[Brèves] Brexit sans accord : les préconisations de la CNIL

Alors que le Comité européen de la protection des données a adopté en février 2019 une note d’information sur l’éventualité d’un Brexit sans accord à l’attention des organismes dans l’Union qui transmettent des données personnelles vers le Royaume-Uni, la CNIL a précisé, le 10 septembre 2019, dans une série de questions-réponses, les recommandations et étapes à suivre pour se préparer au scénario du «No-deal Brexit».

Elle rappelle notamment, que les responsables du traitement et les sous-traitants dans l’Union devront assurer un niveau de protection suffisant et approprié pour tout transfert de données vers le Royaume-Uni, avec la mise en place d’outils permettant l'encadrement de ces transferts, conformément au «RGPD» (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I). En effet, au 1er novembre 2019, le Royaume-Uni ne sera pas considéré comme un pays assurant un niveau de protection adéquat sur la base d’une décision d’adéquation prise par la Commission européenne.

Par ailleurs, les étapes suivantes permettront de déterminer les démarches à initier pour garantir la conformité de vos traitements :
- identifier les activités de traitement constituant un transfert de données personnelles vers le Royaume-Uni ;
- déterminer l’outil de transfert le plus approprié à mettre en place pour ces activités de traitement (cf. infra) ;
- procéder à la mise en place de l’outil de transfert choisi pour que celui-ci soit applicable et effectif au 1er novembre 2019 ;
- mettre à jour la documentation interne afin d’y inscrire les transferts vers le Royaume-Uni à compter du 1er novembre 2019 ;
- le cas échéant, mettre à jour l’information aux personnes concernées afin d’indiquer l’existence d’un transfert des données hors de l’UE et de l’EEE s’agissant du Royaume-Uni.

Ensuite, les outils suivants pourront permettre aux organismes d’encadrer les transferts de données personnelles vers le Royaume-Uni de façon appropriée :
- les clauses contractuelles types, qui sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne et qui permettent d’encadrer les transferts de données entre deux responsables du traitement ou entre un responsable du traitement et un sous-traitant ;
- les clauses contractuelles spécifiques dites «ad-hoc», qui permettent d’encadrer les transferts de données dans des situations spécifiques, comme par exemple lorsque les clauses contractuelles types ne sont pas applicables ou nécessitent d’être modifiées ;
- les règles contraignantes d’entreprises (ou binding corporate rules -BCR-), qui désignent une politique de protection des données intra-groupe en matière de transferts de données personnelles hors de l'Union européenne ;
- les codes de conduites et les mécanismes de certifications, qui pourraient également constituer des outils de transfert appropriés, à condition qu’ils comportent l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

En plus des outils de transferts décrits précédemment lorsqu’ils sont applicables aux autorités et organismes publics, le «RGPD» prévoit des instruments spécifiques qui peuvent être mis en œuvre par ce type d’organismes pour l’encadrement de leurs transferts de données hors de l’Union européenne (UE) et de l’Espace économique européen (EEE) :
- des instruments juridiques contraignants entre ces autorités publiques ou organismes publics (telle une convention internationale) ;
- des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées.

Il est précisé que, quel que soit le type d’organisme concerné, l’outil choisi pour encadrer le transfert de données vers le Royaume-Uni devra être mis en place et effectif à compter du 1er novembre 2019.

Enfin, pour les données personnelles envoyées depuis le Royaume-Uni vers l’Union européenne, le gouvernement britannique a annoncé que la situation resterait inchangée et que la libre circulation des données vers l’UE serait permise sans besoin de garantie supplémentaire. Dès lors, en cas de réception de données d’un responsable du traitement ou sous-traitant britannique, il n’y a a priori pas de changement pour ces traitements, qui devront toutefois être conformes aux dispositions du «RGPD» ou tout autre cadre juridique spécifique applicable une fois les données reçues.

© Reproduction interdite, sauf autorisation écrite préalable