Le 20 février dernier, la CNIL a précisé, dans une série de questions-réponses, les recommandations et étapes à suivre pour se préparer au scénario du « No-deal Brexit ».
Deux scénarios de sortie possibles. Les négociateurs de l’UE et du Royaume-Uni se sont entendus le 25 novembre dernier sur un projet d’accord de retrait du Royaume-Uni de l’UE. Cet accord doit désormais être ratifié par les parlements britannique et européen. Malgré le résultat négatif du vote du 15 janvier 2019 à la Chambre des Communes, l’accord peut encore être ratifié ultérieurement par le Royaume-Uni. Si l’accord de retrait est ratifié, le droit de l’Union européenne cessera de s’appliquer au Royaume-Uni à partir du 1er janvier 2021, à l’issue d’une période de transition de 21 mois, pouvant être étendue à deux ans. Si l’accord de retrait n’est pas ratifié il n’y aura pas de période de transition et le droit de l’Union européenne cessera de s’appliquer au Royaume-Uni à partir du 30 mars 2019.
Dans ses recommandations la CNIL distingue, d’une part, les conséquences pour les responsables de traitements et les sous-traitants, européens (I) et britanniques (II).
1. L’impact du « No-deal Brexit » pour les acteurs de traitements situés en UE
Les étapes à suivre selon la CNIL. Dans L’hypothèse du « No-deal Brexit », les transferts de données personnelles vers le Royaume Uni seront considérés comme des transferts de données hors UE. Dès lors, la CNIL invite les responsables de traitements et les sous-traitants européens à :
1. Identifier les activités de traitement constituant un transfert de données personnelles vers le Royaume-Uni ;
2. Déterminer l’outil de transfert le plus approprié à mettre en place pour ces activités de traitement;
3. Procéder à la mise en place de l’outil de transfert choisi pour que celui-ci soit applicable et effectif au 30 mars 2019 ;
4. Mettre à jour sa documentation interne afin d’y inscrire les transferts vers le Royaume-Uni à compter du 30 mars 2019 ;
5. Le cas échéant, mettre à jour l’information aux personnes concernées afin d’indiquer l’existence d’un transfert des données hors de l’UE et de l’EEE s’agissant du Royaume-Uni.
L’obligation d’encadrer les transferts de données vers le Royaume-Uni en l’absence de décision d’adéquation. Le RGPD interdit les transferts de données hors Union européenne, sauf (i) dans certains cas particuliers, ou (ii) si le destinataire est situé dans un pays offrant un niveau de protection déclaré «adéquat» (1) par la Commission européenne, ou enfin (iii) si les parties utilisent des outils juridiques appropriés (2). En cas de Brexit sans accord, la CNIL rappelle que les outils suivants pourront ainsi permettre aux organismes d’encadrer les transferts de données personnelles vers le Royaume-Uni de façon appropriée :
• Les clauses contractuelles types (les « CCT ») (3) : modèles de contrats de transfert de données personnelles adoptés par la Commission européenne les CCT permettent d’encadrer les transferts de données (i) entre deux responsables du traitement ou (ii) entre un responsable du traitement et un sous-traitant ;
• Les clauses contractuelles spécifiques dites « ad-hoc » (4) sont des contrats de transferts de données personnelles qui permettent d’encadrer les transferts de données dans des situations spécifiques et doivent être préalablement autorisées par la CNIL, après avis du Comité européen de la protection des données ;
• Les règles contraignantes d’entreprises (ou binding corporate rules – « BCR ») (5) désignent une politique de protection des données intra-groupe en matière de transferts de données personnelles hors de l’Union européenne. Elles sont juridiquement contraignantes et respectées par les entités signataires du groupe, quel que soit leur pays d’implantation, ainsi que par tous leurs salariés d’une même entreprise ou d’un même groupe ;
• Les codes de conduites (6) et les mécanismes de certifications (7) constituer des outils de transfert appropriés, à condition qu’ils comportent l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées. Ces outils doivent être préalablement autorisés par la CNIL, après avis du Comité européen de la protection des données.
2. L’impact du « No-deal Brexit » pour les acteurs de traitements situés au Royaume-Uni
Une situation qui reste inchangée pour le transfert de données provenant du Royaume-Uni. En vertu du « European Union Withdrawal Act 2018 », les dispositions du RGPD deviendront des dispositions de droit interne britannique. Ainsi, la plupart des obligations incombant, à ce jour, aux organismes britanniques ne devraient pas changer.
La nécessité de désigner un représentant dans l’Union européenne. L’article 27 du RGPD impose aux responsables de traitement et sous-traitants britanniques de désigner un représentant au sein de l’UE dès lors qu’il effectuent des activités de traitements liées, en application de l’article 3, 2° du RGPD (i) à l’offre de biens ou de services à des personnes concernées dans l’UE, à titre gratuit ou onéreux ; ou (ii) au suivi du comportement des personnes concernées, dans la mesure où il s’agit d’un comportement ayant lieu au sein de l’UE. Le représentant aura notamment pour rôle d’être le point de contact des personnes concernées et des autorités de contrôle européennes.
Les députés britanniques ont, quant à eux, opté le 14 mars 2019 pour un report du Brexit au 30 juin.
Pour en savoir plus : Lien vers le site de la CNIL
(1) Article 45 du RGPD ;
(3) Article 93 § 2 du RGPD ;
(4) Article 93 § 2 du RGPD ;
(5) Article 47 du RGPD ;
(6) Article 40 du RGPD ;
(7) Article 42 du RGPD.
Rédigé par
Matthieu Bourgeois ASSOCIÉ
matthieu.bourgeois@kleinwenner.eu
+33 (0)1 44 95 20 00
Lisa Bataille AVOCAT
lisa.bataille@kleinwenner.eu
+33 (0)1 44 95 20 00