« Hard Brexit » et données personnelles : là aussi, vous êtes sans doute concernés !

shutterstock_1182369352 (1)

A ce jour, sauf accord ou report de dernière minute, la survenance d’un « hard Brexit » dans moins de 2 mois apparait inéluctable…

Or, un aspect souvent négligé de cette « sortie dure » est le sort à réserver aux données personnelles échangées avec le Royaume-Uni.

Pourquoi cela importe-t-il?

Parce que certains pensent que les données personnelles pourront continuer à circuler librement avec l’Union Européenne sans que rien ne change, étant donné que le RGPD est aussi entré en vigueur au Royaume-Uni.

Et pourtant…dès le 30 mars prochain, ce dernier deviendra ce qu’on appelle un « pays tiers ».

Et donc ?

Cela signifie que, pour pouvoir continuer à échanger ces données, des mesures complémentaires doivent être prises, ainsi que l’a rappelé ce 12 février le Comité Européen de la Protection des Données (CEPD) qui est l’autorité européenne chargée de veiller à l’application cohérente du RGPD.

De fait, un transfert de données personnelles en-dehors de l’Union Européenne ne peut avoir lieu que si le pays de destination de ces données offre en la matière un niveau de protection jugé « adéquat » par la Commission européenne, à l’instar de la Suisse ou plus récemment du Japon.

A défaut, le RGPD prévoit que d’autres mécanismes doivent être utilisés, par exemple l’adhésion au programme Privacy Shield par les destinataires d’un transfert de données aux Etats-Unis.

En l’occurrence, le problème réside dans le fait qu’en l’état actuel des choses, même si le Royaume-Uni a implémenté le RGPD, cela ne veut pas pour autant dire qu’au moment du Brexit, il sera considéré par la Commission européenne comme offrant un niveau de protection jugé « adéquat ». Cela sera peut-être le cas par après, mais pas dans l’immédiat…

En d’autres termes, si dans l’intervalle vous avez des échanges de données personnelles avec le Royaume-Uni, vous ne pouvez pas rester les bras croisés à attendre cette décision d’adéquation : vous devez agir et mettre en place l’un des mécanismes autorisés par le RGPD.

Lequel ?

Dans la plupart des cas, il s’agira d’utiliser ce qu’on appelle les « clauses contractuelles standard », c’est-à-dire des modèles de « conditions générales » approuvées par la Commission européenne que vous ne pouvez pas modifier, mais que vous devez simplement compléter avec le détail des flux de données concernées (en veillant bien sûr à ce que le destinataire de ces données respecte ce qui y figure !).

Les modèles en question diffèrent selon que l’échange a lieu avec un autre « responsable du traitement » situé au Royaume-Uni (par exemple la maison-mère de votre société) ou un « sous-traitant” (par exemple l’hébergeur de votre site web).

Encore des documents à signer ? N’en avais-je pas déjà récemment signé à ce sujet, par exemple avec mon secrétariat social ?

Oui, mais aujourd’hui, cela ne suffit malheureusement plus si le destinataire de ces données réside au Royaume-Uni.

Ces « clauses contractuelles standard » devront donc être complétées, signées et jointes aux précédents documents que vous aviez déjà établis.

Concrètement, que devez-vous faire ?

1)      identifier les données personnelles qui sont échangées avec le Royaume-Uni,

2)      contacter les destinataires de ces données,

3)      compléter avec eux les modèles précités en précisant les mesures de sécurité prises à cette occasion,

4)      le tout sans oublier d’adapter vos documents existants (notamment le registre d’activités de traitement et la « privacy notice » correspondante qui est destinée aux personnes dont les données sont ainsi transférées au Royaume-Uni).

Envie d’en savoir davantage ?

En ce cas, vous pouvez consulter la note émise par le CEPD ou bien sûr nous contacter.

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb-2019-02-12-infonote-nodeal-brexit_en.pdf.

Nicolas ROLAND et Elodie CARON