La CNIL avait publié, le 31 janvier 2020, jour de la sortie du Royaume-Uni de l’Union européenne, un texte indiquant qu’en application de l’accord de retrait, les dispositions du RGPD continueraient à s’appliquer à ce pays pendant une période transitoire courant jusqu’au 31 décembre 2020. La CNIL indiquait que cette période transitoire pourrait faire l’objet d’une prolongation.
C’est chose faite.
Le 24 décembre 2020, le Royaume-Uni et l’Union européenne ont convenu, dans le cadre de l’accord de commerce et de coopération, que le RGPD restera applicable au Royaume-Uni pour une durée de 6 mois supplémentaires.
Une nouvelle période transitoire s’ouvre donc, pendant laquelle les transferts de données personnelles vers le Royaume-Uni continueront à se faire comme si le pays destinataire était un pays de l’Union européenne et non un pays tiers.
« A l’issue de cette période de 6 mois et à défaut d’une décision de la Commission européenne autorisant de façon générale les transferts de données personnelles vers le Royaume-Uni dite « décision d’adéquation », toute communication de données personnelles vers le Royaume-Uni sera considérée comme un transfert de données vers un pays tiers. De tels transferts ne pourront s’effectuer qu’avec la mise en place de garanties appropriées, telles que prévues par le RGPD (ex : clauses contractuelles types, règles contraignantes d’entreprise, etc.) et à la condition que les Européens disposent de droits opposables et de voies de droit effectives, conformément à l’article 46 du RGPD », précise la CNIL.
Il convient toutefois de préciser que la mise en place de telles garanties pourrait ne pas s’imposer, dans le cas où la Commission européenne adopterait, d’ici le 1er juillet 2021, une décision reconnaissant que le Royaume-Uni garantit un niveau de protection adéquat.
Lien vers la publication de la CNIL : https://www.cnil.fr/fr/brexit-le-rgpd-reste-applicable-au-royaume-uni-jusquau-1er-juin-2021
