Brexit et RGPD : les entreprises bénéficieront de 6 mois pour les transferts de données personnelles
L'article 1er du RGPD prévoit un principe de libre circulation des données entre les pays de l'Union Européenne. A partir du 31 décembre 2020 et à la suite du Brexit, le RU deviendra un état tiers ; les transferts de données personnelles vers ce pays seront alors considérés comme un transfert de données en dehors de l'UE.
Tant qu'un état tiers à l'UE n'est pas reconnu comme ayant un niveau de protection des données équivalent ou adéquat au regard des standards européens, les exportateurs de données depuis l’UE doivent mettre en place des garanties pour encadrer ces traitements de données. Il existe plusieurs types d’instruments juridiques, en particulier les clauses contractuelles types (CCT) de la Commission Européenne. Ce sont des modèles de contrats types qui doivent être signées entre deux responsables de traitement ou entre un responsable de traitement et un sous-traitant selon les cas.
Exceptionnellement, grâce à l’accord signé entre l’UE et le Royaume-Uni le 24 décembre 2020 (EU-UK Trade and Cooperation Agreement), les entreprises bénéficieront d’une période de transition pouvant aller jusqu'à 6 mois, au cours de laquelle les transferts de données vers le RU pourront continuer sans garanties supplémentaires.
Durant cette période, la Commission Européenne analysera la demande de décision d’adéquation du Royaume-Uni, sans garantie de succès durant ce laps de temps. A l’issue de cette période de transition, sans décision d’adéquation concernant le niveau de protection des données au Royaume-Uni et sauf à ce que les parties puissent justifier de garanties supplémentaires, les transferts de données personnelles vers le RU depuis l’UE seront interdits.
D’ailleurs, l’autorité de protection des données anglaise (ICO) recommande aux entreprises situées au RU et ayant des échanges de données personnelles avec l’UE d’anticiper tout risque d’interruption des transferts vers le RU.
Rappelons également que dans sa décision du 16 juillet 2020 SchremsII, la CJUE a souligné qu'il incombe à l'exportateur et à l'importateur de données d'évaluer en pratique si la législation du pays tiers permet de respecter le niveau de protection requis par le droit européen et les garanties prévues dans les CCT.
Si ce niveau ne peut pas être respecté, les entreprises doivent prévoir des mesures supplémentaires pour garantir un niveau de protection essentiellement équivalent à celui de l’UE, et elles doivent s’assurer que la législation du pays tiers ne remettra pas en cause ces mesures supplémentaires.
Enfin, à partir du 1er janvier 2021, le mécanisme du « guichet unique » ne sera plus applicable au Royaume-Uni et l’ICO n’y participera donc plus. Les responsables du traitement et les sous-traitants établis uniquement au Royaume-Uni devront désigner un représentant dans l’Union dès le 1er janvier.
Bien que l’accord du 24 décembre doive provisoirement entrer en vigueur le 1 er janvier 2021, il devra être adopté par le Conseil et validé par le Parlement Européens avant d’être définitivement ratifié et implémenté. Il devra aussi être ratifié par le Parlement anglais.