Brexit et protection des données personnelles : comment se préparer au « No deal »

20 mars 2019

Suite au blocage au Parlement britannique sur l’accord de Brexit, les dirigeants européens ont présenté Theresa May deux alternatives : ratifier l’accord du divorce dans les prochains jours et voir la date de sortie du Royaume-Uni dans l’Union décalée au 22 mai, ou voir ce délai sera raccourci au 12 avril.

Une sortie de l’Union avec un « no deal » reste l’option par défaut à laquelle les entreprises basées dans l’Union transférant des données personnelles vers le Royaume-Uni ont moins d’un mois pour se préparer.

ABSENCE DE DÉCISION D’ADÉQUATION

La Commission a déclaré qu’elle n’entamerait le processus conduisant à l’éventuelle adoption d’une décision d’adéquation qu’après la sortie du Royaume-Uni de l’Union.

Comprenons-nous bien. Au 12 avril, si l’accord de sortie est rejeté par Londres, le Royaume-Uni sera donc considéré comme un pays tiers au sens du RGPD, au même titre que le Brésil ou la Corée du Sud par exemple. Sauf dérogation prévue par le règlement, à défaut de garanties appropriées, un transfert ou un ensemble de transferts de données personnelles vers le Royaume-Uni ne pourra plus avoir lieu.

COMMENT SE PRÉPARER ET SE METTRE EN CONFORMITÉ D’ICI LE 30 MARS ?

Afin de se préparer au Brexit sans accord, les entreprises concernées doivent (1) identifier les traitements constituant un transfert de données personnelles depuis l’Union vers le Royaume-Uni, (2) actualiser le registre des traitements et surtout (3) mettre en place les garanties adaptées pour encadrer ce transfert.

Il existe plusieurs sortes de garanties :

  • Les clauses contractuelles types (« CCT ») : l’entreprise qui exporte les données doit signer des clauses « prêtes à l’emploi » adoptées par la Commission européenne ; selon que le destinataire sera responsable de traitement ou sous-traitant, le modèle de clause sera différent. Ces clauses peuvent être mises en place rapidement une fois signées par les parties et restent le seul moyen de se mettre en conformité dans les délais si les garanties décrites ci-après ne sont pas déjà en place.

  • Les Binding Corporate Rules (« BCR ») : une entreprise peut adopter une politique intra-groupe juridiquement contraignante ayant vocation à régir les transferts de données personnelles hors de l’UE. Des entreprises comme Philips, eBay, HP ou encore Intel disposent déjà de BCR. Toutefois, ces BCR ne peuvent s’appliquer qu’à un groupe d’entreprises ou qu’entre un responsable de traitement et ses sous-traitants. De plus, elles sont soumises à un processus de validation plus ou moins long par l’autorité de protection des données.

  • Les certifications : remplaçant les labels de la CNIL, elles permettent de démontrer la conformité des traitements de données personnelles avec les exigences du RGPD. Délivrées par des organismes accrédités, elles permettent de démontrer que des responsables du traitement ou des sous-traitants de pays tiers fournissent des garanties appropriées. Pour obtenir ces certifications, ces responsables du traitement ou sous-traitants doivent prendre l’engagement contraignant et exécutoire d’appliquer ces garanties, y compris en ce qui concerne les droits des personnes concernées.
    Cependant il faut savoir qu’aujourd’hui, seul le Luxembourg a mis en place une certification officielle permettant de garantir votre respect du RGPD. Pour des raisons d’harmonisation au niveau européen, ce mécanisme ne devrait pas être reconnu par les autorités de protection des données avant la fin d’année.

  • Les codes de conduite : élaborés par les organismes représentant des catégories de responsables du traitement ou de sous-traitants, ils viennent préciser les modalités d’application du RGPD sur des points spécifiques tels que les transferts de données personnelles vers un pays tiers. Ces codes permettront de prendre en compte les spécificités des secteurs professionnels, mais leur création et leur mise en place peuvent être consommatrices de ressources.

ATTENTION À NE PAS OUBLIER L’ENREGISTREMENT DU RESPONSABLE DE TRAITEMENT À L’ICO

Bien que le RGPD ait supprimé l’obligation d’enregistrement auprès des autorités de contrôle, il existe une obligation de payer des droits d’enregistrement à l’autorité de protection des données britannique, l’ICO. Cette particularité du système britannique est prévue par la « Data Protection (Charges and Information) Regulation ». Les frais d’enregistrement sont compris entre £40 pour les PME de moins de 10 collaborateurs et £2 900 pour les plus grands groupes (£36 millions de CA et plus de 250 collaborateurs).

Cette obligation pèse déjà sur les entreprises implantées hors du Royaume-Uni effectuant des activités de traitement liées à l’offre de biens ou de services à des personnes se trouvant au Royaume-Uni ou au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au Royaume-Uni.

Le gouvernement britannique entend maintenir cette obligation, y compris pour les entreprises qui ne sont pas établies au Royaume-Uni mais qui traitent les données personnelles de personnes se trouvant au Royaume-Uni..

A noter qu’en cas de non-respect de cette obligation, les entreprises encourent une sanction pouvant aller jusqu’à £4 350.

QU’EN EST-IL DES TRANSFERTS DE DONNÉES DU ROYAUME-UNI VERS L’UNION ?

Pas d’urgence de ce côté-là. A priori, il n’y aura pas de mécanisme particulier à prévoir pour le traitement de données provenant du Royaume-Uni. En effet, dans son Guide portant sur les futurs amendements en cas d’un Brexit sans accord (le « No Deal Guidance »), le Gouvernement britannique a annoncé qu’il reconnaîtrait à titre provisoire tous les Etats de l’UE et de l’EEE (ainsi que Gibraltar) comme assurant un niveau de protection adéquat des données personnelles. Ces données circuleront donc librement du Royaume-Uni vers ces pays, et ce même après sa sortie de l’Union.

En ces temps incertains, et face à l’urgence de la situation, il est fortement recommandé de sécuriser vos transferts de données vers le Royaume-Unis au plus tôt. Rapprochez-vous, si cela n’est pas déjà fait, de vos services juridiques. Les CCT de la Commission européenne sont disponibles en français et en anglais sur le site internet de la CNIL.

JULIA COLLINET
CONSULTANTE

Actualités liées