Actualités

Transfert de données au Royaume-Uni post Brexit – dernier délai !

Le 31 janvier dernier, le Royaume-Uni a officiellement quitté l’Union Européenne. Cependant, l’accord de retrait, entré en vigueur le 1er février 2020, marquait également le début d’une période de transition. Pendant celle-ci, toutes les règles de droit européen, en ce compris le RGPD, continuaient à s’appliquer au Royaume-Uni.

Cette période transitoire prenait le 31 décembre 2020. Ceci a contraint les responsables de traitement qui opèrent des transferts de données vers le Royaume-Uni à se préoccuper des conditions contractuelles et techniques encadrant ces transferts.

Cependant, un accord post-Brexit entre le Royaume-Uni et les 27 pays restants dans l’UE a enfin été trouvé ce 24 décembre 2020. Cet accord s’applique depuis le 1e janvier 2021. Il ne prévoit pas de solution définitive en matière de transfert de données vers le Royaume-Uni, mais une nouvelle période transitoire.

Que prévoit cet accord post-Brexit concernant le RGPD ?

Pendant la durée de cet accord post-Brexit, le transfert de données à caractère personnel entre un pays de l’Union et le Royaume-Uni ne sera pas encore considéré comme un transfert hors-UE.

Pour cela, le Royaume-Uni doit respecter deux conditions :

  • Premièrement, la législation en matière de protection des données incorporée dans le droit national du Royaume-Uni par le « European Union Act 2018 » et tel que modifiée par les règlements de 2019 sur la protection des données, la vie privée et les communications électroniques doit continuer à s’appliquer.
  • Deuxièmement, le Royaume-Uni ne doit pas modifier cette législation sans une procédure de consultation ayant débouchée sur l’approbation de la modification par l’UE.

Jusque quand est-il valable ?

Cet accord est valable pendant 4 mois, éventuellement rallongés de 2 mois si aucune partie ne s’y oppose.

Cet accord prendra aussi fin en cas de décision d’adéquation concernant le Royaume-Uni. Par cette décision, la Commission constaterait ainsi que le Royaume-Uni offre un niveau de protection adéquat en matière de protection des données. Cela permettrait le transfert des données entre l’UE et le Royaume-Uni sans mesure particulière.

Par contre, si aucune décision d’adéquation (art. 45 RGPD) n’a été adoptée le 1er juillet 2021, le transfert de données entre le Royaume-Uni et un Etat membre de l’UE sera considéré comme un flux transfrontalier de données.

Quelles conséquences s’il n’y a aucune décision d’adéquation dans ce délai ?

Le transfert de données à caractère personnel en dehors de l’UE est en principe interdit, afin d’éviter que les données ne soient soumises à un cadre juridique étranger moins protecteur que ne l’est le RGPD.

A défaut de décision d’adéquation à l’échéance de l’accord post-Brexit, le Royaume-Uni sera considéré comme un « pays tiers » à l’UE. Ça signifie que tout transfert de données d’un Etat membre de l’UE vers le Royaume-Uni constituera un « flux transfrontalier » dont la légalité devra être appréciée au regard des articles 44 à 49 du RGPD.

Selon l’article 45 du RGPD, les transferts de données vers des pays tiers peuvent avoir lieu lorsque la Commission octroie une « décision d’adéquation » par laquelle elle constate que le pays destinataire des données présente des garanties « essentiellement équivalentes » à celles du RGPD.

A défaut, comme l’a encore confirmé l’EDPB le 15 décembre dernier, le transfert de données ne pourra se faire que s’il présente un niveau de protection suffisant et approprié.

Le cas échéant, comment continuer à transférer des données au Royaume-Uni ?

Il existe dès lors quatre autres façons d’assurer le niveau de protection requis.

  • Clauses contractuelles assorties de mesures complémentaires

La Commission européenne a adopté, en 2010, deux décisions reprenant en annexe des clauses types de transfert de données.

Arrêt SCHREMS II

Dans un arrêt du 16 juillet 2020 (« arrêt Schrems II »), la Cour de justice de l’Union européenne a confirmé que les clauses contractuelles types sont valides et peuvent être utilisées pour transférer des données vers un pays tiers. Cependant, la Cour a ajouté qu’elles ne sont désormais plus, à elles seules, suffisantes.

Ces clauses types ne sont en réalité que des obligations contractuelles auxquelles s’obligent les parties au transfert. Elles ne peuvent dès lors, à elles seules, assurer un niveau suffisant de protection des données, par rapport aux éventuelles immixtions étatiques.

Il faut donc que le responsable de traitement procède à une analyse de la situation juridique prévalant dans le pays tiers. Il doit ensuite, sur cette base, mette en place des « mesures supplémentaires » afin d’assurer le respect effectif de ce niveau de protection. Cette appréciation se fait au cas par cas par le responsable de traitement en collaboration avec le destinataire des données.

Cependant, la Cour ne donne pas d’indication plus concrète sur ce que seraient ces mesures supplémentaires. Il s’agit de mécanismes effectifs permettant, en pratique, d’assurer la conformité au niveau de protection substantiellement équivalent au niveau de protection garanti par le RGPD.

Recommandations de l’EDPB

Le 11 novembre 2020, l’EDPB a publié deux recommandations, la recommandation 01/2020 et 02/2020. Celles-ci ont pour but de lever l’incertitude sur la notion de mesures supplémentaires. Elles visent à aider le responsable de traitement à procéder à l’analyse du système juridique du pays tiers.

