Une note d’information sur les transferts de données à caractère personnel en cas de Brexit sans accord (no-deal Brexit ou Hard Brexit, dans la terminologie actuelle reprise par les médias français). Dans la foulée, la CNIL* a communiqué le 20 février dernier concernant l’éventualité d’un Brexit sans accord, avec des conseils adaptés. Les récents développements européens sur la question ont repoussé à l’après 29 mars l’échéance envisageable d’un no-deal. Au Royaume-Uni, les tractations actuelles entre et au sein de l’exécutif et du législatif seront déterminantes, quant à la forme et aux échéances du Brexit. Voici les principaux points à retenir concernant le RGPD** en cas de sortie du Royaume-Uni de l’UE sans accord, ou avec un accord n’accordant pas au Royaume-Uni le statut de pays « adéquat » au RGPD.
Les conséquences d’un no-deal
A compter de la date de sortie effective de l’UE, le Royaume-Uni sera considéré comme un pays tiers, par défaut non adéquat avec le standard européen de protection des données personnelles. Ainsi, les responsables de traitement situé dans l’Espace Economique Européen auront l’obligation de transférer, moyennant garanties, les données personnelles qu’ils détiennent. Ces garanties sont listées dans le RGPD, et prévoient chaque cas de figure possible. Les garanties permettant un transfert de données à caractère personnel vers le Royaume-Uni à compter du Brexit, en nombre limité, sont les suivantes :
Les clauses contractuelles types
Il s’agit de contrats de transfert adoptés par la Commission européenne, dont le contenu est figé et ne peux être modifié par les responsables de traitement ou les sous-traitants concernés. Ces clauses contractuelles doivent être signées entre l’exportateur de données (celui qui est à l’origine du transfert) et l’importateur (celui qui reçoit les données).
Les clauses contractuelles dites ad-hoc
A la différence des clauses contractuelles types, les clauses ad-hoc peuvent être spécifiques mais ne peuvent être utilisées que lorsque les clauses types ne sont pas applicables ou doivent être modifiées. Elles doivent être autorisées par la CNIL, après avis du Comité européen de la protection des données.
Les règles d’entreprise contraignantes (ou BCR)
Elles désignent une politique de protection des données à l’intérieur d’un groupe d’entreprises. Elles doivent être mises en application par toutes les sociétés membres du groupe, quel que soit leur pays d’implantation, et sont juridiquement contraignantes.
Les codes de conduite et les certifications
Pour constituer des garanties, ces outils doivent comporter des engagements contraignants et exécutoires pris par les destinataires hors-UE. Ils doivent également être validés par la CNIL, après avis du CEPD. Des lignes directrices et des recommandations sont au demeurant en cours d’élaboration par le CEPD. En cas de sortie du Royaume-Uni sans accord, ces outils devront être mis en place dès le lendemain du Brexit.
Des dérogations possibles aux garanties, mais limitées
Le transfert de données à caractère personnel vers un état n’offrant pas un niveau de protection adéquat est possible sans garantie, dans des situations particulières. Celles-ci sont limitées et sont possibles, si la personne dont les données sont concernées a consenti à ce transfert, ou si ce dernier est nécessaire à :
- L’exécution d’un contrat entre la personne et le responsable du traitement
- L’exécution d’un contrat conclu dans l’intérêt de la personne concernée
- Des motifs importants d’intérêt public
- La constatation, à l’exercice ou à la défense de droits en justice
- La sauvegarde des intérêts vitaux de la personne concernée Ce transfert est également possible sans garantie s’il a lieu au départ d’un registre qui est légalement destiné à fournir des informations au public et est ouvert à la consultation du public ou de toute personne justifiant d’un intérêt légitime. Concernant les données personnelles envoyées du Royaume-Uni, le gouvernement britannique a annoncé que le principe de libre circulation de celles-ci prévaudrait, sans garantie spécifique nécessaire.
CNIL* : Commission nationale de l’informatique et des libertés
RGPD** : Règlement général sur la protection des données