Accueil " En tant qu'entreprise non européenne, comment se préparer au Brexit ?

Les affaires se poursuivront avec ou sans le Royaume-Uni, mais les entreprises ont besoin de certitude quant aux mesures à prendre dans le cadre des règles de protection des données.

Le "Règlement général sur la protection des données" (le "RGPD") est devenu applicable depuis le 25 mai 2018 dans tous les États membres de l'UE, y compris le Royaume-Uni. À ce stade, l'avenir du Royaume-Uni est très imprévisible : le Royaume-Uni quittera-t-il l'UE avec ou sans accord de sortie ? Que se passera-t-il s'il reste dans l'UE après un changement de plan de dernière minute ?

Dans l'hypothèse (plutôt improbable)où le Royaume-Uni resterait dans l'UE, il y aurait statu quo. Par conséquent, nous nous concentrons ici sur la manière d'aider les entreprises dans le cas où le Royaume-Uni quitterait l'UE le 30 mars 2019 à 00h00 CET - avec ou sans accord de sortie - afin qu'elles puissent anticiper son impact dans le cadre du RGPD et prendre les mesures appropriées.

Cet article explique comment les mécanismes de transfert de données pourraient changer pour les entreprises qui souhaitent transférer des données personnelles depuis et vers le Royaume-Uni.

Mécanismes de transfert de données

Le transfert de données personnelles du Royaume-Uni vers des entreprises basées en dehors de l'UE aura des conséquences différentes selon que l'entreprise est basée ou non dans un pays bénéficiant d'une décision d'adéquation de la part de la Commission européenne.

Cette section est divisée en 4 sous-sections : 1) les entreprises britanniques 2) les entreprises non basées dans l'UE (y compris les entreprises américaines qui ne sont pas certifiées dans le cadre du Privacy Shield) 3) les entreprises certifiées dans le cadre du Privacy Shield et 4) la position de l'Islande, du Lichtenstein et de la Norvège.

Vous trouverez ci-dessous un tableau qui résume toutes les possibilités :

1. Les entreprises britanniques

En cas d'absence d'accord de sortie entre l'UE/EEE et le Royaume-Uni (c'est-à-dire un Brexit sans accord), le Royaume-Uni deviendra un pays tiers à compter du 30 mars 2019 à 00h00 HEC. Cela signifie qu'en l'absence de décision d'adéquation, le transfert de données à caractère personnel de l'UE/EEE vers le Royaume-Uni devra être fondé sur l'un des instruments suivants à compter du 30 mars 2019 : Clauses de protection des données standard ou ad hoc, règles d'entreprise contraignantes, codes de conduite et mécanismes de certification ou dérogations.

Le gouvernement britannique permet actuellement aux données personnelles de circuler librement du Royaume-Uni vers l'UE/EEE, et cela se poursuivra en cas de Brexit sans accord.

2. Entreprises non basées dans l'UE (y compris les entreprises américaines qui ne sont pas certifiées en vertu du cadre du bouclier de protection de la vie privée)

Il convient d'établir une distinction entre les entreprises établies dans des pays qui bénéficient d'une décision d'adéquation et celles qui n'en bénéficient pas.

Actuellement, seul un nombre limité de pays/régions ont obtenu une décision d'adéquation de la part de la Commission européenne : Andorre, Argentine, Canada (organisations commerciales), Îles Féroé, Guernesey, Israël, Île de Man, Japon, Jersey, Nouvelle-Zélande, Suisse, Uruguay et États-Unis d'Amérique (uniquement pour les entreprises certifiées Privacy Shield).  

• En cas de décision d'adéquation

Lorsqu'une entreprise est basée dans un pays bénéficiant d'une décision d'adéquation de l'UE, il convient de garder à l'esprit deux situations possibles :

A. Accord de sortie avec le Royaume-Uni

Dans ce cas, une période de transition sera mise en place pour permettre aux flux de données de se poursuivre de la même manière qu'aujourd'hui.

B. Pas d'accord de sortie (ou après la période de transition)

L'entreprise basée en dehors de l'UE ne pourra pas s'appuyer sur la décision d'adéquation pour transférer des données avec le Royaume-Uni. Pour que le transfert soit légal, l'entreprise devra s'appuyer sur les autres mécanismes de transfert de données : Clauses de protection des données standard ou ad hoc, règles d'entreprise contraignantes, codes de conduite et mécanismes de certification ou dérogations.

