Feedback
ella
Impact de l'accord commercial Brexit sur le transfert des données à caractère personnel
Nouvelles en vrac
Publié le 19/01/2021

Durant les quatre premiers mois de 2021, le transfert de données à caractère personnel au Royaume-Uni peut encore se dérouler de la même manière qu'auparavant. Pendant cette période transitoire, le Royaume-Uni n'est pas encore considéré comme un pays « tiers » au sens du Règlement Général de Protection des Données (RGPD).

 

La condition est toutefois que le Royaume-Uni ne modifie pas ses règles en matière de protection des données à caractère personnel pendant cette période.

 

Cette période transitoire de 4 mois sera prolongée de 2 mois si aucune des parties ne s'y oppose. La période transitoire se termine donc au plus tard le 30 juin 2021.

 

Décision d'adéquation ou garanties appropriées ?

Ce qui se passera ensuite dépendra de la prise ou non d'une décision d'adéquation avant la fin de la période transitoire.

Le cas échéant, la libre circulation des données à caractère personnel vers le Royaume-Uni reste possible comme auparavant.

 

À défaut, le transfert de données à caractère personnel est autorisé si les responsables du traitement des données et les sous-traitants de l'Union offrent des garanties appropriées pour tout transfert de données au Royaume-Uni. Dans ce contexte, pensez aux :

 

  • Clauses contractuelles standard et clauses contractuelles « ad hoc » spécifiques ;

  • Règles d'entreprise contraignantes (BCR) ;

  • Codes de déontologie et mécanismes de certification ;

  • Dérogations prévues à l'article 49 du RGPD.
     

Qu'est-ce que cela signifie pour l'employeur?

En vertu d'une disposition transitoire dans l'accord commercial du 24 décembre 2020 entre l'Union européenne et le Royaume-Uni, le transfert de données à caractère personnel au Royaume-Uni peut encore se dérouler de la même manière qu'auparavant jusqu'au 30 juin 2021 au plus tard.

Source:
Impact du Brexit | Autorité de protection des données
Accord commercial et de coopération entre l'Union européenne et la Communauté européenne de l'énergie atomique, d'une part, et le Royaume-Uni de Grande-Bretagne et d'Irlande du Nord, d'autre part

Intro

Le 24 décembre 2020, l'Union européenne (UE) et le Royaume-Uni sont parvenus à un accord sur leurs relations commerciales futures. L'accord est applicable à partir du 1er janvier 2021.
Ce document volumineux traite également de la protection des données à caractère personnel. Le Brexit a des conséquences pour toutes les organisations de l'UE qui transmettent des données à caractère personnel à des organisations du Royaume-Uni.

Sommaire

1. Contexte - transfert de données à caractère personnel au sein et en dehors de l'UE

Le transfert de données vers un pays au sein de l'Union européenne est soumis à d'autres règles que le transfert vers un pays en dehors de l'Union européenne.

  • Au sein de l'UE, les données à caractère personnel peuvent circuler librement pour autant que l'on respecte les autres obligations du RGPD. Dans l'UE, le même niveau de protection doit en effet être garanti partout. Il en va de même pour la Norvège, le Liechtenstein et l'Islande. Ces 3 pays se sont engagés à mettre en œuvre la directive européenne sur la protection de la vie privée dans leur propre législation.

 

  • En revanche, les organisations ne peuvent transmettre des données à caractère personnel à des pays tiers que dans un nombre limité de cas.

    Notamment lorsqu'il existe :

    • une décision d'adéquation ;

    • des garanties appropriées ;

    • Cas exceptionnels à interpréter de manière limitative.


Les pays tiers sont tous les pays hors UE, à l'exception de la Norvège, du Liechtenstein et de l'Islande.

 

Sans disposition transitoire telle que prévue dans l'accord post-Brexit, le Royaume-Uni serait donc immédiatement un pays « tiers ».

2. Disposition transitoire - Le Royaume-Uni n'est temporairement pas un pays tiers

Durant les quatre premiers mois de 2021, le transfert de données à caractère personnel au Royaume-Uni peut encore se dérouler de la même manière qu'auparavant. Pendant cette période transitoire, le Royaume-Uni n'est pas encore considéré comme un pays « tiers » au sens du Règlement Général de Protection des Données (RGPD).

 

Cela signifie que pour le traitement, les responsables et les sous-traitants ne sont pas tenus d'introduire des instruments de transfert, comme des règles d'entreprise contraignantes, des clauses contractuelles standard ou d'autres instruments de transfert pour exporter des données vers le Royaume-Uni.

 

La condition est toutefois que le Royaume-Uni ne modifie pas ses règles en matière de protection des données à caractère personnel pendant cette période.

 

Cette période transitoire sera prolongée de 2 mois si aucune des parties ne s'y oppose. Cette période transitoire court donc au plus tard jusqu'au 30 juin 2021.

 

La période transitoire peut également prendre fin plus tôt si la Commission européenne adopte déjà une décision d'adéquation.

Après la période transitoire, le Royaume-Uni sera dans tous les cas un pays « tiers ».

3. Décision d'adéquation ou transfert sur la base de garanties appropriées ?

 

 

2.1. Décision d'adéquation

Si la Commission européenne a adopté une décision d'adéquation avant la fin de la période transitoire, il n'y a pas de problème. Dans ce cas, la libre circulation des données à caractère personnel vers le Royaume-Uni reste possible comme auparavant.

Rappel : qu'est-ce qu'une décision d'adéquation ?

Si un pays tiers offre un niveau adéquat de protection des données dans la législation nationale, la Commission européenne peut prendre une « décision d'adéquation ». La Commission européenne constate alors que la protection des données dans ce pays est d'un niveau comparable au RGPD.

S'il existe une décision d'adéquation, le transfert de données à caractère personnel peut se faire comme s'il s'agissait d'un transfert entre deux responsables belges ou vers un autre pays de l'Union européenne.

2.2. Pas de décision d'adéquation

Si la Commission européenne n'a pas adopté de décision d'adéquation avant la fin de la période transitoire, la situation est différente.

 

Dans ce cas, le transfert de données à caractère personnel peut avoir lieu, si les responsables du traitement des données et les sous-traitants de l'Union offrent des garanties appropriées pour tout transfert de données vers le Royaume-Uni.

Ces garanties appropriées peuvent consister à utiliser des :

 

  • clauses contractuelles standard et clauses contractuelles « ad hoc » spécifiques ;
  • règles d'entreprise contraignantes (BCR) ;
  • codes de déontologie et mécanismes de certification ;
  • Dérogations prévues à l'article 49 du RGPD.

 

Oeps,

Désolé, il s'est produit une erreur.

Veuillez réessayer plus tard.

Cette information est-elle utile pour vous ?

Oui Non

Quelle affirmation décrit le mieux votre feedback ?






Votre feedback

La version du navigateur que vous utilisez n'est pas optimale pour ce site web. La plupart des fonctions ne seront pas correctement prises en charge. La version que vous utilisez, n’est plus soutenue par Microsoft. Vous n’êtes donc plus protégé. Afin de pouvoir garantir la sécurité et la confidentialité de vos données, nous vous conseillons de passer le plus rapidement possible à Internet Explorer 11 ou d’utiliser la dernière version d’un autre navigateur.