Brexit : les conséquences pour les flux de données vers le Royaume-Uni

Nul ne peut ignorer que le Royaume-Uni a quitté l’Union européenne le 31 janvier dernier. Mais quelles en sont les conséquences pour la protection des données personnelles? Voici un rapide aperçu des règles à avoir en tête.

LE RGPD est-il toujours applicable au Royaume uni?

Oui. Jusqu’au 31 décembre 2020 le RGPD continuera d’être applicable. Ce point a été repris dans l’accord de retrait.

Faut-il accomplir des formalités si je transfère des données vers une entreprise anglaise? 

Non. Tant que nous sommes dans la période transitoire (jusqu’au 31 décembre 2020), aucune formalité additionnelle n’est nécessaire pour les transferts de données vers le Royaume-Uni. Il n’est pas nécessaire de prévoir des garanties appropriés prévues par le RGPD (articles 44 et suivants du RGPD). Notez que la période transitoire pourra être prolongée de un ou deux ans.

Et après le 31 décembre 2020? 

Durant la période transitoire, l’Union européenne et le Royaume-Uni négocieront et définiront leur relation future. Le point concernant les flux de données personnelles devra faire partie de cette négociation. Après la période transitoire, il faudra donc prévoir des garanties appropriées pour les transferts de données à moins que la Commission européenne ne reconnaisse le Royaume Uni comme un pays offrant une protection adéquate. Il fera alors partie de la « white list » au même titre que l’Argentine, Andorre, le Canada (PIPEDA), les îles Féroé, Guernesey, Israël, l’île de Man, le Japon, Jersey, la Nouvelle-Zélande, la Suisse, l’Uruguay et les Etats-Unis d’Amérique (Privacy Shields).

A quoi dois-je penser? 

Dans vos contrats avec des partenaires britanniques, prévoyez des clauses permettant de revoir facilement les règles de transfert de données personnelles.