été étendue au 1er juillet 2021 au sujet de l’application du Règlement général sur la protection des données (ci-après « RGPD »). 

 

L'une des principales questions qui se posent en matière de données personnelles est de savoir ce que ce changement signifiera pour les transferts de données entre un pays membre de l’UE et le Royaume-Uni, notamment au regard de l’application du RGPD.

 

A présent, la règle est simple :

 

-  transfert de données personnelles entre deux pays membres de l’UE : pas de problème – Il faut simplement conclure       un « data protection agreement (ci-après « DPA ») » entre les sociétés concernées pour gérer ce transfert ;

 

-  transfert de données personnelles entre un pays membre de l’UE et un pays en dehors de l’UE, appelé « pays tiers » :      deux cas de figure principaux sont possible : 

 

• il faut se poser la question de savoir si le pays situé en dehors de l’UE a fait l’objet d’une décision d’adéquation par la Commission européenne : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde - Si oui : le transfert de données personnelles vers ce pays ne nécessite pas d’encadrement par des outils de transfert, si non : 

• il faut, en amont du transfert de données, signer avec la société concernée des « clauses contractuelles types » qui sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne, en plus d’un DPA,

sachant qu’un transfert de données en dehors de l’UE correspond à « toute communication, copie ou déplacement de données personnelles ayant vocation à être traitées dans un pays tiers à l’UE ».

 

Les transferts de données au sein d’un même groupe d’entreprises pourront également se fonder sur des règles d’entreprises contraignantes. Il s’agit de politiques de protection des données auxquelles adhèrent des groupes d’entreprises dans le but de sécuriser les transferts de données à l’intérieur du groupe, y compris au-delà de l’UE. Les transferts de données peuvent également se baser sur des codes de conduite ou sur des mécanismes de certification.

 

La question du Brexit pose alors le problème de savoir si le Royaume-Uni, qui sera considéré comme un pays tiers à l’UE à compter du 1er juillet 2021, pourra recevoir des données personnelles d’un pays de l’UE, comme la France par exemple, sans encadrement particulier. Dans le cas contraire, le transfert de données vers le Royaume-Uni sans encadrement pourra être sanctionné au regard de la réglementation sur les données personnelles.

 

A compter du 1er juillet 2021, deux principaux scenarios seront alors possibles pour transférer des données vers le Royaume Uni : 

 

• la Commission européenne émet une décision d'adéquation (où la Commission européenne confirme que le Royaume-Uni offre un niveau de protection des données adéquat), sachant que la législation interne au Royaume-Uni, en matière de données, est similaire à celle du RGPD ;

       ou

• des garanties appropriées devront être mises en place (telles que les clauses contractuelles types de l'UE).

 

L’émission d’une décision d’adéquation par la Commission Européenne nécessiterait un processus d'évaluation dont l'issue n'est pas garantie et pourrait prendre un certain temps. 

 

Par conséquent, toute société transférant des données de l'UE vers le Royaume-Uni devra s’assurer de la mise en place d’un mécanisme avec des garanties appropriées pour permettre le transfert de données personnelles.

 

À long terme, cependant, nous pouvons nous attendre à des changements. En particulier, le Premier ministre, Boris Johnson, a indiqué que le Royaume-Uni s'écartera des règles de l'UE en matière de protection des données. 

 

La forme que ces changements pourraient prendre n'est pas encore claire. Les entreprises doivent s'assurer qu'elles prennent connaissance de toute réforme à venir.