  • La première recommandation porte sur les mesures supplémentaires à mettre en place pour s’assurer que les données conservent une protection conforme à celle accordée par l’UE. Elle prévoit une approche en 6 étapes pour aider le responsable de traitement à évaluer si le transfert présente les garanties appropriées.
  • La seconde recommandation porte quant à elle sur les mesures de surveillance. Elle a pour but de guider le responsable de traitement pour savoir si les mesures de surveillance permettent aux autorités publiques du pays importateur d’avoir un accès aux données à caractère personnel. Sur ce point, il est certain que le Royaume-Uni dispose d’importants moyens de surveillance et qu’il faut donc être prudent.

Par conséquent, le responsable de traitement doit décider quelles mesures techniques, contractuelles et/ou organisationnelles doivent être prises pour assurer la protection des données soumises au transfert.

Nouvelles clauses contractuelles types

Enfin, le 12 novembre 2020, à savoir le lendemain de l’adoption des recommandations dont il est question ci-dessus, la Commission européenne a publié une nouvelle version des clauses contractuelles types. La Commission a actualisé ces clauses suite à l’entrée en vigueur du RGPD et l’arrêt Schrems II. Ce document n’est actuellement qu’une proposition soumise à la consultation publique. La version finale est attendue pour début 2021. Un délai d’un an sera accordé pour remplacer les clauses actuelles par leur nouvelle version.

Lorsque les transferts de données ont lieu au sein d’un même groupe d’entreprise, celles-ci peuvent mettre en place des « règles d’entreprises contraignantes ». Ces règles ont pour objet de s’assurer que les données sont protégées de manière adéquates par toutes les entités dont se compose la société. Chaque entité du groupe d’entreprise doit adhérer à ces règles afin d’assurer la protection des données en cas de transfert intra-groupe et ce, indépendamment de la localisation de celles-ci.

Toutefois, ce mécanisme présente les mêmes faiblesses que les clauses types par rapport aux immixtions étatiques.

En outre, plusieurs autorités de contrôle nationales doivent préalablement approuver les règles d’entreprise contraignantes, ce qui n’est pas envisageable avant le 30 juin 2021.

  • Codes de conduites et certifications

Les transferts de données peuvent également se baser sur des codes de conduites ou sur des mécanismes de certification. Ces outils doivent être contraignants et adaptés aux spécificités concrètes du domaine d’activité concerné.

A ce jour, aucun code de conduite ni aucune certification n’a encore vu le jour.

  • Dérogations prévues à l’article 49 du RGPD

Que faire si aucun des trois outils exposés ci-dessus ne peut justifier le transfert des données vers un pays tiers ? Le responsable du traitement peut, en dernier recours, tenter d’invoquer les dérogations prévues à l’article 49 du RGPD. Pour cela, le transfert des données vers le Royaume-Uni doit présenter un caractère occasionnel et non répétitif et répondre à l’une des conditions suivantes :

  • la personne concernée a donné son consentement après avoir été informée des risques liés au transfert ;
  • le transfert est nécessaire à l’exécution d’un contrat ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée ;
  • le transfert est nécessaire pour des motifs importants d’intérêt public.

Quid des transferts réalisés par les organismes publics ?

Lorsque des autorités publiques ou des organismes publics réalisent des transferts de données avec des autorités publiques ou des organismes publics issus de pays tiers, ces transferts doivent se fonder soit :

  • sur un accord administratif, un accord international bilatéral ou un accord international multilatéral ;
  • sur un arrangement administratif (par exemple, un protocole d’accord).

Les arrangements administratifs ne sont pas juridiquement contraignants. Ils devront donc faire l’objet d’une autorisation préalable de l’autorité de contrôle compétente.

Les organismes publics pourront également se prévaloir des dérogations mentionnées ci-dessus.

Conclusion

En l’absence de décision d’adéquation au 1er juillet 2021, le transfert de données vers le Royaume-Uni sera en principe interdit. Le responsable du traitement qui continuerait à transférer des données au Royaume-Uni après cette date sans pouvoir s’appuyer sur l’un des quatre outils de transfert que nous venons de lister s’expose dès lors à un risque de poursuites pour violation du RGPD.

Il en est de même pour le responsable du traitement qui se contenterait d’appliquer les clauses types :

  • sans examiner les lois et pratiques nationales applicables au Royaume-Uni
  • et sans mettre en place des mesures complémentaires lorsque cela s’avère nécessaire.
Notre conseil :

En conclusion, en vue de vous préparer à l’éventualité où aucune décision d’adéquation ne serait adoptée par la Commission avant le 1er juillet 2021, nous vous conseillons de :

  • vérifier dans votre registre de traitement si certaines données sont transférées à des destinataires (prestataires, filiales etc.) localisés au Royaume-Uni ;
  • examiner si ce transfert peut se poursuivre selon une des modalités prévues à l’article 46 du RGPD,
  • mettre en œuvre le mécanisme choisi avant le 1e juillet 2021 ;
  • adapter en conséquence votre registre des traitements,
  • mentionner dans votre politique de protection des données que les données sont transférées en dehors de l’Union européenne et plus précisément au Royaume-Uni ainsi que les garanties appropriées adoptées, et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition.

Les entreprises établies au Royaume-Uni qui n’ont pas d’établissement sur le territoire des 27 États membres doivent également désigner un représentant situé dans l’UE. Le dernier délai accordé pour les transferts ne change rien à cette obligation.

de Victoria Ruelle

Une question ?

Contactez-nous