Accueil » BREXIT, RGPD et transfert de données personnelles

09
04 2019

  .  Par Maxime Bureau

BREXIT, RGPD et transfert de données personnelles

Deal ? No Deal ? Hard Brexit ? Soft Brexit ? Si de nombreux britanniques guettent depuis des mois l’épilogue de cet imbroglio made in UK, bon nombre d’entreprises européennes suivent également d’un œil attentif la situation politique d’outre-manche. En effet, le verdict du parlement britannique, repoussé au 12 avril prochain, emportera nécessairement son lot de conséquences pour les entreprises de l’UE traitant avec le Royaume-Uni, notamment en matière de transferts de données. L’une des interrogations majeures, sous l’actualité brûlante du RGPD, concerne l’application ou non du fameux règlement sur la protection des données personnelles par les entreprises britanniques à l’issue du Brexit. Nous vous expliquons tout…

ÊTES-VOUS CONCERNÉ ?

Si aujourd’hui votre entreprise transfère des données personnelles au Royaume-Uni, notamment par le biais d’un service d’hébergement ou d’une prestation de service quelconque incluant des données personnelles, alors vous êtes concerné. Ces transferts peuvent donc être inter-entreprises, mais également intra-entreprise, entre une succursale et son siège, ou intra-groupe, entre une filiale et sa société mère.

Il en va de même si l’un de vos sous-traitants transfère – normalement, avec votre accord – vos données vers l’un des quatre pays britanniques concernés.

UN « DEAL » FAVORABLE AU LIBRE ÉCHANGE DES DONNÉES PERSONNELLES

Deux issues s’offrent aux britanniques aujourd’hui : une sortie violente de l’UE – no Deal – ou une sortie en douceur – Deal. Si le vote du Parlement britannique porte sur un Brexit « souple », accompagné d’un accord avec la Commission Européenne, alors la situation restera inchangée pour les entreprises européennes comme britanniques. L’accord trouvé entre la Commission et le gouvernement britannique entend bien maintenir le statu quo et prolonger l’application du RGPD, en place au Royaume-Uni depuis le 25 mai 2018. Ainsi, le Royaume-Uni, bien que n’appartenant plus à l’Union Européenne, ne serait pour autant pas considéré comme un « pays tiers » au sens du RGPD et bénéficierait alors des joies de la libre circulation des données des individus – comme au bon vieux temps.

En revanche, en l’absence de tout accord avec la Commission européenne, le Royaume-Uni quitterait la zone de libre-échange et prendrait la casquette de « pays tiers » avec tout ce que cela implique.

Si les institutions britanniques ont rappelé leur ferme intention de maintenir applicables toutes les dispositions du RGPD aux entreprises britanniques, notamment au travers du Data Protection Act de 2018 – texte reprenant l’esprit et la lettre du RGPD, hormis les mentions relatives aux institutions européennes –, un Brexit sans accord impliquerait, néanmoins, bon nombre de bouleversements juridiques dans les rapports entre entreprises de l’UE et du RU.

COMMENT SE PREPARER EFFICACEMENT À UN ÉVENTUEL BREXIT SANS ACCORD ?

Dans sa note d’information du 12 février 2019, le Comité Européen de la Protection des Données (CEPD) conseille à toute entreprise transférant des données vers le Royaume-Uni de respecter les étapes suivantes :

1) Identifier les activités de traitement impliquant des transferts de données personnelles vers le Royaume-Uni ;

2) Déterminer les instruments appropriés pour encadrer les transferts de données ;

3) Mettre en place les instruments choisis avant le 13 avril 2019 ;

4) Intégrer dans votre documentation interne que des transferts de données hors UE sont réalisés (cf. registre des activités de traitement) ;

5) Mettre à jour votre politique de protection des données et vos mentions d’informations, afin d’informer les personnes concernées.

COMMENT ENCADRER LES TRANSFERTS DE DONNÉES VERS LE ROYAUME-UNI ?

Sans accord, à partir du 13 avril prochain, le Royaume-Uni sera identifié comme un « pays tiers » au regard du RGPD. Les transferts de données de l’Europe vers le Royaume-Uni devront donc obéir aux dispositions du Chapitre V dudit Règlement – « Transferts de données à caractère personnel vers des pays tiers […]».

L’article 44 du RGPD introduit ce chapitre en édictant le principe général selon lequel aucun transfert de données personnelles vers un pays tiers ne peut avoir lieu sans la mise en œuvre de l’un des instruments d’encadrement définis aux articles suivants. Ces instruments garantissent les personnes concernées d’un transfert encadré et adéquat en matière de protection de données personnelles.

Voici un petit tour d’horizon des solutions d’encadrement de vos transferts de données vers des pays tiers, au sens du RGPD :

    *   LES CLAUSES CONTRACTUELLES TYPES

Des modèles de clauses contractuelles relatives à la protection des données ont été adoptés par la Commission européenne et pourront servir – une fois signées par les parties – de fondement aux transferts de données. Ces clauses peuvent également être adoptées par l’autorité de contrôle nationale, ce que la CNIL, en France, a décidé de ne pas faire, préférant renvoyer aux clauses types de la Commission européenne.

La Commission a donc adopté deux clauses types de transfert de données, en fonction du rôle tenu par l’entreprise destinataire dans le cadre du traitement de données. La première clause, issue d’une décision 2001/497/CE du 15 juin 2001, encadre les transferts de données vers un responsable de traitement établi dans un pays tiers. La seconde, annexée à une décision 2010/87/UE du 5 février 2010, encadre les transferts vers un sous-traitant d’un pays tiers.

