De report en report, le spectre du No deal semble s’être éloigné. Un délai supplémentaire est accordé à la Grande Bretagne pour quitter l’UE (c’est à dire jusqu’au 31 octobre prochain).
Profitez donc de ce sursis pour déterminer comment vous allez encadrer les transferts de données personnelles pour maintenir votre conformité avec le RGPD.
Votre première action à mener :
D’abord, vous devez déterminer si votre entreprise est concernée par le transfert de flux de données personnelles vers le Royaume Uni. Posez-vous par exemple les questions suivantes :
- Avez-vous recours à un prestataire de services informatiques au Royaume-Uni (par exemple de type cloud) ?
- Utilisez-vous des datas centers localisés au Royaume-Uni ?
Si la réponse est oui, vous devez envisager deux possibilités
- Un accord de retrait est ratifié avant le 31 octobre 2019 : le droit de l’Union Européenne continuerait de s’appliquer au Royaume-Uni pendant une période de transition (jusqu’au 31 décembre 2020).
- Il n’y a aucun accord de ratifié : le droit de l’Union européenne cesserait de s’appliquer au Royaume-Uni à partir du 1er Novembre 2019 (No deal).
————
En cas d’accord ratifié
Il prévoit qu’après la fin de la période de transition, le Royaume-Uni continue d’appliquer les règles européennes en matière d’échanges de flux de données à caractère personnel (dcp).
Ensuite, l’UE devra établir si le niveau de protection prévu par le Royaume-Uni offre des garanties équivalentes à celles de l’UE. Une décision d’adéquation formelle pourra donc être mise en place si c’est le cas.
————
En cas d’accord non ratifié
On considérera alors le Royaume-Uni comme un pays n’assurant pas un niveau de protection adéquat, au sens du RGPD.
D’ailleurs, c’est un point qui a déjà été évoqué par la CNIL.
C’est pourquoi, vous devrez vous assurer d’un niveau de protection suffisant et approprié pour continuer à transférer des dcp vers un responsable de traitement ou un sous-traitant.
En conséquence, pour continuer à réaliser vos transferts, vous devrez mettre en place les bons outils juridiques. Ils sont définis dans l’article 46 du RGPD.
- Clauses contractuelles types ou clauses contractuelles dites « ad hoc »,
- Règles d’entreprise contraignantes (BCR),
- Codes de conduite ou mécanismes de certification,
- Garanties spécifiques pour le transfert entre autorités ou organismes publics.
NB : Vous pourrez mettre en place des clauses contractuelles types grâce au modèle sur le site de la CNIL. J’ai déjà eu l’occasion d’en compléter, vous devez suivre le canevas pré-établi.
Pour conclure, ces mesures s’imposeront à vous jusqu’à ce que la Commission Européenne prenne une décision d’adéquation formelle.