vous êtes
une entreprise


Protection des données

Un accord de retrait a été approuvé par le Parlement britannique et le Parlement européen, organisant la sortie ordonnée du Royaume-Uni de l’Union européenne au 1er février 2020. Une période de transition est désormais en cours, durant laquelle le droit de l'Union s'applique au Royaume-Uni.

Il est recommandé à votre entreprise d’identifier l’ensemble des activités de traitement constituant un transfert de données personnelles vers le Royaume-Uni ainsi que les outils de transfert de données à destination d’États non membres de l’Union européenne qui sont les mieux adaptés à votre activité et qui sont prévus par la règlementation générale sur la protection des données (RGPD). Votre entreprise devrait également mettre à jour ses clauses contractuelles relatives au transfert de données personnelles vers le Royaume-Uni.

Si la Commission juge cette option adéquate et conforme, une décision d’adéquation pourrait être adoptée par l’Union européenne, afin de faciliter la fluidité du transfert de données personnelles des européens vers le Royaume-Uni.


Vous êtes concerné si votre entreprise transfère des données personnelles vers un responsable du traitement ou un sous-traitant au Royaume-Uni et que ce flux de données se poursuit au-delà de la date du retrait du Royaume-Uni de l’Union européenne ; si vous avez des contrats en cours avec des clients ou des fournisseurs installés au Royaume-Uni comportant des clauses de transfert de données ; si vous recevez des données personnelles de la part d’un responsable de traitement ou d’un sous-traitant installé au Royaume-Uni.

Vous n’avez pas trouvé les réponses à vos questions sur cette page ? Vous pouvez contacter la Direction générale des entreprises (DGE) à l’adresse suivante : brexit.entreprises@finances.gouv.fr ou contacter directement la CNIL au lien suivant.


  • Imprimer

questions

les plus fréquentes


  • Est-ce que votre entreprise est concernée ? Quelles sont les étapes à suivre pour vous préparer aux changements en matière de flux de données personnelles ?
  • Vous êtes concerné par cette éventualité si vous transférez des données personnelles vers un responsable du traitement ou un sous-traitant au Royaume-Uni et que ce flux de données se poursuit au-delà de la période de transition. Si la Commission ne prenait pas de décision d’adéquation, les étapes suivantes vous permettront de déterminer les démarches à initier pour garantir la conformité de vos traitements

    • Identifier les activités de traitement constituant un transfert de données personnelles vers le Royaume-Uni.
    • Déterminer l’outil de transfert le plus approprié à mettre en place pour ces activités de traitement (voir question suivante).
    • Procéder à la mise en place de l’outil de transfert choisi pour que celui-ci soit applicable et effectif à compter de la date de retrait.
    • Mettre à jour votre documentation interne afin d’y inscrire les transferts vers le Royaume-Uni à compter de la date de retrait.

    Le cas échéant, mettre à jour l’information aux personnes concernées afin d’indiquer l’existence d’un transfert des données hors de l’UE et de l’EEE s’agissant du Royaume-Uni.

    Toutes les étapes de la préparation de votre entreprise sont expliquées dans la Notice d’information du Comité européen de la protection des données.



  • Quelles seront les conséquences du Brexit sur les flux de données personnelles vers le Royaume-Uni ?
  • La réglementation applicable au Royaume-Uni en matière de protection des données reste inchangée durant la période de transition.

    A la suite de la période de transition, deux cas sont possibles :

    - la Commission peut adopter une décision d'adéquation. Une telle décision est adoptée si un pays hors UE offre, selon l’analyse de la Commission européenne un niveau de protection substantiellement équivalent aux règles européennes de protection des données personnelles. Dans ce cas, les transferts de données personnelles vers le Royaume-Uni ne nécessiteront plus «d'autorisation spécifique », seulement d’une obligation d’information des personnes physiques de l’intention de votre entreprise d’effectuer des transferts vers des pays tiers à l’Union européenne et de l’existence d’une décision d’adéquation.

    - sans décision d'adéquation, le Royaume-Uni est considéré comme un pays tiers au regard du règlement général sur la protection des données (RGPD). Les responsables du traitement et les sous-traitants dans l’Union devront donc assurer un niveau de protection suffisant et approprié pour tout transfert de données vers le Royaume-Uni, avec la mise en place d’outils permettant l'encadrement de ces transferts, conformément au RGPD.


  • Quels sont les outils disponibles pour encadrer les transferts de données personnelles vers le Royaume-Uni en cas d'absence de décision d'adéquation ?
  • Le règlement européen sur la protection des données (RGPD) complète la gamme des outils existants permettant l'encadrement de ces transferts en dehors de l’Union, afin de répondre aux différentes situations rencontrées par les responsables de traitement de données et leurs sous-traitants.

