Ressortissant britannique (ou famille) installé en France avant le 31 décembre 2020 : vous avez jusqu’au 30 juin pour faire votre demande de titre de séjour en ligne


vous êtes
une entreprise


Protection des données

Depuis le 1er janvier 2021, le Royaume-Uni est un pays tiers à l’Union européenne. Le droit de l’Union a cessé de s’appliquer au Royaume-Uni.

Un accord de commerce et de coopération a été signé avec le Royaume-Uni le 30 décembre 2020. Depuis le 1er janvier 2021, cet accord détermine les règles applicables aux relations entre le Royaume-Uni et l'Union européenne dans un certain nombre de domaines, notamment s’agissant des échanges commerciaux entre les deux Parties. L’accord de retrait, entré en vigueur le 1er février 2020 demeure applicable pour les domaines qu’il couvre.

Bien qu’un accord ait été signé, le Brexit a entrainé des changements importants auxquels il faut s’adapter.

Conformément à cet accord, une décision d’adéquation pourrait être adoptée par l’Union européenne, afin de faciliter la fluidité du transfert de données personnelles des européens vers le Royaume-Uni.


Vous êtes concerné si votre entreprise transfère des données personnelles vers un responsable du traitement ou un sous-traitant au Royaume-Uni et que ce flux de données se poursuit au-delà de la date du retrait du Royaume-Uni de l’Union européenne ; si vous avez des contrats en cours avec des clients ou des fournisseurs installés au Royaume-Uni comportant des clauses de transfert de données ; si vous recevez des données personnelles de la part d’un responsable de traitement ou d’un sous-traitant installé au Royaume-Uni.

Vous n’avez pas trouvé les réponses à vos questions sur cette page ? Vous pouvez contacter la Direction générale des entreprises (DGE) à l’adresse suivante : brexit.entreprises@finances.gouv.fr ou contacter directement la CNIL au lien suivant.


  • Imprimer

questions

les plus fréquentes


  • Quelles sont les conséquences du Brexit sur les flux de données personnelles vers le Royaume-Uni ?
  • Dans le cadre de l’accord de commerce et de coopération conclu le 30 décembre 2020, le Royaume-Uni et l’Union Européenne sont convenus que le règlement européen pour la protection des données personnelles (RGPD) restera applicable de manière transitoire au Royaume-Uni pour une durée supplémentaire maximale de 6 mois.

    En conséquence, jusqu’au 1er Juillet 2021 toute communication de données personnelles vers le Royaume-Uni continue de se faire dans le cadre antérieur et n'est pas considérée comme un transfert de données vers un pays tiers.  Aucune formalité additionnelle n’est donc requise pour les organismes en France ou au Royaume-Uni jusqu’au 1er Juillet 2021. En particulier, il n’est pas requis d’encadrer les flux de données personnelles vers le Royaume-Uni au moyen de garanties appropriées prévues par le RGPD pour les transferts vers les pays tiers.

    A l’issue de cette période de 6 mois et à défaut d’une décision de la Commission européenne autorisant de façon générale les transferts de données personnelles vers le Royaume-Uni dite « décision d’adéquation », toute communication de données personnelles vers le Royaume-Uni sera considérée comme un transfert de données vers un pays tiers au regard du Règlement général sur la protection des données (RGPD).

    Votre entreprise n’aurait plus le droit, à l’issue de cette période de six mois, de transférer des données personnelles au Royaume-Uni, à moins de mettre en place des garanties spécifiques. Quatre options s’offrent à vous. Vous pouvez mettre en place :

    • des clauses contractuelles types (CCT), modèles publiés par la Commission européenne (non soumises au contrôle de la CNIL) ;
    • des clauses contractuelles ad hoc, qui doivent être approuvées par la CNIL (plus contraignantes, valides 3 ans seulement) ;
    • des règles d'entreprise contraignantes (Binding Corporate Rules - BCR),  qui doivent être approuvées par la CNIL, puis par le comité européen de la protection des données (elles permettent d’encadrer le transfert des données pour l’ensemble des entités d'un groupe).
    • vous pouvez également rapatrier en France ou sur le territoire de l’UE27 vos données hébergées au Royaume-Uni.

    L’Union européenne s’est engagée dans l’accord du 30 décembre 2020 à instruire rapidement l’opportunité de l’adoption d’une décision d’adéquation permettant les flux de données personnelles vers le Royaume-Uni.

    Plus d’information sur https://www.cnil.fr/fr/brexit-le-rgpd-reste-applicable-au-royaume-uni-jusquau-1er-juillet-2021


  • Qu’en est-il des données reçues du Royaume-Uni ?
  • Pour les données personnelles envoyées depuis le Royaume-Uni vers l’Union Européenne, les conditions sont définies par le Royaume-Uni.

    Le gouvernement britannique avait annoncé que la situation resterait inchangée et que la libre circulation des données vers l’UE serait permise sans besoin de garanties supplémentaires. Si vous recevez des données d’un responsable du traitement ou sous-traitant britannique, il n’y a donc a priori pas de changement pour ces traitements, qui devront toutefois être conformes aux dispositions du RGPD ou tout autre cadre juridique spécifique applicable une fois les données reçues.

    Ces éléments d'information doivent être régulièrement vérifiées auprès des autorités britanniques.