blog
Brexit et données personnelles : le compte à rebours a commencé
4 janvier 2021

La messe est dite ! Vous avez six mois pour mettre en conformité vos opérations de traitement de données personnelles effectuées dans le cadre de partenariats avec des entités situées au Royaume-Uni. En effet, après 10 mois d’intenses négociations, un accord sur les conditions de sortie du pays de l'Union européenne a enfin été trouvé.

Au titre de cet accord, les transferts de données personnelles vers le Royaume-Uni continueront d’être régis par le RGPD général sur les données personnelles n° 2016/679 (ci-après le « RGPD ») en tant que traitements intracommunautaires pour une période additionnelle de six mois.  A l’issue de cette période, tous les transferts vers le Royaume-Uni seront considérés comme des transferts de données « hors UE » et seront par conséquent soumis à des formalités particulières.

Transferts de données vers le Royaume-Uni à compter du 1er juillet 2021 : comment se conformer ?

Le transfert de données personnelles vers un pays tiers est possible à condition de respecter les règles prévues par le RGPD.

En premier lieu, si la Commission européenne autorise de manière générale les opérations de transferts vers le Royaume-Uni à travers l’adoption d’une « décision d’adéquation » (art. 45 du RGPD), aucune démarche ne sera nécessaire. Reste à voir si l’institution européenne considèrera au terme de son examen que la règlementation nationale confère une protection des données satisfaisante car, si le Royaume-Uni a transposé le RGPD dans son droit national (Data Protection Act 2018), il faut garder à l’esprit son adhésion à d’autres accords moins protecteurs pour les citoyens européens (par exemple l’alliance des services de renseignement britannique, australien, canadien, néo-zélandais et américain « Five Eyes »)…

En l’absence d’une telle autorisation, il conviendra d’assurer un niveau de protection des données suffisant et approprié à travers la mise en place d’outils juridiques spécifiquement prévus par la règlementation applicable et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives (art. 46 du RGPD). Ces mécanismes incluent les clauses contractuelles types de protection des données adoptées par la Commission européenne (CCT) et les règles contraignantes d’entreprises (BCR).

Enfin, les échanges de données avec des organismes britanniques pourront être légalement effectués dans la mesure où ils seront fondés sur l’un des critères de l’article 49 du RGPD, soit le consentement éclairé explicite de la personne concernée, le caractère nécessaire du traitement au regard de l’exécution d’un contrat dans l’intérêt de la personne concernée, de l’intérêt public ou encore d’intérêts vitaux.

Fin de l’application du dispositif du « guichet unique » au Royaume-Uni : quelles conséquences ?

En vertu de l’accord de coopération du 24 décembre dernier signé entre le Royaume-Uni et l’UE, le système du « guichet unique » n’est plus applicable au pays sortant depuis le 1er janvier 2021.

Au titre de ce système, l’autorité de protection des données du pays de l’UE où se trouve l’établissement principal de l’entreprise fait office d’autorité « chef de file », permettant à l’entreprise de disposer d’un seul interlocuteur pour l’accomplissement de diverses obligations. En cas de traitements transfrontaliers notamment, la violation de données personnelles peut être notifiée exclusivement à l’autorité chef de file, qui se chargera par la suite de transmettre les informations pertinentes à ses homologues européens. 

En conséquence, l’autorité britannique de protection des données (ICO) ne participera plus à ce dispositif et les organismes établis sur le sol britannique et ne possédant pas d’établissement principal sur le sol de l’UE ne pourront plus se prévaloir de ce mécanisme simplifié en cas de traitements transfrontaliers.

En ce qui concerne les plaintes et cas transfrontaliers impliquant l’ICO déjà existants, la CNIL a indiqué s’être concertée avec l’autorité britannique au cours des derniers mois afin d’assurer une transition sans encombre.

De l’obligation de désigner un représentant dans l’Union européenne

A l’issue de la période de transition de six mois, les entreprises établies au Royaume-Uni et ne possédant pas d’établissement sur le sol de l’UE pourront toujours, si leurs activités de traitement de données personnelles concernent des personnes situées dans l’UE, être soumises aux dispositions du RGPD. 

Ces entreprises devront dès lors, conformément à l’article 27 du RGPD, désigner un représentant dans L’Union. Ce représentant est mandaté par l’organisme pour être un point de contact de référence à qui les autorités de contrôle et les personnes concernées pourront s’adresser pour toutes les questions relatives aux activités de traitement et aux fins d’assurer le respect du RGPD.

