12/12/20

Le transfert de données au Royaume-Uni post Brexit

Votre politique de protection des données est-elle prête pour le Brexit ?

Le 31 janvier dernier, le Royaume-Uni a officiellement quitté l’Union Européenne. Cependant, l’accord de retrait, entré en vigueur le 1er février 2020, marquait également le début d’une période de transition pendant laquelle toutes les règles de droit européen, en ce compris le RGPD, continuent à s’appliquer au Royaume-Uni. Cette période transitoire prendra fin le 31 décembre 2020. Pour cette raison, il est grand temps de se préparer à cette échéance qui approche à grand pas.

Quelles conséquences pour les entreprises établies dans des pays membres ?

Le transfert de données à caractère personnel en dehors de l’Union européenne est en principe interdit, afin d’éviter que les données ne soient soumises à un cadre juridique étranger moins protecteur que ne l’est le R.G.P.D.

A partir du 1e janvier 2021, le Royaume-Uni sera considéré comme un « pays tiers » à l’Union Européenne. Ça signifie que tout transfert de données d’un Etat membre de l’Union vers le Royaume-Uni constituera un « flux transfrontalier » dont la légalité devra être appréciée au regard des articles 44 à 49 du RGPD.

Selon l’article 45 du RGPD, les transferts de données vers des pays tiers peuvent avoir lieu lorsque la Commission octroie une « décision d’adéquation » par laquelle elle constate que le pays destinataire des données présente des garanties « essentiellement équivalentes » à celles du RGPD.

La Commission n’a encore pris aucune décision en ce qui concerne le Royaume-Uni.

A défaut, comme l’a confirmé l’EDPB, le transfert de données ne pourra se faire que s’il présente un niveau de protection suffisant et approprié.

Comment faire ?

Il existe dès lors quatre autres façons d’assurer le niveau de protection requis.

  • Les clauses contractuelles

La Commission européenne a adopté, en 2010, deux décisions reprenant en annexe des clauses types de transfert de données.

Dans un arrêt du 16 juillet 2020 (« arrêt Schrems II »), la Cour de justice de l’Union européenne a confirmé que les clauses contractuelles types sont valides et peuvent être utilisées pour transférer des données vers un pays tiers. Cependant, la Cour a ajouté qu’elles ne sont désormais plus, à elles seules, suffisantes.

Dans la mesure où ces clauses types ne sont en réalité que des obligations contractuelles auxquelles s’obligent les parties au transfert, elles ne peuvent, à elles seules, assurer un niveau suffisant de protection des données, par rapport aux éventuelles immixtions étatiques.

Il faut donc que le responsable de traitement procède à une analyse de la situation juridique prévalant dans le pays tiers et, sur cette base, mette en place des « mesures supplémentaires » afin d’assurer le respect effectif de ce niveau de protection. Cette appréciation se fait au cas par cas par le responsable de traitement en collaboration avec le destinataire des données.

Cependant, la Cour ne donne pas d’indication plus concrète sur ce que seraient ces mesures supplémentaires. Il s’agit de mécanismes effectifs permettant, en pratique, d’assurer la conformité au niveau de protection substantiellement équivalent au niveau de protection garanti par le RGPD.

Le 11 novembre 2020, l’EDPB a publié deux recommandations, la recommandation 01/2020 et 02/2020. Celles-ci ont pour but de lever l’incertitude sur la notion de mesures supplémentaires et d’aider le responsable de traitement à procéder à l’analyse du système juridique du pays tiers.

La première recommandation porte sur les mesures supplémentaires à mettre en place pour s’assurer que les données soumises au transfert conservent une protection conforme à celle accordée par l’UE. Elle prévoit une approche en 6 étapes pour aider le responsable de traitement à évaluer si le transfert présente les garanties appropriées.

