Ainsi que nous l’évoquions dans un précédent article (voir ici), la sortie du Royaume-Uni de l’Union européenne (« Brexit ») a engendré nombres de difficultés juridiques, notamment s’agissant de la règlementation applicable aux échanges de données à caractère personnel depuis les Etats membres de l’Union européenne vers le Royaume-Uni.
Pour mémoire, les transferts de données à caractère personnel hors Union européenne ne peuvent être librement mis en œuvre et doivent faire l’objet d’un encadrement spécifique. En effet, ils ne sont autorisés que si le pays ou l’entreprise destinataire assure un niveau de protection suffisant aux données transférées dans la mesure où il importe que, lorsque des données font l’objet de tels transferts, le niveau de protection des données des personnes physiques ne soit pas compromis.
Comme espéré, la Commission européenne a adopté le 28 juin 2021 une décision d’adéquation au profit du Royaume-Uni, laquelle permet désormais d’encadrer les tels transferts de données à caractère personnel vers le Royaume-Uni depuis des Etats membres de l’Union européenne conformément à la règlementation applicable en matière de protection des données à caractère personnel, et en particulier au règlement général sur la protection des données (« RGPD »), sans qu’il ne soit besoin d’assortir ces transferts de garanties ou conditions supplémentaires. Par cette décision, la Commission européenne reconnaît que le Royaume-Uni assure un niveau de protection substantiellement équivalent à celui garanti par le RGPD.
Attention : cette décision d’adéquation est limitée dans sa durée. Il en résulte qu’à l’issue d’une période de quatre ans après son entrée en vigueur, elle arrivera à expiration et elle ne pourra être renouvelée par la Commission européenne que si le Royaume-Uni, notamment au travers de sa réglementation et des pratiques effectives mises en œuvre au sein de ce pays en matière de traitements de données à caractère personnel, continue d’assurer un niveau de protection des données considéré comme adéquat.
* *
*
Conséquences pratiques : il appartient à tout organisme traitant des données à caractère personnel au sein de l’Union européenne et transférant de telles données vers le Royaume-Uni :
- d’ajuster l’ensemble des mentions d’information à l’attention des personnes concernées dont les données font l’objet d’un tel transfert. En effet, et pour mémoire, l’existence de transferts de données à caractère personnel à destination d’Etats situés hors Union européenne ainsi que les garanties encadrant de tels flux (ici, la décision d’adéquation précitée) doivent impérativement être précisés dans les mentions d’information à l’attention des personnes concernées (cf. articles 13 et 14 du RGPD) ;
- de mettre à jour la documentation interne de l’organisme concerné, et notamment le registre des activités de traitement de données à caractère personnel, afin d’y indiquer ces nouveaux transferts hors Union européenne ainsi que les garanties encadrant de tels transferts.
Le Pôle « IT & data protection » d’AGIL’IT se tient à votre disposition pour vous accompagner en vue d’une mise et/ou d’un maintien en conformité de vos pratiques au regard de la règlementation applicable en matière de protection des données à caractère personnel, et notamment aux fins de déploiement des mises à jour qui seraient rendues nécessaires suite à l’adoption par la Commission européenne de la décision d’adéquation précitée au profit du Royaume-Uni.
Par AGIL’IT – Pôle IT & Data protection
Laure LANDES-GRONOWSKI, Avocate associée
Marie MILIOTIS, Avocate