Pour en savoir plus : https://ec.europa.eu/commission/presscorner/detail/fr/IP_20_2531 

blog
Brexit et données personnelles : le compte à rebours a commencé
4 January 2021

La messe est dite ! Vous avez six mois pour mettre en conformité vos opérations de traitement de données personnelles effectuées dans le cadre de partenariats avec des entités situées au Royaume-Uni. En effet, après 10 mois d’intenses négociations, un accord sur les conditions de sortie du pays de l'Union européenne a enfin été trouvé.

Au titre de cet accord, les transferts de données personnelles vers le Royaume-Uni continueront d’être régis par le RGPD général sur les données personnelles n° 2016/679 (ci-après le « RGPD ») en tant que traitements intracommunautaires pour une période additionnelle de six mois.  A l’issue de cette période, tous les transferts vers le Royaume-Uni seront considérés comme des transferts de données « hors UE » et seront par conséquent soumis à des formalités particulières.

Transferts de données vers le Royaume-Uni à compter du 1er juillet 2021 : comment se conformer ?

Le transfert de données personnelles vers un pays tiers est possible à condition de respecter les règles prévues par le RGPD.

En premier lieu, si la Commission européenne autorise de manière générale les opérations de transferts vers le Royaume-Uni à travers l’adoption d’une « décision d’adéquation » (art. 45 du RGPD), aucune démarche ne sera nécessaire. Reste à voir si l’institution européenne considèrera au terme de son examen que la règlementation nationale confère une protection des données satisfaisante car, si le Royaume-Uni a transposé le RGPD dans son droit national (Data Protection Act 2018), il faut garder à l’esprit son adhésion à d’autres accords moins protecteurs pour les citoyens européens (par exemple l’alliance des services de renseignement britannique, australien, canadien, néo-zélandais et américain « Five Eyes »)…

En l’absence d’une telle autorisation, il conviendra d’assurer un niveau de protection des données suffisant et approprié à travers la mise en place d’outils juridiques spécifiquement prévus par la règlementation applicable et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives (art. 46 du RGPD). Ces mécanismes incluent les clauses contractuelles types de protection des données adoptées par la Commission européenne (CCT) et les règles contraignantes d’entreprises (BCR).

Enfin, les échanges de données avec des organismes britanniques pourront être légalement effectués dans la mesure où ils seront fondés sur l’un des critères de l’article 49 du RGPD, soit le consentement éclairé explicite de la personne concernée, le caractère nécessaire du traitement au regard de l’exécution d’un contrat dans l’intérêt de la personne concernée, de l’intérêt public ou encore d’intérêts vitaux.

Fin de l’application du dispositif du « guichet unique » au Royaume-Uni : quelles conséquences ?

En vertu de l’accord de coopération du 24 décembre dernier signé entre le Royaume-Uni et l’UE, le système du « guichet unique » n’est plus applicable au pays sortant depuis le 1er janvier 2021.

Au titre de ce système, l’autorité de protection des données du pays de l’UE où se trouve l’établissement principal de l’entreprise fait office d’autorité « chef de file », permettant à l’entreprise de disposer d’un seul interlocuteur pour l’accomplissement de diverses obligations. En cas de traitements transfrontaliers notamment, la violation de données personnelles peut être notifiée exclusivement à l’autorité chef de file, qui se chargera par la suite de transmettre les informations pertinentes à ses homologues européens. 

En conséquence, l’autorité britannique de protection des données (ICO) ne participera plus à ce dispositif et les organismes établis sur le sol britannique et ne possédant pas d’établissement principal sur le sol de l’UE ne pourront plus se prévaloir de ce mécanisme simplifié en cas de traitements transfrontaliers.

En ce qui concerne les plaintes et cas transfrontaliers impliquant l’ICO déjà existants, la CNIL a indiqué s’être concertée avec l’autorité britannique au cours des derniers mois afin d’assurer une transition sans encombre.

De l’obligation de désigner un représentant dans l’Union européenne

A l’issue de la période de transition de six mois, les entreprises établies au Royaume-Uni et ne possédant pas d’établissement sur le sol de l’UE pourront toujours, si leurs activités de traitement de données personnelles concernent des personnes situées dans l’UE, être soumises aux dispositions du RGPD. 

Ces entreprises devront dès lors, conformément à l’article 27 du RGPD, désigner un représentant dans L’Union. Ce représentant est mandaté par l’organisme pour être un point de contact de référence à qui les autorités de contrôle et les personnes concernées pourront s’adresser pour toutes les questions relatives aux activités de traitement et aux fins d’assurer le respect du RGPD.

Pour en savoir plus : https://ec.europa.eu/commission/presscorner/detail/fr/IP_20_2531