• S'il n'y a pas de décision d'adéquation

Une entreprise basée dans un pays qui n'a pas fait l'objet d'une décision d'adéquation de la part de l'UE ne sera pas affectée par la sortie du Royaume-Uni. Les conditions applicables aux transferts de données avec le Royaume-Uni - avec ou sans accord de sortie - ne changeront pas. Étant donné que la loi britannique sur la protection des données (loi nationale) continuera de s'appliquer après la sortie du Royaume-Uni, les mécanismes de transfert de données suivants seront applicables : Clauses de protection des données standard ou ad hoc, règles d'entreprise contraignantes, codes de conduite et mécanismes de certification ou dérogations.

3. Bouclier de protection de la vie privée et Brexit

Cette section s'adresse spécifiquement aux entreprises basées aux États-Unis qui sont certifiées Privacy Shield. Pour rappel, le Privacy Shield est le nom qui a été donné à la décision d'adéquation accordée par la Commission européenne (en vertu de l'article 45 du RGPD) qui garantit que le niveau de protection fourni par une entreprise américaine avec cette certification est équivalent à celui existant dans l'UE. Par conséquent, le transfert de données de l'UE vers cette entreprise américaine est beaucoup plus facile et implique moins de restrictions juridiques (mais cela ne signifie pas que l'entreprise certifiée Privacy Shield est conforme au RGPD ). Cliquez ici pour lire notre article sur les 4 erreurs les plus courantes commises par les entreprises du Privacy Shield à propos du RGPD .

De nombreuses entreprises certifiées Privacy Shield sont donc très préoccupées par les mesures qu'elles devraient prendre au cas où le Royaume-Uni quitterait l'UE - qu'un accord de sortie soit conclu ou non - parce que les flux de données en provenance du Royaume-Uni ne relèveront plus du cadre du Privacy Shield.

Le gouvernement américain a déjà publié ses conseils aux entreprises du Privacy Shield (voir le lien ci-dessous dans la section "Références"). Il convient de faire la distinction entre une situation dans laquelle un accord de sortie comprend une période de transition et une situation dans laquelle il n'y a pas de période de transition (et après la fin de la période de transition).

1. Premier cas de figure : Période de transition

Pendant cette période de transition, qui s'appliquerait juste après le 30 mars 2019, les règles de l'UE (y compris les lois sur la protection des données) resteront applicables jusqu'au 31 décembre 2020. Cela signifie que le cadre du Privacy Shield restera en place pour les transferts de données avec l'UE (y compris avec le Royaume-Uni). Aucune action supplémentaire de la part de l'entreprise du bouclier de protection de la vie privée ne sera nécessaire.

2. Deuxième cas de figure : Pas de période de transition

Dans le cas où le Royaume-Uni et l'UE ne finaliseraient pas un accord de sortie avant le 30 mars 2019, les entreprises du Privacy Shield doivent prendre les mesures ci-dessous avant le 30 mars 2019 (ou avant le 31 décembre 2020 après la fin de la période de transition).

- Une organisation du bouclier de protection de la vie privée devra mettre à jour son engagement public à se conformer au bouclier de protection de la vie privée afin d'inclure le Royaume-Uni. Les engagements publics doivent indiquer spécifiquement que l'engagement s'étend aux données personnelles reçues du Royaume-Uni en vertu du bouclier de protection de la vie privée. Si une organisation prévoit de recevoir des données relatives aux ressources humaines (RH) du Royaume-Uni en vertu du bouclier de protection de la vie privée, elle doit également mettre à jour sa politique de protection de la vie privée en matière de RH. Un modèle de libellé pour ces mises à jour est fourni ci-dessous :

(INSÉREZ le nom de votre organisation) se conforme au(INSÉREZ le cadre du bouclier de protection de la vie privée UE-États-Unis [et le(s) cadre(s) du bouclier de protection de la vie privée Suisse-États-Unis]) (bouclier de protection de la vie privée) tel qu'énoncé par le ministère américain du commerce en ce qui concerne la collecte, l'utilisation et la conservation des informations personnelles transférées de(INSÉREZ l'Union européenne et le Royaume-Uni et/ou la Suisse, selon le cas) vers les États-Unis en vertu du bouclier de protection de la vie privée. (INSÉREZ le nom de votre organisation) a certifié au ministère du commerce qu'il adhère aux principes du bouclier de protection de la vie privée en ce qui concerne ces informations. En cas de conflit entre les dispositions de la présente politique de confidentialité et les principes du bouclier de protection de la vie privée, ce sont les principes du bouclier de protection de la vie privée qui prévalent. Pour en savoir plus sur le programme Privacy Shield et pour consulter la certification, veuillez consulter le site suivant https://www.privacyshield.gov/.

