« No-deal Brexit » : no transfer ?

27 février 2019

Le CEPD a publié, le 12 février dernier, deux documents sur les conséquences d’un « no-deal Brexit ». L’un de ces documents évoque les transferts de données et l’autre, les sociétés ayant désigné l’autorité britannique comme autorité chef de file s’agissant de leurs BCR.

Suite au référendum sur le Brexit de juin 2016 et à la procédure enclenchée au niveau européen, la sortie du Royaume-Uni de l’Union européenne doit avoir lieu le 29 mars 2019 à minuit. Cela fera du Royaume-Uni un « pays tiers » au sens du RGPD, ce qui aura plusieurs conséquences.

S’agissant, tout d’abord, de la question du transfert des données vers le Royaume-Uni, le CEPD indique qu’en l’absence d’accord, il conviendra bel et bien de considérer le Royaume-Uni comme un pays tiers à partir du 30 mars prochain.

Dans une telle hypothèse, les outils suivants pourront permettre aux organismes d’encadrer les transferts de données personnelles vers le Royaume-Uni de façon appropriée :

  • Les clauses contractuelles types ;
  • Les clauses contractuelles spécifiques dites « ad-hoc » ;
  • Les BCR ;
  • Les codes de conduites et mécanismes de certification.

Il est à noter que le gouvernement britannique a communiqué sa volonté d’incorporer le RGPD au sein d’une loi nationale, ce qui laisse à penser que la Commission européenne serait susceptible de rendre, à l’avenir, une décision d’adéquation au sujet du Royaume-Uni.

Par ailleurs, le Brexit aura également un impact sur l’approbation, par l’autorité de contrôle britannique, des BCR, mécanisme prévue par l’article 47 du RGPD.

En effet, s’agissant des sociétés ayant désigné l’autorité britannique (l’ICO) comme autorité chef de file pour l’approbation de leur BCR, le CEPD rappelle que l’ICO n’aura plus de rôle à jouer pour ce qui est de ladite approbation.

Ainsi :

Les groupes ayant leur siège au Royaume-Uni souhaitant soumettre des BCR devront identifier l’autorité chef de file la plus appropriée au sein de l’Union européenne.

Les groupes ayant déjà soumis leur BCR à l’ICO devront également identifier une nouvelle autorité chef de file, qui prendra la main sur la procédure de validation et débutera une nouvelle procédure lors de la confirmation du « no-deal Brexit ». Si les BCR ont été soumises au CEPD, c’est ce dernier qui désignera la nouvelle autorité chef de file.

Les détenteurs de BCR validés par l’ICO devront, eux aussi, désigner une nouvelle autorité chef de file.

Documents :

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb-2019-02-12-infonote-bcrs-brexit_en_0.pdf

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb-2019-02-12-infonote-nodeal-brexit_en_0.pdf

https://www.gov.uk/government/publications/data-protection-if-theres-no-brexit-deal/data-protection-if-theres-no-brexit-deal

DERRIENNIC ASSOCIES

Tags: , , , ,