Sujet brûlant de ces derniers mois, le 1^er janvier 2021 a sonné le glas du Brexit. Un sujet peut en cacher un autre. Un accord de commerce et de coopération a été convenu in extremis entre le Royaume-Uni et l’Union européenne le 24 décembre dernier, concernant le transfert de données personnelles.

Cet accord retient que le Règlement européen pour la protection des données personnelles (RGPD) reste applicable au Royaume-Uni de manière transitoire, et ce pour une durée maximale de six mois. 

Le RGPD reste applicable outre-Manche jusqu’au 1^er juillet 2021.  

L’accord convenu entre le Royaume-Uni et l’Union couvre le sort de la protection des données à caractère personnel, et il nous offre plus d’informations sur l’avenir du transfert des données personnelles vers le Royaume-Uni. Il ressort des grandes lignes de cet accord que le RGPD reste applicable outre-Manche pour une durée de six mois au maximum. Ainsi, jusqu’au 1^er juillet 2021, les transferts de données vers le Royaume-Uni ne seront pas considérés comme des transferts de données vers un pays tiers au sens du Chapitre V du RGPD. 

Cet accord sous-entend qu’à la suite de cette période transitoire, c’est-à-dire, à partir du 1^er juillet 2021, et si la Commission européenne ne convient pas d’une décision d’adéquation concernant le caractère adéquat de la protection assurée par la législation anglaise, toute communication de données personnelles vers le Royaume-Uni sera considérée comme un transfert de données personnelles vers un pays tiers. 

Le sort du transfert de données personnelles vers le Royaume-Uni suite au 1^er juillet 2021.  

Après le 1^er juillet 2021, le sort du transfert de données personnelles outre-Manche dépendra des prochaines négociations entre l’Union européenne et le Royaume-Uni. Le RGPD en son chapitre V encadre le transfert de données personnelles en dehors de l’Union européenne, les transferts dits « vers un pays tiers ». 

Au titre de l’article 45 du RGPD, la Commission européenne pourrait éventuellement constater par le biais d’une décision d’adéquation que la législation du Royaume-Uni concernant la protection des données personnelles assure un niveau de protection adéquat au regard des exigences européennes. La reconnaissance du caractère adéquat de cette législation permettrait le transfert de données personnelles vers le Royaume-Uni aussi simplement que s’il s’agissait d’un État membre de l’Union européenne. 

En l’absence de décision d’adéquation, les responsables de traitement ou sous-traitants européens ne pourront transférer les données personnelles vers le Royaume-Uni qu’après avoir prévu des garanties appropriées, et à la condition que les personnes concernées par les traitements, disposent bien de droits opposables et de voies de droit effectives. L’article 46 du règlement européen dresse la liste de ces garanties appropriées, on y retrouve les règles d’entreprise contraignantes ou les clauses contractuelles types qui ont été adoptées par la Commission européenne. À noter que les règles d’entreprise contraignantes, c’est-à-dire les « binding corporate rules » ont pour avantage une fois approuvées par l’autorité compétente de dessiner une véritable politique de protection des données personnelles. Elles permettent d’engager une démarche de mise en conformité globale, en encadrant de manière juridiquement contraignante les transferts hors Union européenne à l’échelle d’un groupe mondial d’entreprises. 

Il est essentiel de retenir que les sanctions en cas de transferts non encadrés vers un pays tiers peuvent aller du rappel à l’ordre à l’amende administrative dont le montant maximum est de 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’exercice précédent. La CNIL se réserve aussi la possibilité de limiter le traitement voire de suspendre les flux de données.