« No-deal Brexit » : les conseils de la CNIL

12 septembre 2019

A supposer qu’aucun report de date n’intervienne et en l’absence de ratification d’un accord de retrait, le Royaume-Uni deviendra un pays tiers à l’Union européenne au 1er novembre 2019. Cela signifie que les transferts de données à destination de ce pays seront considérés comme des transferts de données hors de l’UE et de l’EEE. La CNIL a précisé, dans une publication du 10 septembre 2019, ses recommandations et les étapes à suivre pour se préparer à cet éventuel « No-deal Brexit ».

La CNIL rappelle qu’au 1er novembre 2019, le Royaume-Uni ne sera pas considéré comme un pays assurant au niveau de protection adéquat sur la base d’une décision d’adéquation. Les organismes devront en conséquence encadrer les transferts de données vers le Royaume-Uni, par exemple à l’aide des outils suivants :

  • clauses contractuelles types ;
  • clauses contractuelles spécifiques dites « ad-hoc » ;
  • règles contraignantes d’entreprises (ou binding coprorate rules, BCR) ;
  • codes de conduites et mécanisme de certification.

La CNIL ajoute qu’en cas de « No-deal Brexit », quel que soit le type d’organisme concerné, l’outil choisi pour encadrer le transfert de données vers le Royaume-Uni devra être mis en place et effectif à compter du 1er novembre 2019.

Elle rappelle également qu’en l’absence de garanties appropriées encadrant le transfert, ce dernier peut néanmoins être opéré sur la base de dérogations (cf. article 49 du RGPD). Toutefois, selon la CNIL, « les responsables de traitement doivent s’efforcer de mettre en place des garanties appropriées et ne doivent recourir à ces exceptions qu’en l’absence de telles garanties ».

Enfin, la CNIL indique également que « pour les données personnelles envoyées depuis le Royaume-Uni vers l’Union Européenne, le gouvernement britannique a annoncé que la situation resterait inchangée et que la libre circulation des données vers l’UE serait permise sans besoin de garantie supplémentaire ». Ainsi, les destinataires, dans l’UE, de données d’un responsable du traitement ou sous-traitant britannique n’auront, pour leur part, pas d’action à mener, si ce n’est se conformer aux dispositions du RGPD ou de « tout autre cadre juridique spécifique applicable une fois les données reçues ».

Lien vers la publication :

https://www.cnil.fr/fr/se-preparer-un-brexit-sans-accord-quelles-questions-quels-conseils-de-la-cnil

DERRIENNIC ASSOCIES

Tags: , , , , , ,