Hard Brexit : quelles conséquences sur les transferts de données ?
Par Anne Cousin, le 12 septembre 2019
La CNIL vient de publier une série de questions-réponses afin d’anticiper les conséquences en matière de traitement de données à caractère personnel d’un Brexit sans accord.
En principe, si le Royaume-Uni ne ratifie pas l’accord de retrait négocié avec l’Union Européenne, il deviendra un Etat tiers à l’Union Européenne dès le 1er novembre 2019. Or, le transfert de données personnelles en dehors de l’Union Européenne nécessite la mise en place d’un cadre juridique particulier, alors que jusqu’à présent aucune formalité n’était requise pour transférer des données vers le Royaume-Uni.
Plusieurs « outils » sont ainsi prévus par le Règlement Général sur la Protection des Données Personnelles et la loi Informatique et Libertés pour transférer des données personnelles en dehors de l’Union Européenne, comme le rappelle la CNIL.
Parmi ces « outils » figurent notamment les Clauses contractuelles types qui consistent en des contrats-types de transfert de données adoptés par la Commission européenne. Ces contrats prévoient que le responsable de traitement ou le sous-traitant établi dans un Etat tiers doit respecter plusieurs obligations qui reprennent les grands principes de la législation européenne en matière de traitement de données personnelles.
Il est également possible d’adopter des Règles d’entreprise contraignantes qui consistent en une politique de confidentialité intra-groupe juridiquement contraignante pour les entités signataires. Ces règles doivent être soumises à l’autorité de contrôle compétente pour adoption.
En plus de cet encadrement juridique, il est nécessaire d’informer les personnes concernées du transfert de leurs données vers un Etat tiers à l’Union européenne. Il faudra donc indiquer expressément aux personnes dont les données sont collectées que celles-ci sont transférées vers le Royaume-Uni.
Il faut souligner que la CNIL n’indique pas dans sa série de questions-réponses qu’elle entend accorder un délai de mise en conformité aux entreprises à compter de la date effective d’un éventuel Brexit, ce qui avait pourtant été le cas lors de l’invalidation du mécanisme d’adéquation « Safe Harbor », mécanisme qui permettait de transférer des données à caractère personnel vers les Etats-Unis.
Hard Brexit : what are the consequences on data transfers?
Anne Cousin, September 12th 2019
The CNIL has just published a Q&A in order to anticipate the consequences of a no-deal Brexit on personal data processing.
If the United Kingdom does not ratify the withdrawal agreement negotiated with the European Union, it normally will become a third country to the European Union on
1st November 2019. The transfer of personal data outside the European Union requires the implementation of a specific legal framework, whereas until now no formalities have been required to transfer data to the United Kingdom.
Several « tools » are thus provided for by the General Regulation on the Protection of Personal Data and the “Loi Informatique et libertés” to transfer personal data outside the European Union, as recalled by the CNIL.
These « tools » include in particular the standard contractual clauses consisting of standard data transfer agreements adopted by the European Commission. These agreements provide that the data controller or data processor established in a third country must comply with several obligations which incorporate the main principles of European legislation on personal data processing.
It is also possible to adopt Binding Corporate Rules that consist of a legally binding intra-group privacy policy for signatory entities. These rules must be submitted to the competent supervisory authority for adoption.
In addition to this legal framework, it is necessary to inform the data subjects of the transfer of their data to a third country. It will therefore be necessary to expressly indicate to the data subjects that his/her data is transferred to the United Kingdom.
It should be stressed that the CNIL does not indicate in the Q&A, that it intends to grant companies a compliance period from the effective date of a possible Brexit, which was the case when the « Safe Harbor » adequacy mechanism, a mechanism that made it possible to transfer personal data to the United States, was invalidated.