Mise à jour des informations : Le 28 juin dernier, la Commission européenne a reconnu que le Royaume-Uni présentait un niveau de protection des données personnelles équivalent à celui garanti au sein de l’Union européenne et a donc adopté une décision d’adéquation en sa faveur (dont la durée est limitée à 4 ans). Désormais, tout transfert de données à caractère personnel vers le Royaume-Uni est autorisé dans le respect des principes du RGPD et peut être réalisé sans qu’il soit nécessaire de mettre en place des clauses contractuelles types ou d’autres garanties spécifiques requises pour les pays hors Union Européenne et hors adéquation. A noter qu’une réforme sur le respect des données personnelles est actuellement à l’étude au Royaume-Uni. La Commission européenne a d’ores et déjà annoncé surveiller de près cette réforme et prendra les mesures qui s’avéreraient nécessaires en cas d’évolutions problématiques qui pourraient remettre en cause la portée et la durabilité de cet accord.
Alors que le Brexit est entré en application depuis le 1er janvier 2021, la gestion des données personnelles entre le Royaume-Uni et les pays membres de l’Union européenne (« l’Union ») suit un calendrier différent. En effet, une période de transition était ouverte jusqu’au 31 décembre 2020, période durant laquelle le Royaume-Uni continuait d’appartenir au territoire douanier de l’Union, au marché intérieur et le droit de l’Union s’appliquait toujours. Au cours cette période, des négociations entre les parties ont eu lieu et ont abouti, le 24 décembre 2020, à la présentation d’un accord de coopération et de commerce. Cet accord définit désormais les modalités de coopération entre le Royaume-Uni et l’Union dans certains domaines, notamment la circulation de données. Ces mesures auront des impacts dans les prochains mois sur les relations commerciales et contractuelles dès lors que des données personnelles font partie du périmètre du contrat.
Données personnelles : un accord transitoire jusqu’au 1er juillet 2021
En vertu de l’accord de coopération et de commerce signé entre l’Union et le Royaume-Uni, le Règlement européen sur la protection des données (« RGPD ») restera applicable, de manière transitoire, au Royaume-Uni, pour une durée supplémentaire maximale de 6 mois, soit jusqu’au 1er juillet 2021.
Dès lors, jusqu’au 1er juillet 2021, toute communication de données personnelles vers le Royaume‑Uni continuera de se faire dans le cadre actuel et ne sera pas considérée comme un transfert de données vers un pays tiers, où des garanties appropriées doivent être mises en œuvre pour assurer une protection suffisante.
L'article 44 du RGPD pose le principe selon lequel le transfert de données à caractère personnel vers un pays tiers est possible à condition d’assurer un niveau de protection des données suffisant et approprié. A défaut de décision d’adéquation prise par la Commission européenne, ces transferts doivent être encadrés en utilisant différents outils juridiques tels que les clauses contractuelles types dans sa documentation contractuelle, les règles d’entreprise contraignantes (binding corporate rules « BCR ») les codes de conduite ou encore des mécanismes de certification.
Ainsi, à l’issue de ces six mois, tout transfert de données personnelles vers le Royaume-Uni sera considéré comme un transfert vers un pays tiers et nécessitera la mise en place de garanties appropriées ; sauf si la Commission européenne reconnaît le Royaume-Uni comme un pays présentant un niveau de protection adéquat.
Deux hypothèses corrélées à la décision de la Commission européenne
Dès lors, au 1er juillet 2021, deux hypothèses sont envisageables pour les transferts de données personnelles à destination du Royaume-Uni :
- La Commission européenne décide, dans les six mois à venir, que le Royaume-Uni est un pays présentant un niveau de protection adéquat.
Dans ce cas, le transfert de données à caractère personnel peut se faire sans encadrement particulier par des outils de transfert, à condition toutefois de respecter les dispositions et principes de la réglementation RGPD (respect des principes clés ; mise en place d’un registre des traitements ; mise en place de contrat de sous‑traitance, etc.)
- La Commission européenne ne décide pas, dans les six mois à venir, que le Royaume‑Uni est un pays présentant un niveau de protection adéquat.
Dans ce cas, tout transfert de données à caractère personnel vers le Royaume-Uni sera considéré comme un transfert vers un pays tiers qui doit être encadré par des outils de transfert (clauses contractuelles types de la Commission européenne, clauses contractuelles ad hoc, BCR, codes de conduite, mécanismes de certification).
A l’inverse, pour le transfert de données du Royaume-Uni vers l’Union européenne, les conditions seront fixées par le Royaume-Uni. A ce titre, le gouvernement britannique avait annoncé que la situation resterait inchangée et que la libre circulation des données vers l’Union européenne serait permise sans besoin de garanties supplémentaires. Il conviendra néanmoins de surveiller l’évolution de la réglementation britannique.
De possibles sanctions en cas de non-respect du RGPD
Enfin, à défaut de respecter les règles du RGPD, notamment celles relatives au transfert de données à caractère personnel vers un pays tiers, la formation restreinte de la CNIL dispose d’un pouvoir de sanction.
Il peut être prononcé des sanctions pécuniaires graduelles jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’entreprise concernée. Des sanctions non-pécuniaires telles qu’un rappel à l’ordre, une suspension du flux de données, une limitation temporaire ou définitive du traitement, une injonction sous astreinte ou la publicité de la décision peuvent également être prononcées.
Peu de sanctions concernant le transfert de données à caractère personnel hors de l’Union ont été prononcées à ce jour, par la formation restreinte de la CNIL. Toutefois, une amende de 500.000 € et une injonction sous astreinte ont récemment été prononcées à l’encontre d’une société d’installation d’équipements d’isolation, notamment pour transfert non encadré de données hors de l’Union.
En conclusion, il appartient à chaque acteur économique qui a des relations contractuelles ou commerciales avec le Royaume-Uni de déterminer l’impact éventuel du Brexit sur son activité et sur sa documentation contractuelle afin de prendre les mesures nécessaires permettant de se conformer avec la réglementation applicable et d’en limiter les risques.
Accord de coopération et de commerce UE / UK
Des mises à jour concernant le Brexit sont consultables sur le site http://www.brexit.gouv.fr
Un outil d’autodiagnostic personnalisé à destination des entreprises concernées par le Brexit est accessible sur http://www.votrediagnosticbrexit.fr/