CONTACT

Communiqué de la Commission Européenne du 9 janvier 2018

16 février 2018 | Derriennic Associés|

La Commission européenne a, le 9 janvier dernier, publié un communiqué au sujet des conséquences du Brexit sur le terrain des transferts de données personnelles.

Le Royaume-Uni a entamé l’année dernière les démarches pour sortir de l’Union Européenne.

A la date de sortie effective de sa sortie de l’union, à priori en décembre 2018, le Royaume-Uni deviendra un pays tiers au sens du RGPD.

Cela a des répercussions sur les entreprises basées dans ce pays dans la mesure où le principe est l’interdiction de transfert de données vers un pays tiers situé hors de l’Union Européenne sauf respect des conditions fixées par le Règlement.

La meilleure solution pour le Royaume Uni serait de pouvoir bénéficier d’une décision d’adéquation de la Commission européenne, reconnaissant un niveau de protection des données adéquat et permettant ainsi les transferts de données sans besoin de garanties spécifiques.

A défaut, le règlement impose la fourniture de garanties appropriées par le responsable de traitement ou le sous-traitant basé hors UE, sous peine de sanctions et que la Commission rappelle dans son communiqué, à savoir :

  • La signature de clauses contractuelles types de la Commission Européennequi sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne permettant d’encadrer les transferts entre deux responsables de traitement ou entre un responsable de traitement et un sous-traitant ;
  • La mise en place de règles d’entreprise contraignantesou BCRapprouvées par l’autorité de protection des données compétente dans le cas de transferts de données entre entités d’un même groupe ;
  • L’application de codes de conduite ou de mécanismes de certification assortis de l’engagement contraignant et exécutoire pris par le responsable de traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

Ceci étant, des dérogations existent à l’exigence de ces garanties si le transfert est par exemple :

  • fondé sur le consentement explicite de la personne concernée ;
  • nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable de traitement ;
  • ou encore nécessaire pour des motifs importants d’intérêt public ou la constatation, l’exercice ou la défense de droits en justice.

Les clauses contractuelles types et les BCR existaient déjà sous l’empire de la directive de 95 mais ont bénéficié d’une simplification administrative par le règlement qui a supprimé la nécessité d’obtenir également une autorisation spécifique de l’autorité de contrôle.

Les codes de conduite et mécanismes de certification sont quant à eux de nouveaux outils introduits par le règlement.

En conclusion de son communiqué, la Commission indique travailler avec les parties intéressées et les autorités de protection des données afin de tirer le meilleur parti de ces outils d’encadrement des transferts.

Personnalisation des cookies

Cookies de mesures d'audience

Ce site utilise Matomo à des fins statistiques (cookies de mesure d’audience). Ils permettent de savoir combien de fois une page déterminée a été consultée. Nous utilisons ces informations uniquement pour améliorer le contenu de notre site Internet.

Il s’agit des cookies suivants :

_ga : Ce cookie permet d’identifier les visiteurs du site via l’adresse IP de l’utilisateur. Elle est ensuite anonymisée par Matomo Analytics.

_gat_gtag_UA_162039697_1 : Ce cookie permet de limiter le nombre de requêtes simultanées au site et d’éviter les bugs

_gid : Ce cookie permet d’identifier les visiteurs du site via leur adresse IP (conservation de 24h). Elle est ensuite anonymisée par Matomo Analytics.

Vous pouvez consulter la page dédié à la protection des données de Matomo