Norme

Quid des conséquences du Brexit pour les entreprises effectuant des transferts de données à caractère personnel depuis ou vers le Royaume-Uni ?

-
7/11/2019
OWN Security

Quid des conséquences du Brexit pour les entreprises effectuant des transferts de données à caractère personnel depuis ou vers le Royaume-Uni ?

Ah le Brexit, ce schmilblick qui n’avance pas, ce scénario à l’origine inimaginable, devenue réalité cocasse, à l’avenir ubuesque ; on ne finit pas d’en parler. Le présent article n’a pas de visée politique et n’a pas non plus pour objectif de dépeindre les conséquences économiques déjà vues, revues et re-revues du Brexit.

Au contraire, nous nous attarderons sur les conséquences, pour les organisations, de la sortie du Royaume-Uni avec (« Brexit soft ») ou sans deal (« no deal Brexit »), au regard de l’application du RGPD d’une part pour les transferts depuis l’UE (Union Européenne) vers le RU (Royaume-Uni) et d’autre part depuis le RU vers l’UE. Seront également abordées les solutions disponibles afin d’anticiper la sortie potentielle du RU de l’Union Européenne (UE) le 31 janvier prochain.

Notions clés :

Brexit : mot-valise composé des termes « British » et « exit », le Brexit désigne la sortie du Royaume-Uni de l’UE. Le 23 juin 2016, les Britanniques ont voté la sortie de l’UE à une petite majorité (52%). Ce cheval de Troie, comme le désignait de Gaulle à l’époque de la politique de la chaise vide, est le premier Etat membre à avoir déclenché la procédure de sortie de l’Union inscrite à l’article 50 du TFUE. Bien que la procédure de retrait de l’Union existe, la mettre en œuvre reste assez chaotique comme nous avons pu le voir à travers les innombrables rebondissements qui ont fait couler plus d’encre qu’il n’y a d’eau dans la Manche(on exagère un peu mais vous avez compris l’image).

Figure 1 : Frise chronologique du Brexit

Le Gouvernement britannique lague entre deux visions du Brexit traduites par les deux concepts suivants :

Figure 2: Récapitulatif du contenu des concepts de « hard » et « soft » Brexit

RGPD : Cliquez sur le lien pour retrouver la définition du RGPD dans notre précédent article

Les conséquences du Brexit pour les organisations au regard de l’application du RGPD

Les conditions dans lesquelles s’effectuera le Brexit, qui devrait avoir lieu, au plus tard, le 31 janvier prochain impactera grandement non seulement les relations économiques et politiques du RU avec les 27 mais également la vie quotidienne des citoyens européens et britanniques. A titre d’exemple, en cas de « no deal Brexit », les avions Britanniques ne pourront plus survoler l’espace aérien de l’UE ou atterrir dans un aéroport de situé dans un pays de l’UE (ça s’annonce coton pour les heureux détenteurs de billets pour Londres souhaitant passer le réveillon de Noël à déambuler sous le marché couvert de Covent Garden !).

S’agissant de la protection des DCP (données à caractère personnel), une telle paralysie pourrait avoir de lourdes conséquences, tant pour les organisations qui viendraient à perdre un chiffre d’affaires conséquent, que pour les citoyens qui pourraient ne plus avoir accès ou ne plus pouvoir télécharger leurs données à caractère personnel.

Par exemple, pour un fournisseur de solutions Cloud basé au Royaume-Uni et disposant de datacenters en Europe, pourra-t-il avoir accès ou transférer les DCP qui y sont stockées ? Inversement, des DCP stockées dans un datacenter situé au Royaume-Uni et détenu par une entreprise britannique pourront-elles être rapatriées en Europe ? Dans quelles conditions ?

Conséquences du « no deal Brexit » sur les transferts de DCP

L’illustration précédente n’est qu’un exemple parmi tant d’autres. Dans tous les cas de figure, avec ou sans « deal », lorsque le Royaume-Uni sortira de l’UE, le statut de ce dernier passera d’Etat membre à Etat tiers. Les conditions dans lesquelles le RU se retirera de l’Union auront cependant un impact important pour les organisations transférant des DCP depuis ou vers le Royaume-Uni.

Les organisations privées et organismes publiques sont touchés par la question du transfert de DCP vers ou depuis le Royaume-Uni. Toutefois, contrairement aux organisations privées, pour lesquelles le RGPD a prévu une panoplie de solutions afin de coller à toutes les réalités, les organismes publics devront se soumettre à des règles spécifiques. Ils devront recourir à des « instruments juridiques contraignants et exécutoires » (art. 46 § 2 a. du RGPD) ou des « dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées » (art. 46 § 3 b. du RGPD).

Si l’on constate que différentes solutions sont prévues, selon que le transfert de DCP concerne des organisations privées ou publiques, quid du régime juridique des transferts de DCP depuis l’UE vers le Royaume-Uni et des transferts de DCP depuis le Royaume-Uni vers l’UE ; est-il identique ?

Transferts de DCP depuis l’UE vers le Royaume-Uni : quels changements ?

