PANDÉMIE DE COVID-19 : les flux de personnes entre la France et le Royaume-Uni sont soumis à des restrictions.


vous êtes
une entreprise


Protection des données

Au 1er janvier, les choses changent !

Le 30 décembre 2020, un accord de commerce et de coopération a été signé avec le Royaume-Uni. Depuis le 1er janvier 2021, cet accord détermine les règles applicables aux relations entre le Royaume-Uni et l'Union européenne dans un certain nombre de domaines et notamment s'agissant de leurs relations commerciales.

L'accord a entraîné des changements importants auxquels il faut s'adapter.

Conformément à cet accord, une décision d’adéquation pourrait être adoptée par l’Union européenne, afin de faciliter la fluidité du transfert de données personnelles des européens vers le Royaume-Uni.


Vous êtes concerné si votre entreprise transfère des données personnelles vers un responsable du traitement ou un sous-traitant au Royaume-Uni et que ce flux de données se poursuit au-delà de la date du retrait du Royaume-Uni de l’Union européenne ; si vous avez des contrats en cours avec des clients ou des fournisseurs installés au Royaume-Uni comportant des clauses de transfert de données ; si vous recevez des données personnelles de la part d’un responsable de traitement ou d’un sous-traitant installé au Royaume-Uni.

Vous n’avez pas trouvé les réponses à vos questions sur cette page ? Vous pouvez contacter la Direction générale des entreprises (DGE) à l’adresse suivante : brexit.entreprises@finances.gouv.fr ou contacter directement la CNIL au lien suivant.


  • Imprimer

questions

les plus fréquentes


  • Quel cadre pour la circulation et la protection des données entre l’Union européenne et le Royaume-Uni à partir du 1er janvier 2021 ?
  • Dans le cadre de l’accord de commerce et de coopération conclu le 30 décembre 2020, le Royaume-Uni et l’Union Européenne sont convenus que le règlement européen pour la protection des données personnelles (RGPD) restera applicable de manière transitoire au Royaume-Uni pour une durée supplémentaire maximale de 6 mois.

    En conséquence, jusqu’au 1er Juillet 2021 toute communication de données personnelles vers le Royaume-Uni continuera de se faire dans le cadre actuel et ne sera pas considérée comme un transfert de données vers un pays tiers.  Aucune formalité additionnelle n’est donc requise pour les organismes en France ou au Royaume-Uni jusqu’au 1er Juillet 2021. En particulier, il n’est pas requis d’encadrer les flux de données personnelles vers le Royaume-Uni au moyen de garanties appropriées prévues par le RGPD pour les transferts vers les pays tiers.

    A l’issue de cette période de 6 mois et à défaut d’une décision de la Commission européenne autorisant de façon générale les transferts de données personnelles vers le Royaume-Uni dite « décision d’adéquation », toute communication de données personnelles vers le Royaume-Uni sera considérée comme un transfert de données vers un pays tiers. De tels transferts ne pourront s’effectuer qu’avec la mise en place de garanties appropriées, telles que prévues par le RGPD (ex : clauses contractuelles types, règles contraignantes d’entreprise, etc.) et à la condition que les Européens disposent de droits opposables et de voies de droit effectives, conformément à l’article 46 du RGPD.

    En revanche, le mécanisme de supervision et coopération réglementaire du « guichet unique » ne sera plus applicable au Royaume-Uni à partir du 1er janvier 2021 et l’autorité britannique de protection des données (ICO) n’y participera donc plus. Le guichet unique facilite les démarches pour les entreprises établies en UE car il permet d’harmoniser les décisions concernant les traitements transfrontaliers, en s’appuyant sur une autorité chef de file, qui est l’unique interlocuteur pour les responsables de traitements et la seule autorité auprès de laquelle les différentes obligations prévues par le RGPD doivent être accomplies.

    Dans ces circonstances, les responsables du traitement et les sous-traitants établis uniquement au Royaume-Uni et dont les activités de traitement sont soumises à l'application du RGPD en vertu de l'article 3, paragraphe 2, du RGPD seront tenus à partir du 1er janvier 2021 de désigner un représentant dans l’Union conformément à l'article 27 du RGPD.

    Plus d’information sur https://www.cnil.fr/fr/brexit-le-rgpd-reste-applicable-au-royaume-uni-jusquau-1er-juillet-2021


  • Qu’en est-il des données reçues du Royaume-Uni ?
  • Pour les données personnelles envoyées depuis le Royaume-Uni vers l’Union Européenne, les conditions sont définies par le Royaume-Uni.

    Le gouvernement britannique avait annoncé que la situation resterait inchangée et que la libre circulation des données vers l’UE serait permise sans besoin de garanties supplémentaires. Si vous recevez des données d’un responsable du traitement ou sous-traitant britannique, il n’y a donc a priori pas de changement pour ces traitements, qui devront toutefois être conformes aux dispositions du RGPD ou tout autre cadre juridique spécifique applicable une fois les données reçues.

    Ces éléments d'information doivent être régulièrement vérifiées auprès des autorités britanniques.