Paris, le 28 janvier 2019 Suite au rejet de l'accord ngoci de sortie de l'Union Europenne par les dputs britanniques le 15 janvier 2019, et comme soulign dans l'article publi par REGIMBEAU, le scnario le plus probable est donc le non deal : un retrait sans accord de l'UE.

La procdure de sortie de l'UE doit s'achever le 29 mars 2019, mais jusqu' cette date, le Royaume-Uni reste un Etat membre de l'Union europenne.

Depuis le 25 mai 2018, le Rglement UE n2016/679 sur la Protection des Donnes caractre personnel (RGPD) est entre en vigueur. Dans la mesure o il s'agit d'un rglement europen, et non pas d'une directive, le texte est entr en application directement et en mme temps dans tous les Etats membres de l'Union europenne, sans transposition.

Avec le BREXIT, se pose la question des consquences sur le RGPD et plus largement, sur le sort des oprations de transfert des donnes caractre personnel vers le Royaume-Uni.

RGPD : UN TERRITOIRE D'APPLICATION ETENDU

Le RGPD avait pour objectif d'tendre la porte du champ d'application de la lgislation de l'UE concernant la protection des donnes. C'est pourquoi, son champ d'application s'applique tout traitement de donnes caractre personnel :

- qui a lieu dans le cadre des activits d'un tablissement, d'un responsable de traitement ou d'un sous-traitant, sur le territoire de l'UE, que le traitement ait lieu ou non dans l'UE ;

- relatives des personnes situes sur le territoire de l'UE par un responsable de traitement ou un sous-traitant ;

- relatives des personnes situes sur le territoire de l'UE par un responsable de traitement ou un sous-traitant qui n'est pas dans l'UE si le traitement est li :

  • A l'offre de biens ou de services aux personnes concernes dans l'UE (payant ou gratuit) ;
  • Au suivi du comportement des personnes au sein de l'UE.

Ainsi, peu importe la nationalit de la personne concerne, seuls comptent les critres de l'tablissement des acteurs impliqus dans le traitement et le territoire o est situ la personne. En raison de sa porte extraterritoriale, pour la majorit des acteurs britanniques le RGPD continuera de s'appliquer dans leurs relations avec leurs partenaires europens.

LE TRANSFERT DES DONNEES VERS LE ROYAUME-UNI

Faute d'accord, le 30 mars 2019, le Royaume-Uni deviendra un pays tiers au sens du RGPD. En principe, les transferts de donnes caractre personnel hors du territoire de l'UE sont interdits, moins que le pays ou le destinataire n'assure un niveau de protection suffisant.

Conformment l'article 44 du RGPD, tout transfert de donnes caractre personnel vers un pays tiers doit tre ralis :

- par une dcision d'adquation de la Commission (art. 45 du RGPD) ; ou

- par la prsence de garanties appropries par le responsable du traitement ou le sous-traitant (art. 46 du RGPD). Il peut s'agir d'instruments juridiques contraignants et excutoires, de rgles d'entreprise contraignantes (BCR Binding Corporate Rules), de clauses contractuelles types adoptes par une autorit de contrle et approuves par la Commission europenne, de codes de conduite ou de certifications ; ou

- par des drogations spcifiques (art. 49 du RGPD) telles que l'obtention explicite du consentement de la personne concerne au transfert, un transfert ncessaire l'excution d'un contrat, ...

  • LE TRANSFERT DES DONNEES DU ROYAUME-UNI VERS L'UE ET LES PAYS TIERS

Adopte le 23 mai 2018, la loi britannique sur la protection des donnes (dite DPA ) fournit un cadre juridique adapt aux rgles europennes sur le plan national, et continuera s'appliquer aprs le Brexit. Le Gouvernement britannique a d'ailleurs publi un guide relatif aux futurs amendements la lgislation nationale de protection des donnes dans l'hypothse d'un Brexit sans accord (No Deal Scenario). Ainsi, le Gouvernement britannique semble mettre en avant trois hypothses possibles sur la question du transfert des donnes :

- il pourra reconnatre titre transitoire, tous les Etats de l'EEE et Gibraltar comme assurant un niveau de protection adquat des donnes ce qui aura pour consquence la continuit de circulation des donnes du Royaume-Uni vers ces pays aprs le Brexit ;

- sur une base transitoire, le Gouvernement pourra prserver les dcisions d'adquation de l'UE (Amrique, Japon, Suisse, Isral, ...) ce qui permettra le transfert des donnes du Royaume-Uni vers ces pays tiers ;

- il pourra reconnatre comme mesure approprie pour permettre les transferts internationaux de donnes partir du Royaume-Uni, les clauses contractuelles types labores par la Commission.

Finalement, la lecture de ce Guide, le Gouvernement affirme que les mmes standards du RGPD vont continuer s'appliquer au Royaume-Uni et l'Information Commissionner Office (ICO) restera le rgulateur indpendant de la protection des donnes au Royaume-Uni.

Par consquent, l'enjeu pour les acteurs est d'examiner si les biens et/ou services des filiales, partenaires et/ou prestataires sont fournis au sein du Royaume-Uni pour ensuite adopter les stratgies notamment contractuelles pour rester en conformit avec les exigences du Rglement sur la protection des donnes.

Toutes les quipes REGIMBEAU sont ds prsent mobilises pour conseiller sur les meilleures stratgies mettre en place pour les transferts des donnes vers des pays tiers comme le deviendra potentiellement le Royaume-Uni.