Depuis le 31 janvier 2020, le Royaume-Uni est devenu un pays tiers de l’Union Européenne (UE). Les parties ont convenu que l’application du RGPD serait maintenue jusqu’au 30 juin 2021. Des interrogations subsistent concernant l’encadrement des flux de données personnelles entre l’Espace Economique Européen (EEE) et le Royaume-Uni après cette échéance.
Par deux avis du 13 avril 2021, le Comité Européen à la Protection des Données (CEPD) s’est prononcé sur les projets de décision d’adéquation comme outil de transfert.
L'enjeu d'une décision d'adéquation
Le Règlement général à la protection des données dit « RGPD », encadre les transferts de données personnelles vers des pays tiers à l’UE et l’EEE.
Un transfert de données personnelles vers un pays tiers est licite uniquement si un niveau de protection adéquat est assuré. Le niveau de protection est déterminé par la Commission européenne, laquelle octroie un tel statut par une décision d’adéquation, laquelle fait l’objet d’un examen par le CEPD.
A la fin du mois de juin, il n’y aura plus d’accord entre l’Europe et le Royaume-Uni concernant le transfert de données personnelles, à défaut d’adoption d’une décision d’adéquation en la matière, conséquence directe du BREXIT.
Les transferts de données vers le Royaume-Uni pourraient devenir illégaux, à moins que d’autres outils de transferts prévus par le RGPD et présentant les garanties nécessaires soient mis en œuvre individuellement par les acteurs du traitement.
Toutefois, les transferts les plus aisés sont ceux fondés sur une décision d’adéquation dans la mesure où il sont libres de tout formalisme et sont considérés comme bénéficiant d’un niveau de protection adéquat.
Que dit le CEPD ?
Au Royaume-Uni, le traitement des données est régi par le « RGPD britannique » et la loi de 2018 sur la protection des données, tous deux basés sur le RGPD et la directive en matière de protection des données dans le domaine répressif de l'UE.
Dans son premier avis du 13 avril 2021, le CEPD a évalué les aspects généraux de la protection des données appliqués au Royaume-Uni sous le prisme du RGPD.
Le Comité relève une forte harmonisation des cadres juridiques sur des aspects essentiels du RGPD tels que la base légitime du traitement, la limitation des finalités, la proportionnalité et le principe de minimisation de la collecte, la conservation des données, la sécurité, confidentialité et transparence, ainsi que les règles relatives à la prise de décision automatisée et le profilage.
Le CEPD souligne cependant que plusieurs points devraient faire l'objet d'une évaluation plus approfondie et d’un contrôle de la Commission. (Pour aller plus loin, lire l’avis n°14/2021 du 13 avril 2021)
Dans un second temps , le CEPD a évalué le niveau de protection des données personnelles au regard de la directive en matière de protection des données dans le domaine répressif, dite « directive Police ».
Selon le Comité, certains aspects méritent de faire l’objet d’un suivi supplémentaire ou de clarifications, à savoir :
- les interceptions en masse ;
- l'évaluation et la surveillance indépendantes de l'utilisation des outils de traitement automatisé ;
- les garanties prévues par le droit britannique en matière de divulgation à l'étranger, notamment à la lumière de l'application des exemptions de sécurité nationale.
Pour aller plus loin, lire l’avis n°15/2021 du 13 avril 2021
Que faire en l’absence de décision d’adéquation ?
D’autres mécanismes de transferts sont susceptibles d’être mis en œuvre. Néanmoins, il vous faudra vérifier que ces transferts sont encadrés par des garanties suffisantes.
En effet, en tant qu’exportateur de données personnelles, vous devez prévoir des garanties appropriées telles que l’encadrement de vos partenariats par les clauses contractuelles types de la Commission Européenne, ou des clauses ad hoc soumises à validation de la CNIL.
Par ailleurs, l’article 49 du RGPD permet d’effectuer un transfert ponctuel, à certaines conditions restrictives.
Pour aller plus loin, téléchargez gratuitement notre guide dédié aux transfert de données personnelles.
Quelle est la sanction en cas de transfert irrégulier ?
Le fait de transférer des données personnelles vers un pays tiers sans respecter les conditions applicables aux transferts est passible d’une amende administrative pouvant aller jusqu’à la somme de 20.000.000 euros ou 4 % du chiffre d’affaires mondial réalisé par l’organisme traitant.