En cas de « No deal Brexit », le Royaume-Uni sortira donc de l’UE sans accords sur ses relations futures avec les 27. En tant qu’Etat tiers, le RU ne sera, dans ce cas, plus tenu d’appliquer le RGPD. Par conséquent, le RU devra assurer un niveau de sécurité des DCP équivalent aux exigences du RGPD afin que puisse être maintenu le flux de DCP entre le RU et l’UE.

Il découle de ce qui précède plusieurs conséquences pour les organisations. Celles-ci devront :
1- En premier lieu, identifier les traitements de DCP touchés,
2- Modifier le registre des traitements afin d’indiquer qu’il s’agit d’un transfert de DCP vers un Etat tiers à l’UE,
3- Les organisations devront également informer les personnes concernées de ce transfert vers un Etat tiers et leur communiquer l’identité du responsable de traitement ou sous-traitant à qui les DCP ont été transmises.

Une fois les traitements de DCP sujets à ces types de transferts identifiés, deux cas de figure se présentent :
- soit la Commission européenne a émis une décision d’adéquation en faveur du Royaume-Uni,
- soit les organisations devront mettre en œuvre des procédures spécifiquement prévues par le RGPD en cas de transfert de DCP vers un Etat tiers.

Figure 3: Tableau définissant la notion et les apports d’une décision d’adéquation

Tant qu’il n’existera pas de décision d’adéquation, les organisations devront choisir la ou les solutions les plus appropriées, selon leur contexte, parmi les éléments suivants :

Figure 4: Tableau récapitulatif des options de transferts de données vers un Etat tiers

Les organisations devront prendre en compte, lors du choix de la solution la plus adaptée à leur contexte, la nécessité, pour certaines de ces solutions, d’obtenir, en amont, l’accord de la CNIL ou du CEPD. Ci-dessous, un récapitulatif des solutions nécessitant l’approbation de l’APD :

https://www.cnil.fr/fr/transferts-de-donnees-hors-ue-ce-qui-change-avec-le-reglement-general-sur-la-protection-des-donnees

Quid des transferts de données du RU vers l’UE alors ?

Tout Etat tiers offrant des biens et services aux citoyens européens se voit contraint de respecter le RGPD ou tout du moins d’assurer un niveau de sécurité des DCP équivalent aux exigences du RGPD. Par conséquent, les solutions précitées s’appliqueront également aux organisations britanniques ayant des entités sur le sol européen ou proposant des biens et services en ligne.

Puisque le Gouvernement Britannique a clairement indiqué son intention de maintenir la liberté de circulation des données avec l’Europe, il semble que les flux de DCP entre les 27 et le RU ne soient pas impactés et ce, quelle que soit les conditions de sortie du RU au 31 janvier prochain.

Conséquences du « soft Brexit » sur les transferts de DCP

Dans la double hypothèse où le Gouvernement de BOJO (Boris Johnson) trouve enfin un terrain d’entente avec l’UE et que le nouvel accord conserve le principe de la période transitoire, négocié par Theresa May (alors Premier ministre du RU) et Michel Bernier en 2018. Cette période transitoire, pouvant courir jusqu’en 2022 prévoit que les législations européennes continueraient à s’appliquer au RU. Cela signifie que le RGPD resterait en vigueur au RU jusqu’au terme de ladite période.

La période transitoire laissera ainsi le temps aux 27 (et au Royaume-Uni) soit de négocier des accords sectoriels, soit à la Commission d’évaluer le niveau de protection des DCP du Royaume-Uni en vue de délivrer une décision d’adéquation.

Ainsi, en cas d’un retrait « mou », tout transfert de DCP depuis un Etat membre de l’UE vers le Royaume-Uni (et inversement) ne nécessitera pas la mise en place des SCC, BCR ou autre code de bonne conduite. Il n’est cependant pas possible de faire des pronostics sur le devenir des transferts de DCP au terme de la période transitoire.

Etant donné les efforts financiers engagés d’un part, par le Royaume-Uni pour la création et le maintien de son APD nationale, l’ICO, et d’autre part, par les organisations privées pour leur mise en conformité, il est vraisemblable que le pays maintienne un niveau de sécurité des DCP équivalent aux exigences du RGPD. D’autant que le RGPD a été transposé en droit anglais par le Data Protection Act ayant reçu le sceau royal le 23 mai 2018.

Si le Gouvernement britannique a fait part de sa volonté de maintenir un niveau de protection des DCP élevé, il se peut que le Data Protection Act soit modifié, en cas de « No Deal Brexit » dans une optique libérale afin de réduire la lourdeur des démarches de conformité pour les organisations.

Le 17 octobre dernier, Michel Bernier et BOJO ont déclaré avoir trouvé un terrain d’entente sur l’accord de retrait. La Chambre des communes s’était réunie, en séance exceptionnelle (la première depuis la guerre des Malouines !) le 20 octobre dernier. La Chambre des communes ayant refusé l’accord de retrait, la saga Brexit continue ! Le Brexit est (encore) repoussé. Prochain épisode, le 31 janvier 2020, stay tuned…..

Sources

Partager l'article :

Your OWN cyber expert.