VOUS ÊTES
UNE ENTREPRISE

Dans le cadre de l’accord de commerce et de coopération conclu le 30 décembre 2020, le Royaume-Uni et l’Union Européenne sont convenus que le règlement européen pour la protection des données personnelles (RGPD) restera applicable de manière transitoire au Royaume-Uni pour une durée supplémentaire maximale de 6 mois.

Le 28 juin 2021, la Commission européenne a adopté une décision d’adéquation au règlement européen pour la protection des données personnelles (RGPD) qui reconnait que le Royaume-Uni assure un niveau de protection adéquat en matière de données personnelles, pour une durée de 4 ans.

En conséquence,  toute communication de données personnelles vers le Royaume-Uni continue de se faire dans le cadre antérieur et n'est pas considérée comme un transfert de données vers un pays tiers.  Aucune formalité additionnelle n’est donc requise pour les organismes en France ou au Royaume-Uni. En particulier, il n’est pas requis d’encadrer les flux de données personnelles vers le Royaume-Uni au moyen de garanties appropriées prévues par le RGPD pour les transferts vers les pays tiers.

A l’issue de cette période de 6 mois et à défaut d’une décision de la Commission européenne autorisant de façon générale les transferts de données personnelles vers le Royaume-Uni dite « décision d’adéquation », toute communication de données personnelles vers le Royaume-Uni sera considérée comme un transfert de données vers un pays tiers au regard du Règlement général sur la protection des données (RGPD).

Votre entreprise n’aurait plus le droit, à l’issue de cette période de six mois, de transférer des données personnelles au Royaume-Uni, à moins de mettre en place des garanties spécifiques. Quatre options s’offrent à vous. Vous pouvez mettre en place :

• des clauses contractuelles types (CCT), modèles publiés par la Commission européenne (non soumises au contrôle de la CNIL) ;
• des clauses contractuelles ad hoc, qui doivent être approuvées par la CNIL (plus contraignantes, valides 3 ans seulement) ;
• des règles d'entreprise contraignantes (Binding Corporate Rules - BCR),  qui doivent être approuvées par la CNIL, puis par le comité européen de la protection des données (elles permettent d’encadrer le transfert des données pour l’ensemble des entités d'un groupe).
• vous pouvez également rapatrier en France ou sur le territoire de l’UE27 vos données hébergées au Royaume-Uni.

L’Union européenne s’est engagée dans l’accord du 30 décembre 2020 à instruire rapidement l’opportunité de l’adoption d’une décision d’adéquation permettant les flux de données personnelles vers le Royaume-Uni.

Plus d’information sur https://www.cnil.fr/fr/brexit-la-commission-europeenne-adopte-des-decisions-relatives-ladequation-du-niveau-de-protection

Pour les données personnelles envoyées depuis le Royaume-Uni vers l’Union Européenne, les conditions sont définies par le Royaume-Uni.

Le gouvernement britannique avait annoncé que la situation resterait inchangée et que la libre circulation des données vers l’UE serait permise sans besoin de garanties supplémentaires. Si vous recevez des données d’un responsable du traitement ou sous-traitant britannique, il n’y a donc a priori pas de changement pour ces traitements, qui devront toutefois être conformes aux dispositions du RGPD ou tout autre cadre juridique spécifique applicable une fois les données reçues.

Ces éléments d'information doivent être régulièrement vérifiées auprès des autorités britanniques.