Quel est l'impact du Brexit sur vos transferts de données vers le Royaume-Uni ?

À la suite du Brexit, le Royaume-Uni est un pays tiers à la lumière du RGPD à compter du 1er janvier 2021.

Le « EU-UK Trade and Cooperation Agreement »  (« l'accord ») comprend un mécanisme de transition sur l'échange ultérieur de données à caractère personnel entre l'UE et le Royaume-Uni. Ce mécanisme sera d’application durant une période de transition initiale de quatre mois (jusqu'au 30 avril 2021), avec une possibilité de prolongation de deux mois supplémentaires (jusqu'au 30 juin 2021).

Pendant la période de transition, le transfert de données à caractère personnel entre l'UE et le Royaume-Uni ne sera pas considéré comme un transfert vers et depuis un pays tiers, à condition que le Royaume-Uni respecte les conditions énumérées dans l'accord et qu'aucune décision d'adéquation ne soit adoptée pendant la période de transition.

Après la période de transition prévue, la libre circulation des données à caractère personnel vers le Royaume-Uni ne sera plus possible sans (i) une décision d'adéquation de la Commission européenne, ou (ii) la mise en œuvre d'un outil de transfert de données tel qu'indiqué au chapitre V du RGPD :

Décision d'adéquation : le 14 janvier 2021, la commission compétente de l'UE a confirmé que l'UE est en train de finaliser son évaluation du régime de protection des données du Royaume-Uni et qu'elle entamera le processus décisionnel dans les prochaines semaines. La prochaine étape consistera à obtenir l'avis du Comité Européen de la Protection des Données (CEPD).  

Il reste à voir si une décision d'adéquation sera finalement adoptée. Le gouvernement du Royaume-Uni et l'ICO recommandent donc aux entreprises de mettre en place de toute façon des outils de transfert alternatifs, afin de se prémunir contre toute interruption de la libre circulation des données à caractère personnel entre l'UE et le Royaume-Uni.

Clauses contractuelles types et règles d'entreprise contraignantes : si aucune décision d'adéquation n'est adoptée par la Commission européenne avant la fin de la période de transition, les données à caractère personnel ne peuvent être transférées que sur la base des garanties et dérogations appropriées énumérées aux articles 46 ou 49 du RGPD, par exemple, en concluant des clauses contractuelles types ou en adoptant des règles d'entreprise contraignantes (nouvelles ou adaptées). Depuis l'arrêt Schrems II de la Cour de Justice, les responsables du traitement (exportateurs de données) doivent se conformer à des mesures supplémentaires pour transférer des données à caractère personnel à un destinataire situé dans un pays tiers (importateur de données). Pour plus d'informations, veuillez consulter notre analyse précédente.