Attention, toutes entreprises souhaitant se prévaloir de ces clauses se doit de les signer telles quelles, sans modification. Il est tout de même possible pour ces entreprises d’inclure ces clauses dans un contrat plus large, comprenant d’autres clauses.

Conseil : Ces clauses datant de 2001 et 2010 et n’ayant fait l’objet d’aucune mise à jour depuis l’entrée en vigueur du RGPD, il est préférable de fonder son transfert de données sur un autre instrument d’encadrement – ou bien, si vous maîtrisez les exigences du RGPD, de procéder vous-même à la rédaction de clauses ad hoc

    *   LES CLAUSES CONTRACTUELLES AD HOC

Sur la base de ces clauses types, nous trouvons les clauses dites « ad hoc ». Toute clause contractuelle type ayant fait l’objet de modifications sera considérée comme une clause contractuelle ad hoc. De telles clauses sont tout à fait permises par le RGPD mais elles devront être préalablement autorisées par l’autorité de contrôle nationale – à savoir, la CNIL, pour les entreprises françaises.

Conseil : Pour ceux qui souhaiteraient tout de même recourir aux clauses ad hoc – malgré les bases vieillissantes des clauses types de la Commission – l’autorité de contrôle britannique (ICO) met à disposition un guide dédié sur son site.

    *   LES RÈGLES D’ENTREPRISE CONTRAIGNANTES

Cet instrument concerne les transferts de données au sein d’un même groupe d’entreprises.  Ces transferts pourront être fondés sur ce qu’on appelle des « règles d’entreprise contraignantes » ou Binding Corporate Rules (BCR). Il s’agit de politiques de protection des données personnelles auxquelles adhèrent des groupes d’entreprises dans le but de sécuriser leurs transferts à l’intérieur du groupe, y compris hors UE.

Si, dans le cadre du Brexit, vous comptez mettre en place ces « règles », il vous faudra alors suivre les instructions de la CNIL et obtenir son approbation. La CNIL met à disposition les formulaires d’instruction et référentiels d’approbation propres à chaque rôle : Groupes agissant en qualité de Responsables de traitement et Groupes sous-traitants.

En revanche, pour tous les groupes d’entreprises qui, sur base de la directive 95/46/CE, utilisaient déjà des règles de ce type, celles-ci resteront parfaitement valides pour vos transferts vers le Royaume-Uni après le 13 avril prochain.

    *   LES CODES DE CONDUITE ET CERTIFICATIONS

C’est une nouveauté du RGPD. Les transferts de données peuvent également se baser sur des codes de conduites ou sur des mécanismes de certification approuvés. L’approbation de ces instruments est nécessaire à leur validité et se fait par une autorité de contrôle nationale ou par un organisme de certification agréé par cette autorité.

Ces deux instruments seront réputés offrir les garanties suffisantes uniquement s’ils contiennent des engagements contraignants et exécutoires pris par les entreprises destinataires hors UE.

Conseil : Privilégiez le code de conduite qui présente l’avantage non négligeable de prendre en considération les spécificités techniques propres à chaque secteur d’activité.

    *   LES DÉROGATIONS

L’article 49 du RGPD prévoit un mécanisme de “dérogations” sous condition. Tout d’abord, le transfert peut avoir lieu si :

–  la personne concernée a donné son consentement explicite à ce transfert après avoir été informée des risques qu’il pourrait revêtir ;

–  le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures pré-contractuelles prises à la demande de la personne concernée ;

–  le transfert est nécessaire à l’exécution d’un contrat conclu dans l’intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale ;

–  le transfert est nécessaire pour des motifs importants d’intérêt public;

–  le transfert est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice ;

–  le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’autres personnes, lorsque la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement.

Cependant, ce transfert “dérogatoire” doit répondre à 4 conditions cumulatives et strictes :

–  Avoir un caractère occasionnel et non-répétitif ;

–  Ne toucher qu’un nombre limité de personnes concernées ;

–  Être nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée ;

–  Avoir fait l’objet d’une évaluation des risques pesant sur ce transfert et d’offrir, sur la base de cette évaluation, des garanties appropriées en matière de protection des données.

Conseil : Comme toute dérogation, celles-ci sont à utiliser avec modération et précaution. La CNIL précise par ailleurs que « les responsables de traitement doivent s’efforcer de mettre en place des garanties appropriées et ne doivent recourir à ces exceptions qu’en l’absence de telles garanties ».  Ces dérogations font donc l’objet d’une interprétation stricte de la part de l’autorité de protection des données.

L’ABSENCE DE DÉCISION D’ADÉQUATION DE LA COMMISSION

L’article 45 du RGPD admet également que des transferts de données personnelles vers des pays tiers puissent avoir lieu lorsque la Commission européenne constate par voie de décision que le pays tiers en question offre un niveau de protection adéquat. Pouvant apparaitre comme la « solution de la dernière chance » pour les britanniques, la Commission n’a cependant pris aucune décision d’adéquation concernant le Royaume-Uni. Une telle prise de décision ne semble, par ailleurs, pas prête d’être à l’ordre du jour de la Commission… Good things come to those who wait.

 

Avoconseil, au travers de son offre Avodata, reste à votre écoute et se tient prêt à vous accompagner dans l’ensemble de ces démarches RGPD post-Brexit.

 

Liens utiles :

CNIL :  https://www.cnil.fr/en/node/25217

ECPB :  https://edpb.europa.eu/sites/edpb/files/files/file1/edpb-2019-02-12-infonote-nodeal-brexit_en.pdf

ICO :  https://ico.org.uk/for-organisations/data-protection-and-brexit

Newsletter

Vous souhaitez recevoir notre newsletter :

Avoconseil