Actualités

[31 janvier 2020] : (Br)exit la protection des données ?

Le [31 janvier] prochain, le divorce entre le Royaume-Uni et l’Europe pourrait être officiellement prononcé. Le Brexit emportera son lot de conséquences juridiques, sur différents plans. Les règlements européens, en ce compris le RGPD, ne s’appliqueront plus au Royaume-Uni. L’autorité de contrôle britannique encourage néanmoins les entreprises britanniques à continuer de se conformer au RGPD. Le Data Protection Act 2018 reprendra en effet les principes, droits et obligations consacrés par le règlement européen.

Mais du point de vue d’une entreprise européenne, quel sera l’impact du Brexit ? L’article 45 du RGPD prévoit que les transferts de données vers des pays tiers peuvent avoir lieu lorsque la Commission constate, par voie de décision, que le pays tiers en question offre un niveau de protection adéquat. Cependant, la Commission n’a encore pris aucune décision d’adéquation concernant le Royaume-Uni. Aux dernières nouvelles, cette décision pourrait être rendue à la fin de l’année 2020 (pour autant, bien entendu, que le Royaume-Uni remplisse les conditions).

Néanmoins, l’hypothèse d’un “no deal” Brexit n’est pas à exclure. Dès lors, comment les entreprises européennes doivent-elles se préparer ? Le Comité Européen de la Protection des Données (CEPD) apporte davantage d’explications dans une note d’information du 12 février 2019.

Sur quel instrument fonder les transferts de données vers le Royaume-Uni ?

A partir du [31 janvier], le Royaume-Uni sera considérée comme “pays tiers”, au regard du RGPD. Les transferts de données de l’Europe vers le Royaume-Uni devront donc obéir aux dispositions concernant les transferts de données vers les pays tiers. Petit tour des différents fondements et garanties prévus par le RGPD.

Clauses contractuelles types ou ad hoc

Des clauses contractuelles types de protection des données pourront servir de fondement aux transferts de données. Ces clauses peuvent être adoptées par la Commission,  par l’autorité de contrôle ou par les cocontractants (à condition d’être autorisées par l’autorité de contrôle).

La Commission a adopté deux décisions reprenant, en annexe, des clauses types de transfert de données :

Pour se prévaloir de ces clauses, il convient de ne pas les modifier et de les signer telles quelles. Il est néanmoins possible de les inclure dans des contrats plus larges, comprenant d’autres clauses.

Les clauses contractuelles types ayant fait l’objet de modifications seront quant à elles considérées comme des clauses contractuelles “ad hoc”. De telles clauses sont tout à fait permises mais devront être préalablement autorisées par l’autorité de contrôle nationale.

A noter la Commission n’a pas mis à jour les modèles de clauses depuis l’entrée en vigueur du RGPD. Dans un premier temps, il est donc plus judicieux de fonder son traitement sur un autre instrument. Pour ceux qui souhaiteraient tout de même recourir aux clauses contractuelles, l’autorité de contrôle britannique (l’ICO) a mis en place un outil interactif d’aide.

Règles d’entreprise contraignantes

Les transferts de données au sein d’un même groupe d’entreprises pourront également se fonder sur des règles d’entreprises contraignantes. Il s’agit de politiques de protection des données auxquelles adhèrent des groupes d’entreprises dans le but de sécuriser les transferts de données à l’intérieur du groupe, y compris au-delà de l’EEE.

Pour ceux qui, sur base de la directive 95/46/EC, utilisent déjà des règles de ce type, celles-ci resteront valides le [31 janvier] prochain. Au contraire, si de telles règles voient le jour après cette date, l’autorité de contrôle nationale devra les approuver préalablement.

Codes de conduite ou mécanismes de certification

Les transferts de données peuvent également se baser sur des codes de conduites ou sur des mécanismes de certification. C’est une nouveauté que prévoit le RGPD. Le code de conduite a pour principal avantage de prendre en compte les differentes spécificités techniques du secteur.

Ces deux instruments seront réputés offrir des garanties suffisantes s’ils contiennent des engagements contraignants.

Dérogations

Parfois, les transferts de données vers le Royaume-Uni n’ont lieu que de manière occasionnelle et non répétitive. Dans ce cas, l’article 49 du RGPD prévoit un mécanisme de “dérogations”. Le transfert peut, entre autres, avoir lieu lorsque :

  • la personne concernée a donné son consentement après avoir été informée des différents risques liés au transfert;
  • le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée;
  • le transfert est nécessaire pour des motifs importants d’intérêt public.

Quid des transferts réalisés par les organismes publics ?

Lorsque des autorités publiques ou des organismes publics réalisent des transferts de données avec des autorités publiques ou des organismes publics issus de pays tiers, ces transferts doivent se fonder soit :

  • sur un accord administratif, un accord international bilatéral ou un accord international multilatéral ;
  • sur un arrangement administratif (par exemple, un protocole d’accord).

Les arrangements administratifs ne sont pas juridiquement contraignants. Ils devront donc faire l’objet d’une autorisation préalable de l’autorité de contrôle compétente.

Les organismes publics pourront également se prévaloir des dérogations mentionnées ci-dessus.

Notre conseil :

A l’heure actuelle, le CEPD conseille aux entreprises transférant des données vers le Royaume-Uni de respecter les étapes suivantes  :

  • identifier quelles activités de traitement impliquent des transferts de données vers le Royaume-Uni ;
  • déterminer l’instrument de transfert de données approprié ;
  • implémenter l’instrument choisi avant le [31 janvier 2020] ;
  • indiquer dans votre documentation interne que des transferts vers le R-U vont être réalisés ;
  • mettre à jour votre politique de protection des données, afin d’informer les personnes concernées.

de Eléonore Colson

Une question ?

Contactez-nous
tristique neque. sit diam porta. dictum libero