    En cas d'absence de décision d'adéquation, les outils suivants pourront permettre aux organismes d’encadrer les transferts de données personnelles vers le Royaume-Uni de façon appropriée :

    - Les clauses contractuelles types sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne, qui permettent d’encadrer les transferts de données entre deux responsables du traitement ou entre un responsable du traitement et un sous-traitant. Ces clauses ont pour but de faciliter la tâche des responsables de traitement dans la mise en œuvre de contrats de transfert puisqu’il s’agit d’un outil pouvant être considéré comme « prêt à l’emploi » et mis en place rapidement, en suivant les recommandations sur la page dédiée du site de la CNIL.

    - Les clauses contractuelles spécifiques dites « ad-hoc » sont des contrats de transferts de données personnelles qui permettent d’encadrer les transferts de données dans des situations spécifiques, comme par exemple lorsque les clauses contractuelles types ne sont pas applicables ou nécessitent d’être modifiées. Ces clauses contractuelles ad-hoc doivent cependant être préalablement autorisées par la CNIL, après avis du Comité européen de la protection des données.

    - Les règles contraignantes d’entreprises (ou binding corporate rules – BCR) désignent une politique de protection des données intra-groupe en matière de transferts de données personnelles hors de l'Union européenne. Elles sont juridiquement contraignantes et respectées par les entités signataires du groupe, quel que soit leur pays d’implantation, ainsi que par tous leurs salariés d'une même entreprise ou d'un même groupe. Toutes les informations pour la mise en place de règles contraignantes d’entreprises sont disponibles sur la page dédiée du site de la CNIL.

    Pour les responsables du traitement ou sous-traitants ayant soumis une demande d’autorisation BCR auprès de l’autorité britannique de protection des données (ICO) toujours en cours d’instruction au moment de la sortie de Royaume-Uni, le Comité européen de la protection des données a publié une notice dédiée relative au suivi de la demande, qui sera assuré par une autre autorité de protection de données dans l’Union.

    - Les codes de conduites et les mécanismes de certifications pourraient également constituer des outils de transfert appropriés, à condition qu’ils comportent l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées. Ces outils doivent être préalablement autorisés par la CNIL, après avis du Comité européen de la protection des données. Il s’agit de nouveaux outils introduits par le RGPD sur lesquels des lignes directrices et recommandations sont en cours de préparation au sein du Comité européen de la protection des données.


  • Les autorités ou organismes publics sont-ils également concernés ? Quels outils de transferts peuvent être mis en œuvre pour ces organismes ?
  • Quel que soit le type d’organisme concerné, l’outil choisi pour encadrer le transfert de données vers le Royaume-Uni devra être mise en place et effectif à compter de la fin de la période de transition.


  • Dans l’éventualité d’un Brexit sans accord, à partir de quand ces outils de transferts doivent-ils être mis en place ?
  • En cas de Brexit sans accord, quel que soit le type d’organisme concerné, l’outil choisi pour encadrer le transfert de données vers le Royaume-Uni devra être mise en place et effectif à compter de la date de retrait.


  • En l’absence de garanties appropriées encadrant un transfert vers le Royaume-Uni, des dérogations sont-elles possibles ?
  • Lorsqu’un État tiers n’est pas reconnu comme offrant un niveau de protection adéquat et en l’absence de garanties appropriées encadrant ce transfert, le transfert peut néanmoins, par exception, être opéré sur la base de dérogations. Ces dérogations ne peuvent être utilisées que dans des situations particulières : les responsables de traitement doivent s’efforcer de mettre en place des garanties appropriées et ne doivent recourir à ces exceptions qu’en l’absence de telles garanties. L’article 49 du RGPD fait l’objet d’une interprétation stricte par les autorités de protection des données, afin que l’exception ne devienne pas la règle. Toutes les informations sur ces dérogations dans des situations particulières sont disponibles sur la page dédiée du site de la CNIL.

    Vous pouvez également consulter les lignes directrices du comité européen de la protection des données relatives aux dérogations prévues à l’article 49 du RGPD.


  • Qu’en est-il des données reçues du Royaume-Uni ?
  • Pour les données personnelles envoyées depuis le Royaume-Uni vers l’Union Européenne, les conditions sont définies par le Royaume-Uni.

    Le gouvernement britannique avait annoncé que la situation resterait inchangée et que la libre circulation des données vers l’UE serait permise sans besoin de garantie supplémentaire. Si vous recevez des données d’un responsable du traitement ou sous-traitant britannique, il n’y a donc a priori pas de changement pour ces traitements, qui devront toutefois être conformes aux dispositions du RGPD ou tout autre cadre juridique spécifique applicable une fois les données reçues.

    Ces éléments d'information doivent être régulièrement vérifiées.