PROFITER DU BREXIT POUR RAPPELER LES RÈGLES LIÉES AUX FLUX HORS UE

Par Charles-Emile FAUGLOIRE

Consultant Juriste RGPD

      

Suite au référendum sur le Brexit de juin 2016 et à la procédure enclenchée au niveau européen, le retrait du Royaume-Uni de l’Union Européenne doit avoir lieu le 29 mars 2019, à minuit (heure de Paris). Cela signifie qu’au 30 mars 2019 le Royaume-Uni deviendra un pays tiers et en l’absence d’accord avec l’UE pour un retrait dit « ordonné », les flux de données personnelles seront considérés comme un transfert de données hors de l’Union Européenne (UE) et de l’Espace Economique Européen (EEE). Or, au 30 mars 2019, le Royaume-Uni ne sera pas considéré comme un pays assurant un niveau de protection adéquat sur la base d’une décision d’adéquation prise par la Commission européenne.

Ainsi, en cas de Brexit sans accord, quel que soit le type d’organisme concerné, le transfert de données vers le Royaume-Uni sera possible si un des outils présentés ci-dessous est en place et effectif à compter du 30 mars 2019.

Si vos traitements impliquent des flux de données vers le Royaume-Uni (ou si vous n’avez pas encore mis en conformité vos traitements impliquant des flux vers un pays ne bénéficiant pas d’un niveau de protection adéquat), voici un petit rappel des outils pour garantir sa conformité :

Les clauses contractuelles types ; modèles de contrats de transfert de données personnelles adoptés par la Commission européenne, qui permettent d’encadrer les transferts de données entre deux responsables de traitement ou entre un responsable de traitement et un sous-traitant. Ces clauses ont pour but de faciliter la tâche des responsables de traitement dans la mise en œuvre de contrats de transfert puisqu’il s’agit d’un outil pouvant être considéré comme « prêt à l’emploi » et mis en place rapidement, en suivant les recommandations sur la page dédiée du site de la CNIL.

Les clauses contractuelles spécifiques dites « ad-hoc » ; contrats de transferts de données personnelles qui permettent d’encadrer les transferts de données dans des situations spécifiques, comme par exemple lorsque les clauses contractuelles types ne sont pas applicables ou nécessitent d’être modifiées. Ces clauses contractuelles ad-hoc doivent cependant être préalablement autorisées par la CNIL, après avis du Comité européen de la protection des données.

Les règles d’entreprise contraignantes (ou binding corporate rules – BCR) ; politique de protection des données intra-groupe en matière de transferts de données personnelles hors de l’Union européenne. Elles sont juridiquement contraignantes et respectées par les entités signataires du groupe, quel que soit leur pays d’implantation, ainsi que par tous leurs salariés d’une même entreprise ou d’un même groupe. Toutes les informations pour la mise en place de règles d’entreprise contraignantes sont disponibles sur la page dédiée du site de la CNIL.

Pour les responsables de traitement ou sous-traitants ayant soumis une demande d’autorisation BCR auprès de l’autorité britannique de protection des données (ICO) toujours en cours d’instruction au moment de la sortie de Royaume-Uni, le Comité européen de la protection des données a publié une note d’information dédiée relative au suivi de la demande, qui sera assuré par une autre autorité de protection de données dans l’Union.

Les codes de conduites et les mécanismes de certifications pourraient également constituer des outils de transfert appropriés, à condition qu’ils comportent l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées. Ces outils doivent être préalablement autorisés par la CNIL, après avis du Comité européen de la protection des données. Il s’agit de nouveaux outils introduits par le RGPD sur lesquels des lignes directrices et recommandations sont en cours de préparation au sein du Comité européen de la protection des données.


accueil Blog Actu-CIL