Le 13 février 2019, le Comité Européen de la Protection des Données (CEPD) a adopté une note d’information sur les transferts de données personnelles soumis au Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 (Règlement Général sur la Protection des Données Personnelles ou RGPD) en cas de No-deal Brexit.
Pour rappel, les transferts de données personnelles en dehors de l’Espace Economique Européen sont envisageables vers des pays préalablement considérés par la Commission Européenne comme disposant d’un « niveau de protection adéquat » (exemple : dispositif du « Privacy Shield » permettant à ce jour des transferts vers certaines entreprises basées aux Etats-Unis).
A défaut, ces transferts (vers des « pays tiers ») sont autorisés, sous réserve d’être encadrés par des mécanismes appropriés : Clauses Contractuelles Types, Règles d’Entreprises Contraignantes (ou « Binding Corporate Rules ») pour les transferts intra-groupe, codes de conduite ou mécanismes de certification, etc. (étant précisé que des dérogations peuvent être éventuellement utilisées sous certaines conditions).
Transferts de données personnelles de l’Espace Economique Européen vers le Royaume-Uni
En l’absence d’accord entre l’Union Européenne et le Royaume-Uni (« No-deal Brexit »), le Royaume-Uni deviendra un « pays tiers » au sens du RGPD à partir du 30 mars 2019 à 00h00 CET.
Par conséquent, il conviendra de s’assurer que les transferts de données personnelles qui sont réalisés de l’Espace Economique Européen vers le Royaume-Uni devront sont couverts par des mécanismes d’encadrement des transferts appropriés (voir supra).
Transferts de données personnelles du Royaume-Uni vers l’Espace Economique Européen
En ce qui concerne les transferts de données du Royaume-Uni vers l’Espace Economique Européen, le CEPD a précisé que, selon le gouvernement britannique, la situation actuelle, c’est-à-dire le libre transfert des données personnelles du Royaume-Uni vers l’Espace Economique Européen, serait maintenue en cas de No-deal Brexit.
Entreprises qui transfèrent des données personnelles concernant leurs salariés outre-Manche : préparez-vous !