RGPD

BREXIT : Préparer votre entreprise au No deal

De report en report, le spectre du No deal semble s’être éloigné avec le délai supplémentaire accordé à la Grande Bretagne pour quitter l’UE (c’est à dire jusqu’au 31 octobre prochain).

Profitez donc de ce sursis pour déterminer comment vous allez encadrer les transferts de données personnelles pour maintenir votre conformité avec le RGPD.


Votre première action est d’abord de déterminer si votre entreprise est concernée par le transfert de flux de données personnelles vers le Royaume Uni :

  • Avez-vous recours à un prestataire de services informatiques au Royaume-Uni (par exemple de type cloud) ?
  • Vous utilisez des datas centers localisés au Royaume-Uni?
  • Votre maison mère est-elle basée au Royaume-Uni ?

Les conséquences sur les transferts internationaux de données personnelles

Deux scénarios plausibles :

  • Un accord de retrait est ratifié avant le 31 octobre 2019 : le droit de l’Union Européenne continuerait de s’appliquer au Royaume-Uni pendant une période de transition (établie jusqu’ici au 31 décembre 2020).
  • Il n’y a aucun accord de ratifié : le droit de l’Union européenne cesserait de s’appliquer au Royaume-Uni à partir du 1er Novembre 2019 (No deal)

————

Accord ratifié

L’Accord de retrait prévoit qu’après la fin de la période de transition, le Royaume-Uni continue d’appliquer les règles européennes en matière d’échanges de flux de données à caractère personnel (dcp). L’UE devra ensuite établir si le niveau de protection prévu par le Royaume-Uni offre des garanties équivalentes à celles de l’Union européenne. Une décision d’adéquation formelle pourra donc être mise en place si c’est le cas.

————

Accord non ratifié

On considérera alors le Royaume-Uni comme un pays n’assurant pas un niveau de protection adéquat, au sens du RGPD. C’est pourquoi, vous devrez vous assurer d’un niveau de protection suffisant et approprié pour continuer à transférer des dcp vers un responsable de traitement ou un sous-traitant.

En conséquence, vous devrez mettre en place les bons outils juridiques (définis dans l’article 46) pour continuer à réaliser vos transferts de manière légale :

  • Clauses contractuelles types ou clauses contractuelles dites « ad hoc »,
  • Règles d’entreprise contraignantes (BCR),
  • Codes de conduite ou mécanismes de certification,
  • Garanties spécifiques pour le transfert entre autorités ou organismes publics.

NB : Vous pourrez mettre en place des clauses contractuelles types grâce au modèle sur le site de la CNIL (mesure la plus rapide à réaliser).

Ces mesures s’imposeront à vous, en l’absence, ou jusqu’à ce que, la Commission européenne prenne une décision d’adéquation formelle.