article banner
legal

RGPD et Brexit - Quid des transferts de données vers le Royaume-Uni à partir de 2021 ?

Marc Van den Bossche Marc Van den Bossche

Tous les pays de l’Espace économique européen (EEE) sont soumis au Règlement général européen sur la protection des données (RGPD) et constituent donc – en principe – des pays sûrs vers lesquels des données à caractère personnel peuvent être transférées. Cela implique que toutes les conditions en matière de transfert de données imposées par le RGPD et les législations nationales en matière de protection des données soient remplies. Nous n’entrerons pas dans le détail de ces conditions dans le présent article.

Mais qu’en est-il des transferts de données vers le Royaume-Uni à partir du 1er janvier 2021 ? L’accord de Brexit entre le Royaume-Uni et l’Union européenne prévoit entre autres que jusqu’au 30 avril 2021 (si un État membre s’oppose à la prolongation), voire jusqu’au 30 juin 2021 au plus tard, le Royaume-Uni sera considéré comme membre fictif de l’EEE pour ce qui est de l’application du RGPD.

Pour la période qui suit, il y a deux possibilités : soit la Commission européenne prend une décision d’adéquation en temps utile, de sorte que le Royaume-Uni sera considéré comme un pays offrant un niveau de protection approprié des données, soit elle ne le fait pas.

Si les règles britanniques (les ‘UK GDPR’) n’obtiennent pas une décision d’adéquation en temps utile, le Royaume-Uni sera considéré comme n’importe quel autre pays tiers à partir du 1er juillet 2021. Les transferts de données à caractère personnel vers le Royaume-Uni devront alors être soumis à des mesures supplémentaires. Dans la pratique, il sera généralement fait usage de ‘standard contractual clauses’ qui devront alors être reprises in extenso dans le contrat régissant le transfert de données. Pour les transferts au sein de groupes internationaux, il pourra être fait usage de ‘binding corporate rules’ (règles édictées au sein d’un groupe de sociétés). En plus de ces mesures juridiques, il est préférable de recourir à des protections techniques (cryptage, anonymisation…). Il est toujours conseillé de demander l’avis de spécialistes lors de la mise en œuvre de telles mesures.