La Commission européenne a, le 9 janvier dernier, publié un communiqué au sujet des conséquences du Brexit sur le terrain des transferts de données personnelles.
Le Royaume-Uni a entamé l’année dernière les démarches pour sortir de l’Union Européenne.
A la date de sortie effective de sa sortie de l’union, à priori en décembre 2018, le Royaume-Uni deviendra un pays tiers au sens du RGPD.
Cela a des répercussions sur les entreprises basées dans ce pays dans la mesure où le principe est l’interdiction de transfert de données vers un pays tiers situé hors de l’Union Européenne sauf respect des conditions fixées par le Règlement.
La meilleure solution pour le Royaume Uni serait de pouvoir bénéficier d’une décision d’adéquation de la Commission européenne, reconnaissant un niveau de protection des données adéquat et permettant ainsi les transferts de données sans besoin de garanties spécifiques.
A défaut, le règlement impose la fourniture de garanties appropriées par le responsable de traitement ou le sous-traitant basé hors UE, sous peine de sanctions et que la Commission rappelle dans son communiqué, à savoir :
- La signature de clauses contractuelles types de la Commission Européennequi sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne permettant d’encadrer les transferts entre deux responsables de traitement ou entre un responsable de traitement et un sous-traitant ;
- La mise en place de règles d’entreprise contraignantesou BCRapprouvées par l’autorité de protection des données compétente dans le cas de transferts de données entre entités d’un même groupe ;
- L’application de codes de conduite ou de mécanismes de certification assortis de l’engagement contraignant et exécutoire pris par le responsable de traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.
Ceci étant, des dérogations existent à l’exigence de ces garanties si le transfert est par exemple :
- fondé sur le consentement explicite de la personne concernée ;
- nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable de traitement ;
- ou encore nécessaire pour des motifs importants d’intérêt public ou la constatation, l’exercice ou la défense de droits en justice.
Les clauses contractuelles types et les BCR existaient déjà sous l’empire de la directive de 95 mais ont bénéficié d’une simplification administrative par le règlement qui a supprimé la nécessité d’obtenir également une autorisation spécifique de l’autorité de contrôle.
Les codes de conduite et mécanismes de certification sont quant à eux de nouveaux outils introduits par le règlement.
En conclusion de son communiqué, la Commission indique travailler avec les parties intéressées et les autorités de protection des données afin de tirer le meilleur parti de ces outils d’encadrement des transferts.
