RGPD et Brexit sans accord : les conséquences sur le traitement des données

Le 29 mars 2019 à minuit, le Royaume-Uni sortira de l’Union Européenne et deviendra un pays tiers. Comment vont s’organiser le flux de données personnelles dirigés vers le pays en cas de Brexit sans accord ? La CNIL donne des éléments de réponse pour se préparer à cette éventualité.

Comment se préparer à l’éventualité d’un Brexit sans accord ?

Si votre entreprise transfère des données personnelles vers un responsable de traitement ou un sous-traitant au Royaume-Uni, vous êtes alors concerné par l’éventualité d’un Brexit sans accord. La CNIL révèle dans un communiqué les prochaines marches à suivre pour rester conforme lors des traitements des données :

1. Dans un premier temps, vous devrez identifier les activités de traitement constituant un transfert de données personnelles vers le Royaume-Uni.
2. Selon les spécificités de votre entreprise et la nature des traitements, vous devrez déterminer l’outil de transfert le plus approprié, répertorié dans la liste des possibilités ci-dessous.
3. Mettre en place l’outil choisi et faire en sorte qu’il soit effectif au 30 mars 2019
4. Mettre à jour votre documentation et y renseigner les transferts vers le Royaume-Uni.
5. Mettre à jour l’information envoyée aux personnes concernées en précisant l’existence d’un transfert des données hors de l’UE et de l’EEE (Espace Économique Européen) pour le cas du Royaume-Uni.

Comment encadrer les transferts de données vers le Royaume-Uni ?

• Des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne. Considérés comme «prêts à l’emploi», ils permettent à un responsable de traitement d’encadrer le transfert des données avec un autre responsable ou un sous-traitant. Suivre les conseils de la CNIL sur cette page.
• Des modèles de contrats de transfert des données personnelles répondant à des situations spécifiques. « Ces clauses contractuelles ad-hoc doivent cependant être préalablement autorisées par la CNIL, après avis du Comité européen de la protection des données », précise l’instance.
• Les règles d’entreprise contraignantes (ou binding corporate rules) sont des politiques de protection des données personnelles appliquées au sein des groupes d’entreprise (par exemple, des multinationales) afin de fournir les garanties appropriées à toutes les entités d’un groupe, même en dehors de l’UE, et à leurs collaborateurs.
• Des codes de conduites et des mécanismes de certifications, qui devront préalablement autorisés par la CNIL, après avis du Comité européen de la protection des données.
• Pour les autorités et organismes publics, des instruments juridiques contraignants comme les conventions internationales.
• Des dérogations peuvent également être appliquées. « Ces dérogations ne peuvent être utilisées que dans des situations particulières, indique la CNIL : les responsables de traitement doivent s’efforcer de mettre en place des garanties appropriées et ne doivent recourir à ces exceptions qu’en l’absence de telles garanties. »

Quel que soit l’outil choisi pour encadrer le transfert de données, celui-ci doit être mis en place et effectif au 30 mars 2019.