La seconde recommandation porte quant à elle sur les mesures de surveillance. Elle a pour but de guider le responsable de traitement pour savoir si les mesures de surveillance permettent aux autorités publiques du pays importateur d’avoir un accès aux données à caractère personnel. Sur ce point, il est certain que le Royaume-Uni dispose d’importants moyens de surveillance et qu’il faut donc être prudent.

Par conséquent, le responsable de traitement doit décider quelles mesures techniques, contractuelles et/ou organisationnelles doivent être prises pour assurer la protection des données soumises au transfert.

Enfin, le 12 novembre 2020, à savoir le lendemain de l’adoption des recommandations dont il est question ci-dessus, la Commission européenne a publié une nouvelle version des clauses contractuelles types. La Commission a actualisé ces clauses suite à l’entrée en vigueur du RGPD et l’arrêt Schrems II. Ce document n’est actuellement qu’une proposition soumise à la consultation publique. La version finale est attendue pour début 2021. Un délai d’un an sera accordé pour remplacer les clauses actuelles par leur nouvelle version.

  • Les règles d’entreprises contraignantes (BCR)

Lorsque les transferts de données ont lieu au sein d’un même groupe d’entreprise, celles-ci peuvent mettre en place des « règles d’entreprises contraignantes ». Ces règles ont pour objet de s’assurer que les données sont protégées de manière adéquates par toutes les entités dont se compose la société. Chaque entité du groupe d’entreprise doit adhérer à ces règles afin d’assurer la protection des données en cas de transfert intra-groupe et ce, indépendamment de la localisation de celles-ci.

Toutefois, ce mécanisme présente les mêmes faiblesses que les clauses types par rapport aux immixtions étatiques.

En outre, les règles d’entreprise contraignantes doivent être préalablement approuvées par plusieurs autorités de contrôle nationales, ce qui n’est pas envisageable avant le 31 décembre prochain.

  • Codes de conduites et certifications

Les transferts de données peuvent également se baser sur des codes de conduites ou sur des mécanismes de certification. Ces outils doivent être contraignants et adaptés aux spécificités concrètes du domaine d’activité concerné.

A ce jour, aucun code de conduite ni aucune certification n’a encore vu le jour.

  • Dérogations prévues à l’article 49 du RGPD

Quand aucun des trois outils exposés ci-dessus ne peut justifier le transfert des données vers un pays tiers, le responsable du traitement peut, en dernier recours, tenter d’invoquer les dérogations prévues à l’article 49 du RGPD. Pour cela, le transfert des données à destination du Royaume-Uni doit présenter un caractère occasionnel et non répétitif, ainsi que répondre à l’une des conditions suivantes :

  • la personne concernée a donné son consentement après avoir été informée des risques liés au transfert ;
  • le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée ;
  • le transfert est nécessaire pour des motifs importants d’intérêt public

Conclusion

Le responsable du traitement qui continuerait à transférer des données au Royaume-Uni après le 31 décembre 2020 sans pouvoir s’appuyer sur l’un des quatre outils de transfert que nous venons de lister s’expose dès lors à un risque de poursuites pour violation du RGPD.

Il en est de même pour le responsable du traitement qui se contenterait d’appliquer les clauses types sans examiner les lois et pratiques nationales applicables au Royaume-Uni et sans mettre en place des mesures complémentaires lorsque cela s’avère nécessaire.

Notre conseil :

En conclusion, nous vous conseillons de :

  • vérifier dans votre registre de traitement si certaines données sont transférées à des destinataires (prestataires, filiales etc.) localisés au Royaume-Uni ;
  • examiner si ce transfert peut se poursuivre selon une des modalités prévues à l’article 46 du RGPD,
  • mettre en œuvre le mécanisme choisi avant le 1e janvier 2021 ;
  • adapter en conséquence votre registre des traitements,
  • mentionner dans votre politique de protection des données que les données sont transférées en dehors de l’Union européenne et plus précisément au Royaume-Uni ainsi que les garanties appropriées adoptées, et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition.

Par Victoria Ruelle 

dotted_texture