- Deuxièmement, les organisations doivent maintenir leur certification Privacy Shield à jour et la renouveler chaque année, comme l'exige le cadre.

Une organisation qui ne modifie pas son engagement comme indiqué ci-dessus ne pourra pas s'appuyer sur le cadre du bouclier de protection de la vie privée pour recevoir des données à caractère personnel du Royaume-Uni après le 30 mars 2019 s'il n'y a pas de période de transition ou le 31 décembre 2020, à la fin de la période de transition.

Après ces dates, une organisation qui s'est publiquement engagée à se conformer au bouclier de protection de la vie privée en ce qui concerne les données à caractère personnel reçues du Royaume-Uni et qui s'est engagée à coopérer et à se conformer au panel de l'autorité de protection des données de l'UE en vertu du cadre sera considérée comme s'étant engagée à coopérer et à se conformer au bureau du commissaire à l'information du Royaume-Uni (ICO) en ce qui concerne les données à caractère personnel reçues du Royaume-Uni sur la base du bouclier de protection de la vie privée.

4. Position de l'Islande, du Liechtenstein et de la Norvège

Pour rappel, le RGPD a été intégré à l'accord sur l'Espace économique européen (EEE) le 6 juillet 2018. Cela signifie que l'Islande, le Liechtenstein et la Norvège appliquent les règles du RGPD .

Le 20 décembre 2018, le gouvernement britannique a publié un accord sur les questions de séparation avec l'Islande, le Liechtenstein et la Norvège ("les États de l'EEE-AELE"). Cet accord comprend notamment un accord sur les droits des citoyens qui protège les droits des ressortissants de l'EEE-AELE au Royaume-Uni et des ressortissants britanniques dans l'UE/EEE, en veillant à ce qu'ils puissent continuer à contribuer à leurs communautés et à vivre leur vie dans les grandes lignes comme ils le font actuellement.

Le titre IV de l'accord concerne les "données et informations traitées ou obtenues avant la fin de la période de transition ou sur la base de l'accord". Les dispositions de ce titre visent à maintenir le même niveau de protection du traitement des données que celui qui existe actuellement.

À l'instar de la situation expliquée dans le cadre du bouclier de protection de la vie privée, les pays de l'EEE s'attendent à ce que les règles restent les mêmes. En cas de période de transition, le Royaume-Uni devra toujours garantir un niveau de protection adéquat.

Références

• Accord sur les arrangements entre l'Islande, la Principauté de Liechtenstein, le Royaume de Norvège et le Royaume-Uni de Grande-Bretagne et d'Irlande du Nord à la suite du retrait du Royaume-Uni de l'Union européenne, accord EEE et autres accords applicables entre le Royaume-Uni et les États de l'AELE membres de l'EEE en vertu de l'appartenance du Royaume-Uni à l'Union européenne :

https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/766995/Agreement_on_arrangements_between_Iceland__the_Principality_of_Liechtenstein__the_Kingdom_of_Norway_and_the_United_Kingdom_of_Great_Britain_and_Northern_Ireland_following_the_withdrawal_of_the_United_Kingdom_from_the_European_Union_.pdf

• Note d'information de l'EDPB sur les BCR (règles d'entreprise contraignantes) pour les entreprises dont l'ICO est l'autorité de surveillance principale en matière de BCR :

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb-2019-02-12-infonote-bcrs-brexit_en.pdf

• Note d'information de l'EDPB sur les transferts de données dans le cadre du RGPD en cas de Brexit sans issue :

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb-2019-02-12-infonote-nodeal-brexit_en.pdf

• Explicatif de l'accord sur les arrangements entre l'Islande, la Principauté de Liechtenstein et le Royaume de Norvège, et le Royaume-Uni de Grande-Bretagne et d'Irlande du Nord, suite au retrait du Royaume-Uni de l'Union européenne :

https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/766998/Explainer_-_UK-EEA_EFTA_Separation_Agreement.pdf

• Orientations de l'ICO sur la protection des données et le Brexit :

https://ico.org.uk/for-organisations/data-protection-and-brexit/

• Privacy Shield site officiel du gouvernement sur le Brexit :

https://www.privacyshield.gov/article?id=Privacy-Shield-and-the-UK-FAQs

• Site web du gouvernement britannique sur le Brexit :

https://www.gov.uk/government/publications/data-protection-if-theres-no-brexit-deal/data-protection-if-theres-no-brexit-deal

Contactez-nous

Contactez-nous par e-mail :edpo

Appelez-nous : +32 2 216 19 71