Blog
Fév 06

Brexit – Incidence de la sortie du Royaume Uni sur les transferts internationaux de données personnelles

Alors que la mise en œuvre de la procédure de retrait par le Royaume Uni approche à grands pas, de nombreuses incertitudes planent encore sur les conséquences du Brexit, notamment celles concernant le sort des transferts de données personnelles de l’Union Européenne vers le Royaume Uni.

A défaut d’accord prolongeant la période de retrait, le Royaume Uni sortira définitivement de l’Union Européenne le 30 mars 2019. Devenant un « état tiers », les transferts de données personnelles de l’Union vers Londres entreront alors dans la catégorie des « transferts internationaux » et le Royaume Uni sera considéré comme un « importateur de données ».

Le Règlement Européen de protection des données personnelles organise cinq hypothèses autorisant ces transferts internationaux. Ainsi, le destinataire des données ressortissant d’un Etat ayant pris un engagement international d’assurer un niveau de protection des données suffisant est considéré comme assurant un niveau de protection adéquat. A défaut, le transfert peut être autorisé lorsque le destinataire démontre avoir adopté des clauses contractuelles types, des règles internes d’entreprise (« Binding Corporate Rules »), ou un mécanisme de certification contraignant approuvé par Bruxelles – à l’instar du Privacy Shield. Si toutefois aucune de ces conditions n’est remplie, le consentement explicite de la personne concernée au transfert de ses données personnelles permet leur transmission vers un Etat tiers.

Cependant, dans la mesure où les clauses contractuelles types actuelles définissent le Royaume Uni comme un Etat Membre « exportant » des données européennes, l’efficacité de ce mécanisme semble mise à mal. De même, le Privacy Shield – en cours de révision depuis l’arrêt Max Schrems – ne permet pas non plus aux destinataires de données anglais de se réfugier sous ses dispositions.

Ainsi, seules deux garanties permettront encore aux destinataires de données du Royaume Uni d’importer des données européennes au 30 mars 2019 : l’adoption de règles internes d’entreprise, et le recueil exprès du consentement de la personne concernée.

Salomé Ricordel pour ATURQUOISE

Source : http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679

This post is also available in: Anglais