Bien que le 13 mars le Parlement ait expressément rejeté l’hypothèse d’une sortie sans accord de l’Union européenne, un « No deal » reste l’option par défaut à laquelle les entreprises basées dans l’Union transférant des données personnelles vers le Royaume-Uni doivent se préparer.

Absence de décision d’adéquation

La Commission a déclaré qu’elle n’entamerait le processus conduisant à l’éventuelle adoption d’une décision d’adéquation qu’après la sortie du Royaume-Uni de l’Union.

Au 30 mars, si l’accord de sortie est rejeté et que Bruxelles rejette le report du Brexit, le Royaume-Uni sera donc considéré comme un pays tiers au sens du RGPD. Sauf dérogation prévue par le règlement, à défaut de garanties appropriées, un transfert ou un ensemble de transferts de données personnelles vers le Royaume-Uni ne pourra plus avoir lieu.

  •  Comment se préparer et se mettre en conformité d’ici le 30 mars ?

Afin de se préparer au Brexit sans accord, les entreprises concernées doivent identifier les traitements constituant un transfert de données personnelles depuis l’Union vers le Royaume-Uni, actualiser le registre des traitements et mettre en place les garanties adaptées pour encadrer ce transfert.

Il existe plusieurs sortes de garanties :

–         Les clauses contractuelles types (« CCT ») : l’entreprise qui exporte les données doit signer des clauses « prêtes à l’emploi » adoptées par la Commission européenne ; selon que le destinataire sera responsable de traitement ou sous-traitant, le modèle de clause sera différent. Ces clauses peuvent être mises en place rapidement une fois signées par les parties et restent le seul moyen de se mettre en conformité dans les délais si les garanties décrites ci-après ne sont pas déjà en place.

–         Les Binding Corporate Rules (« BCR ») : une entreprise peut adopter une politique intra-groupe juridiquement contraignante ayant vocation à régir les transferts de données personnelles hors de l’UE. Les BCR ne peuvent s’appliquer qu’à un groupe d’entreprises ou qu’entre un responsable de traitement et ses sous-traitants. Les BCR sont soumises à un processus de validation plus ou moins long par l’autorité de protection des données.

–         Les certifications : elles permettent de démontrer la conformité des traitements de données personnelles avec les exigences d’un référentiel. Les certifications sont délivrées par un organisme accrédité. Elles permettent de démontrer que des responsables du traitement ou des sous-traitants qui ne sont pas soumis au RGPD fournissent des garanties appropriées dans le cadre des transferts de données personnelles vers un pays tiers. Ces responsables du traitement ou sous-traitants prennent l’engagement contraignant et exécutoire, au moyen d’instruments juridiquement contraignants, d’appliquer ces garanties, y compris en ce qui concerne les droits des personnes concernées.

Cependant, pour des raisons d’harmonisation au niveau européen, ce mécanisme ne devrait pas être reconnu par les autorités de protection des données avant la fin d’année.

–         Les codes de conduite : élaborés par les organismes représentant des catégories de responsables du traitement ou de sous-traitants, ils viennent préciser les modalités d’application du RGPD sur des points spécifiques tels que les transferts de données personnelles vers un pays tiers. Ces codes permettront de prendre en compte les spécificités des secteurs professionnels, mais leur création et leur mise en place peuvent être consommatrices de ressources.

  • Attention à ne pas oublier l’enregistrement du responsable de traitement à l’ICO

Bien que le RGPD ait supprimé l’obligation d’enregistrement auprès des autorités de contrôle, il existe une obligation de payer des droits d’enregistrement à l’ICO. Cette particularité propre au système britannique est prévue par la « Data Protection (Charges and Information) Regulation ». Les frais d’enregistrement, compris entre £40 et £2 900, dépendent du chiffre d’affaires de l’entreprise et du nombre de collaborateurs au sein de la structure.

Cette obligation pèse déjà sur les entreprises implantées hors du Royaume-Uni effectuant des activités de traitement liées à l’offre de biens ou de services à des personnes se trouvant au Royaume-Uni ou au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au Royaume-Uni.

Le gouvernement britannique entend maintenir cette obligation, y compris pour les entreprises qui ne sont pas établies au Royaume-Uni mais qui traitent les données personnelles de personnes se trouvant au Royaume-Uni..

A noter qu’en cas de non-respect de cette obligation, les entreprises encourent une sanction pouvant aller jusqu’à £4 350.

Qu’en est-il des transferts de données du Royaume-Uni vers l’Union ?

A priori, il n’y aura pas de mécanisme particulier à prévoir pour le traitement de données provenant du Royaume-Uni. En effet, dans son Guide portant sur les futurs amendements en cas d’un Brexit sans accord (le « No Deal Guidance »), le Gouvernement britannique a annoncé qu’il reconnaîtrait à titre provisoire tous les Etats de l’UE et de l’EEE (ainsi que Gibraltar) comme assurant un niveau de protection adéquat des données personnelles. Ces données circuleront donc librement du Royaume-Uni vers ces pays, et ce même après sa sortie de l’Union.

>> En savoir plus sur l’offre TNP en matière de Data Protection