RGPD : quelles seront les conséquences du Brexit en cas de « no deal » ?

  • Home
  • Actualité
  • RGPD : quelles seront les conséquences du Brexit en cas de « no deal » ?

La date du 31 octobre se rapproche, et la possibilité de voir un accord entre l’UE et le Royaume-Uni s’éloigne de plus en plus. Quelles seront les conséquences du Brexit sur les flux de données personnelles entre l’UE et le Royaume-Uni en cas de « no deal » ? Pas de panique, on vous dit tout.

Si ce Brexit sans accord se confirme, les responsables de traitement ainsi que les sous-traitants de l’UE devront assurer un niveau de protection suffisant et approprié pour transférer des données vers le Royaume-Uni et ce dès le 1er novembre 2019 . En effet, le pays ne sera pas considéré comme un pays adéquat concernant la protection des données personnelles, tant que la Commission européenne ne l’aura pas reconnu comme tel sur la base de l’article 45 du RGPD.

Sans surprise, vous serez concerné par ce « no deal » dès lors que vous effectuerez des transferts de données vers le RU à partir du 1er novembre 2019. Pour les retardataires du fond, le RGPD prévoit un régime spécifique applicable lors de transferts en dehors de l’Union Européenne. Ainsi, des outils pourront être mis en place pour continuer ces flux de données.

Anticiper les conséquences du Brexit en l’absence d’accord

Parmi les outils proposés pour anticiper les conséquences du Brexit en l’absence d’accord, on peut retrouver :

  • Les clauses contractuelles types : ce sont des modèles de contrats de transferts de données adoptés par la Commission Européenne. Ce sont des outils considérés comme prêt à l’emploi et vous pourrez en retrouver directement sur le site de la CNIL
  • Les clauses contractuelles spécifiques dites « ad-hoc », ce sont des contrats qui permettent d’encadrer les transferts de données dans des situations spécifiques où les clauses types nécessitent une modification. Elles doivent être préalablement autorisées par la CNIL après l’avis du Comité Européen sur la protection des données (CEPD).
  • Les règles contraignantes d’entreprises (ou Binding Corporate Rules) : il s’agit d’une politique de protection des données intra-groupe. Elles sont contraignantes et doivent être respectées par les entités signataires, quelque soit leurs lieux où elles sont implantées. Vous retrouverez les informations pour la mise en place de telles règles sur le site de la CNIL.
  • Les codes de conduites et les mécanismes de certifications : ces outils doivent cependant comporter l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer ces dispositions. Encore une fois, ils doivent être autorisé par la CNIL après avis du CEPB. Ce sont des nouveaux outils introduits par le RGPD et le CEPB travaille actuellement sur les lignes directrices et recommandations.

Article à lire : Amende RGPD : quel est leur nombre depuis l’entrée en vigueur du texte ?

Quelles sont les étapes à suivre pour assurer votre conformité ?

La CNIL a publié une liste des étapes à suivre pour se préparer aux conséquences d’un Brexit en cas de « no deal », à la suite des préconisations du Contrôleur Européen de la Protection des Données :

  • Vous devez identifier les activités de traitements constituant un transfert de données personnelles vers le RU
  • Déterminer les outils de transferts adéquates et les mettre en place avant le 1er novembre 2019
  • Mettre à jour le registre des traitements afin d’y inscrire les transferts vers le RU
  • Informer les personnes concernées pour leur indiquer qu’un transfert de données existe

La tenue et l’exactitude du registre des traitements est donc primordial pour anticiper ce Brexit sans accord, afin d’avoir une vision claire des traitements de données effectués par l’entreprise et mettre en place les mesures adéquates.

Enfin, concernant les données envoyées depuis le Royaume-Uni vers l’Union Européenne, la situation reste inchangée et la libre circulation des données sera permise sans besoin de garantie supplémentaire.

Article écrit par notre Product Manager 👨🏻‍💻 Thibaut Vergne




Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *