Brexit et RGPD : quelle gestion des données personnelles ?

Mise à jour des informations : Le 28 juin dernier, la Commission européenne a reconnu que le Royaume-Uni présentait un niveau de protection des données personnelles équivalent à celui garanti au sein de l’Union européenne et a donc adopté une décision d’adéquation en sa faveur (dont la durée est limitée à 4 ans). Désormais, tout transfert de données à caractère personnel vers le Royaume-Uni est autorisé dans le respect des principes du RGPD et peut être réalisé sans qu’il soit nécessaire de mettre en place des clauses contractuelles types ou d’autres garanties spécifiques requises pour les pays hors Union Européenne et hors adéquation. A noter qu’une réforme sur le respect des données personnelles est actuellement à l’étude au Royaume-Uni. La Commission européenne a d’ores et déjà annoncé surveiller de près cette réforme et prendra les mesures qui s’avéreraient nécessaires en cas d’évolutions problématiques qui pourraient remettre en cause la portée et la durabilité de cet accord.

Alors que le Brexit est entré en application depuis le 1^er janvier 2021, la gestion des données personnelles entre le Royaume-Uni et les pays membres de l’Union européenne (« l’Union ») suit un calendrier différent. En effet, une période de transition était ouverte jusqu’au 31 décembre 2020, période durant laquelle le Royaume-Uni continuait d’appartenir au territoire douanier de l’Union, au marché intérieur et le droit de l’Union s’appliquait toujours. Au cours cette période, des négociations entre les parties ont eu lieu et ont abouti, le 24 décembre 2020, à la présentation d’un accord de coopération et de commerce. Cet accord définit désormais les modalités de coopération entre le Royaume-Uni et l’Union dans certains domaines, notamment la circulation de données. Ces mesures auront des impacts dans les prochains mois sur les relations commerciales et contractuelles dès lors que des données personnelles font partie du périmètre du contrat.

Données personnelles : un accord transitoire jusqu’au 1^er juillet 2021

En vertu de l’accord de coopération et de commerce signé entre l’Union et le Royaume-Uni, le Règlement européen sur la protection des données (« RGPD ») restera applicable, de manière transitoire, au Royaume-Uni, pour une durée supplémentaire maximale de 6 mois, soit jusqu’au 1^er juillet 2021.

Dès lors, jusqu’au 1^er juillet 2021, toute communication de données personnelles vers le Royaume‑Uni continuera de se faire dans le cadre actuel et ne sera pas considérée comme un transfert de données vers un pays tiers, où des garanties appropriées doivent être mises en œuvre pour assurer une protection suffisante.

L'article 44 du RGPD pose le principe selon lequel le transfert de données à caractère personnel vers un pays tiers est possible à condition d’assurer un niveau de protection des données suffisant et approprié. A défaut de décision d’adéquation prise par la Commission européenne, ces transferts doivent être encadrés en utilisant différents outils juridiques tels que les clauses contractuelles types dans sa documentation contractuelle, les règles d’entreprise contraignantes (binding corporate rules « BCR ») les codes de conduite ou encore des mécanismes de certification. 

Ainsi, à l’issue de ces six mois, tout transfert de données personnelles vers le Royaume-Uni sera considéré comme un transfert vers un pays tiers et nécessitera la mise en place de garanties appropriées ; sauf si la Commission européenne reconnaît le Royaume-Uni comme un pays présentant un niveau de protection adéquat.