Les transferts de données personnelles en dehors de l’Union européenne ou de l’Espace économique européen sont soumis à une réglementation stricte. A la suite du Brexit, ces transferts vers le Royaume-Uni sont-ils toujours autorisés ?
Brexit et RGPD : les transferts de données personnelles vers le Royaume-Uni autorisés
Les transferts de données personnelles vers des pays situés en dehors de l’Union européenne (UE) ou de l’Espace économique européen (EEE) ne peuvent être effectués que si le niveau de protection de ces données est suffisant et approprié.
Ainsi, ce type de transfert n’est possible que lorsqu’il existe, par exemple :
- une décision de la Commission européenne constatant que le pays concerné assure un niveau de protection adéquat (décision d’adéquation) ;
- des règles d’entreprise contraignantes définissant une politique de protection des données intra-groupe ;
- des clauses contractuelles spécifiques ;
- etc.
A l’occasion du Brexit, la question de la continuité et de la validité des transferts de données personnelles vers le Royaume-Uni s’est donc posée.
Impliquant des transferts hors UE, l’enjeu était de ne pas paralyser les relations d’affaires entre les entreprises françaises et britanniques.
Dans ce contexte, la Commission européenne vient de rendre des décisions d’adéquation permettant ainsi de valider ces transferts estimant que :
- le système de protection des données britannique actuel est fondé sur les mêmes règles que celles qui s’appliquaient lorsque le Royaume-Uni était membre de l’UE ;
- les mesures de sauvegarde prises pour encadrer l’accès aux données personnelles par les pouvoirs publics britanniques, notamment pour des raisons de sécurité nationale, sont suffisamment fortes.
Notez toutefois, que ces décisions ne sont valables que pendant 4 ans. A l’expiration de ce délai, les constats d’adéquation ne pourront être renouvelés que si le Royaume-Uni continue d’assurer un niveau de protection des données personnelles équivalent à celui garanti par la réglementation de l’UE.