La Commission Européenne a signalé son intention de traiter le Royaume-Uni comme un « pays-tiers » aux fins des transferts des données à caractère personnel après le Brexit.
Dans un communiqué du 9 janvier, la Commission indique qu’à partir de sa sortie de l’UE, actuellement prévue pour le 30 mars 2019, le Royaume-Uni sera soumis aux mêmes règles que les autres pays en dehors de l’Espace économique européen.
Ainsi, il sera théoriquement nécessaire de mettre en place des mécanismes légaux facilitant les transferts d’informations personnelles vers la Grande-Bretagne, y compris des transferts au sein d’un même groupe. Ceux-ci peuvent comprendre la mise en place de garanties appropriées conformément aux dispositions du nouveau Règlement général sur la protection des données (« RGPD »), telles que des clauses types de protection des données, des « BCR » (« binding corporate rules »), un code de conduite approuvé ou un mécanisme de certification. Une autre possibilité serait de fonder ses transferts sur une dérogation légale, applicable dans des circonstances limitées.
Reste la possibilité que la Grande-Bretagne rejoigne la liste courte des pays tiers faisant l’objet d’une décision d’ « adéquation » par la Commission, vers lesquelles les données personnelles peuvent être transférées sans besoin de garanties ou de dérogation.
A ce stade, au vu des incertitudes quant à la forme finale du Brexit, et de la possibilité d’une décision d « adéquation » concernant le Royaume-Uni, nous vous conseillons d’anticiper et de revoir de manière globale vos procédures de conformité au RGPD, lequel renforce de manière très significative les protections des données à caractère personnel au sein de l’UE et qui sera applicable à partir du 25 mai 2018.
Altij reste à votre disposition afin de discuter avec vous des démarches appropriées pour votre organisation.
Brexit news : The UK on the Commission’s digital blacklist ?
The European Commission has signalled its intention to treat the United Kingdom as a “third country” for data protection purposes post Brexit
In a communiqué issued on 9 January, the Commission stated that following its withdrawal from the EU, currently scheduled to take place on 30 March 2019, the UK will be subject to the same rules as other countries outside the European Economic Area.
Thus, it will theoretically be necessary to implement legal mechanisms facilitating transfers of personal information from Europe to Great Britain, including internal transfers within groups. These may include putting in place appropriate safeguards in compliance with the General Data Protection Regulation (GDPR), such as standard data protection clauses, binding corporate rules, or an approved code of conduct or certification mechanism. A further possibility would be to rely on a legal derogation which could apply in limited circumstances.
There remains the possibility that the UK will be added to the (short) list of countries considered as offering an adequate level of data protection by the Commission, in which case data transfers will be able to continue without a requirement for safeguards or derogations.
At this stage, given the uncertainties in respect of the final form of Brexit, and the possibility of an adequacy decision, businesses are advised to review their general compliance procedures with the GDPR, which significantly reinforces personal data protection within the EU and which applies as from 25 May 2018.
If you wish to discuss the appropriate steps for your organisation, don’t hesitate to get in touch with our data protection team.